CTF-NO_WAF_UPLOAD_WP

知识点:扫目录、so库逆向

打开题目后只有登录功能,可以先尝试一下扫目录

最后发现一个www.zip文件,然后访问此目录,将文件下载下来

打开php文件后内容看不懂,先用这个php文件上传试一

注册后浏览文件上传,上传后直接显示目录,然后访问这个目录

发现上传的文件可以被目标服务器解析,文件名也没有修改

说明目标服务器支持扩展加密

然后尝试一下上传一个常见的一句话,获取文件路径后访问,发现不能解析,但是它并不是不解析所有的php,

之前是可以访问Phpinfo的,把一句话改为 phpinfo();上传后依然是不能解析,要不就是之前下载的php文件有什么特殊的地方

这个地方涉及到了php加密代码中的扩展加密,需要对下载的so文件进行逆向

把文件使用IDA打开后重点检查下面几个函数,在php运行的过程中会调用这几个函数,可以快速找到它的加密算法,

它会去替换zend_complie_这样的函数,替换为自己定义的函数

然后跟进encrypt_complie_file函数,对上传的文件进行判断,是否符合它的需求,然后执行encrypt_ext_fopen这个函数

然后跟进excrypt_ext_fopen这个函数,这个函数就是核心的加密函数,如果在本地对文件进行加密, 上传到服务器后对这个文件进行解密,还原成一个正确的php格式,如果直接把明文的php上传到服务器的话,也会做md5_match、异或,然后进行zlib解密uncompress,就会出现这个代码无法被解析的情况,如果要让他被解析就需要倒着把这个代码进行操作,要进行一个compress加密,再与0xCu进行异或,之后再做一个md5值的校验等,是一个so库逆向的一个过程,

上传到服务器后首先是md5的校验,长度校验,然后进行异或,uncompress,

可以把之前的php文件解密看一下

然后创建一个加密的shell.php进行上传

把生成的shell上传试一下,进行访问响应页面正常,然后使用菜单或者蚁剑连接一下

Flag就在/目录下