[XDCTF2015] filemanager

BUU上一个15年的题，二次注入

源码泄漏

www.tar.gz。。。我试了www.zip和robots.txt，结果源码是另一个圧缩形式
有用的就两个文件，upload.php和rename.php
提交的所有数据都被转义加了斜杠，直接注入无果，事实上测试一下就发现把文件名改成1’之类的时候，再去修改会触发二次注入

二次注入

看一下关键部分代码
rename.php

if (isset($req['oldname']) && isset($req['newname'])) {
    $result = $db->query("select * from `file` where `filename`='{$req['oldname']}'");
    if ($result->num_rows > 0) {
        $result = $result->fetch_assoc();
    } else {
        exit("old file doesn't exists!");
    }

    if ($result) {

        $req['newname'] = basename($req['newname']);
        $re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");
        if (!$re) {
            print_r($db->error);
            exit;
        }
        $oldname = UPLOAD_DIR.$result["filename"].$result["extension"];
        $newname = UPLOAD_DIR.$req["newname"].$result["extension"];
        if (file_exists($oldname)) {
            rename($oldname, $newname);
        }

可以看出来，实际上的文件名和数据库中的数据是分离的，而真正对文件的重命名是最后的rename函数，但仔细看oldname和newname，他们的后缀都由查询的result给出，而在upload.php中后缀只能是白名单中的几个项，所以看起来无法完成攻击
但是如果extension为空，那么可控的$req[“newname”]就可以重命名出任意后缀的文件，自然可以重命名出一个php来getshell
而这里的update语句刚好可以修改extension，$req[‘newname’]因为被转义无法完成注入，但是$result[‘filename’]如果事先构造的足够好，当其被从数据库取出时，则会发生二次注入

目前的思路：上传一个名为1’,extension=’.jpg的文件，然后将其重命名为1.jpg，则在update时的语句为update \file` set `filename`=’1.jpg’, `oldname`=’1’,extension=’’ where `fid`=1`
文件名变为1.jpg.jpg

现在我们再次重命名，将含有extension=’’的这条result拿出来，所以提交一个oldname=1.jpg，这样子查询语句就会把我们刚才二次注入的result取出，再令newname=1.php，就可以将一个名为1.jpg的文件重命名为1.php，因为之前上传的那个文件名被修改后为1.jpg.jpg，因此额外上传一个名为1.jpg的shell即可

后记

SQL注入真难啊，新题目的注入思路已经超乎常人，老题目的二次注入思路也挺复杂的，不拿纸笔划一划都理不清楚什么情况