Webug4.0靶场通关笔记17- 第21关文件上传(htaccess)

目录

 第21关 文件上传(htaccess)

1.打开靶场

2.源码分析

（1）右键源码

（2）源码分析

3.渗透实战

（1）配置环境

（2）构造脚本

（3）访问脚本

---

本文通过《webug4.0靶场第21文件上传之htaccess》对客户端前端和服务端的代码进行审计，基于代码审计来分析渗透思路并进行渗透实战，另外本关卡源码有bug需要修改后才可能渗透成功。

 第21关 文件上传(htaccess)

1.打开靶场

进入webug4.0靶场的第21关卡文件上传(htaccess)，完整URL地址如下所示。

http://192.168.71.1/webug4/control/upload_file/upload_file_5.php

进入靶场后发现这是一个注册账号的页面，包含文件上传的功能，具体如下图所示。  

2.源码分析

（1）右键源码

如下所示右键查看源码，发现本关卡依旧存在客户端js绕过，在前端通过js脚本使用白名单校验文件的后缀，具体如下所示。

（2）源码分析

查看upload_file_5.php代码，这段代码的主要功能是处理文件上传操作，源码中过滤了.htacess后缀，不知道写代码的是怎么想的，正常应该是黑名单中无.htaccess才能叫htacess关卡才对，这样才好上传啊。

<?php
// 引入公共配置文件，通常这里面会定义一些全局常量、函数或者加载必要的类库等
require_once "../../common/common.php";// 检查会话中是否存在 'user' 变量
// 如果不存在，说明用户未登录，将用户重定向到登录页面
if (!isset($_SESSION['user'])) {header("Location:../login.php");
}// 定义允许上传的图片文件扩展名数组
$filter = array(".jpg", '.png', '.gif');// 检查上传文件是否出现错误
// 如果存在错误，直接终止脚本执行
if ($_FILES['file']['error']) {die();
}// 检查是否通过 POST 方法提交了表单，并且提交按钮名为 'submit'
if (isset($_POST['submit'])) {// 检查上传文件保存的目录是否存在if (file_exists(TPMELATE."/upload/")) {// 定义不允许上传的文件扩展名数组，包含各种常见的可执行脚本文件扩展名$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");// 获取上传文件的原始文件名，并去除首尾空格$file_name = trim($_FILES['file']['name']);// 获取上传文件的扩展名，包含点号$file_ext = strrchr($file_name, '.');// 将扩展名转换为小写，方便后续比较$file_ext = strtolower($file_ext); // 去除 Windows 系统中可能存在的 ::$DATA 后缀，这是 NTFS 文件系统的流数据标记$file_ext = str_ireplace('::$DATA', '', $file_ext);// 再次去除扩展名首尾的空格$file_ext = trim($file_ext); // 检查文件扩展名是否不在禁止上传的扩展名数组中if (!in_array($file_ext, $deny_ext)) {// 获取上传文件在服务器上的临时文件路径$temp_file = $_FILES['upload_file']['tmp_name'];// 拼接上传文件的保存路径$img_path = TPMELATE."/upload/".'/'.$file_name;// 尝试将临时文件移动到指定的保存路径if (move_uploaded_file($temp_file, $img_path)) {// 若移动成功，设置上传成功标志$is_upload = true;} else {// 若移动失败，设置错误消息$msg = '上传出错！';}} else {// 若文件扩展名在禁止上传的数组中，设置错误消息$msg = '此文件类型不允许上传！';}} else {// 若上传文件保存的目录不存在，设置错误消息$msg = TPMELATE."/upload/" . '文件夹不存在,请手工创建！';}
}// 引入上传文件的 HTML 页面
require_once TPMELATE."/upload_file_1.html";

这样就只能是先通过生僻字法上传.htaccess文件（完全没意义啊，因为这样子直接可以上传php文件了，又何苦多此一举），再进行处理才能符合这个题目的含义。猜测是靶场的开发者写代码时出了异常，产生了bug，对其进行简单修改，将黑名单的.htaccess删掉，这样就可以通过.htaccess 文件解析使上传图片成功。

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");

除此之外，这个关卡啥报文都上传不成功，代码具有大bug，需要对文件上传部分进行处理，这是因为$temp_file = $_FILES['upload_file']['tmp_name'];这句话处理有问题，需要修改为

$temp_file = $_FILES['file']['tmp_name'];

修改后的代码如下所示。

<?phprequire_once "../../common/common.php";
if (!isset($_SESSION['user'])) {header("Location:../login.php");
}
$filter = array(".jpg", '.png', '.gif');if ($_FILES['file']['error']) {die();
}if (isset($_POST['submit'])) {if (file_exists(TPMELATE."/upload/")) {$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");$file_name = trim($_FILES['file']['name']);$file_ext = strrchr($file_name, '.');$file_ext = strtolower($file_ext); //转换为小写$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext = trim($file_ext); //首尾去空if (!in_array($file_ext, $deny_ext)) {$temp_file = $_FILES['file']['tmp_name'];$img_path = TPMELATE."/upload/".'/'.$file_name;if (move_uploaded_file($temp_file, $img_path)) {$is_upload = true;} else {$msg = '上传出错！';}} else {$msg = '此文件类型不允许上传！';}} else {$msg = TPMELATE."/upload/" . '文件夹不存在,请手工创建！';}
}require_once TPMELATE."/upload_file_1.html";

3.渗透实战

由于对文件的检查是客户端处理，故而可以在客户端上传图片，绕过客户端的前端检查然后在bp中修改报文并将报文后缀改为info.jpg 发送到服务器。

（1）配置环境

windows下的php study的php需要配置为ts版本才可以支持.htaccess，否则不支持。

首页启动Apache（注意不是Nginx），如下所示。

php版本不可以是nts版本，需要切换为ts版本。

（2）构造脚本

将info.php修改为info.jpg，如下所示。

bp开启拦截功能，firefox浏览器开启代理。

将info.jpg上传，并使用bp抓包，同时将报文发送给repeater。

点击发送，成功上传info.jpg，接下来上传.htaccess文件，直接在bp中修改报文内容如下所示，文件名改为.htaccess，内容改为如下内容。

<FilesMatch "info.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

.htaccess文件的作用是将指定info.jpg按照php格式执行，这样上传info.jpg后，这个info.jpg将被当作php文件执行。

（3）访问脚本

http://192.168.71.1/webug4/template/upload/info.jpg

如下所示访问渗透成功，访问的正是ts版本的服务器内容。