Z3ratu1's blog

Welcome

0%

[HFCTF2020] BabyUpload

发表于 更新于 分类于 阅读次数: Valine:

[HFCTF2020]BabyUpload

学习了PHP的session机制,感觉还学到了点东西,懂了session是怎么存的这个题就很简单了

源码

好长一串

<?php
error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
require_once "/flag";
highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}
else{
    $_SESSION['username'] ='guest';
}
$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
    $dir_path .= "/".$_SESSION['username'];
}
if($direction === "upload"){
    try{
        if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
            throw new RuntimeException('invalid upload');
        }
        $file_path = $dir_path."/".$_FILES['up_file']['name'];
        $file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        @mkdir($dir_path, 0700, TRUE);
        if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
            $upload_result = "uploaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $upload_result = $e->getMessage();
    }
} elseif ($direction === "download") {
    try{
        $filename = basename(filter_input(INPUT_POST, 'filename'));
        $file_path = $dir_path."/".$filename;
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        if(!file_exists($file_path)) {
            throw new RuntimeException('file not exist');
        }
        header('Content-Type: application/force-download');
        header('Content-Length: '.filesize($file_path));
        header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
        if(readfile($file_path)){
            $download_result = "downloaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $download_result = $e->getMessage();
    }
    exit;
}
?>

题解

提供了一个上传功能和一个下载功能,上传下载都不允许跳目录,上传功能的文件名不可控,可以看到把session文件存储路径改到了我们上传下载的路径上,而取得flag的条件是我们的身份是admin且存在一个success.txt
由于文件名不可控,我们就无法上传一个名为success.txt的文件,但是file_exists函数的作用的是检查文件或目录是否存在,所以我们用attr创建一个名为success.txt的目录就可以过这个判断

php session

session文件名以 sess_ 为前缀,后跟 SESSION ID(即cookie中PHPSESSID的值),存放的数据为序列化的session信息。
我们发起访问的时候就通过这个cookie的值去查询对应的session文件,这里就还可以牵扯出PHP的session反序列化导致的各种漏洞,不在这里赘述了
所以我们可以先用download功能下载一下自己的session文件看一看,下载出来的内容为\x08usernames:5:"guest";,\x08为不可见字符,要注意
我们把guest改成admin,文件名就叫做sess,上传上去,这样子服务端就获得了一个名为sess_(file_hash(sess))的文件,我们自己计算一下文件的哈希值,得到文件叫sess_f567e441819b3b6408c99607cd47e41b4c3167e9a46f82cb5c14b843ad5a25d0,然后将cookie替换为该哈希值进行访问,这样子服务端就将身份替换为了admin,并且也已经创建好了success.txt这个目录,可以通过检测,获取flag了