【CISCN2023】unzip

[CISCN2023]unzip

环境搭建

1.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
  <form method="post" action="1.php" enctype="multipart/form-data">
    <input name="file" type="file">
    <input name="submit" type="submit">
  </form>
</body>
</html>

1.php

<?php
error_reporting(0);
highlight_file(__FILE__);

$finfo = finfo_open(FILEINFO_MIME_TYPE);
if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip'){
    exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]);
};

然后在命令行输入：

php -S 192.168.56.129:8000 -t /var/www/html/

将 /var/www/html/ 作为网站根目录启动php服务器

搭建成功

源码分析

首先通过1.html上传文件经过1.php，然后我们分析一下1.php:

<?php
...
# 这行代码使用 PHP 内置函数 finfo_open() 创建一个文件信息对象，用于获取指定文件的 MIME 类型
$finfo = finfo_open(FILEINFO_MIME_TYPE); 
#这行代码判断上传的文件是否为zip压缩包
if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip'){
    #如果是zip，就将其解压到/tmp目录
    exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]);
};

看到这里没什么思路，查阅文章 一个有趣的任意文件读取 可知，需要使用linux中的软链接ln

软连接的作用类似于win下的快捷方式

假如我们使用软链接生成web 文件让其指向 /var/html/www/ 目录的话，我们就可以通过该文件直接访问网站的目录了，然后我们将web文件打包成zip.zip，上传上去，这样就会在 /tmp目录生成一个 web文件，其指向 /var/html/www 目录

然后我们再上传一个 z.zip 文件 其目录为 : /web/shell.php

shell.php为一句话木马

当我们上传z.zip的时候，将其解压到 /tmp 目录下的 web目录下

重点来了，由于之前我们上传了一个软链接web到/tmp 目录下，此时若解压z.zip的话

正常情况下会解压到：/tmp/web/shell.php 但是由于web指向了 /var/www/html目录

所以会恰好将shell.php解压到 /var/www/html/shell.php 刚好解压到网站的访问目录，此时我们可以直接使用蚁剑连接了

实践探究

首先使用命令创建软链接：web

ln -s /var/www/html/ web

然后使用zip命令将其压缩为：zip.zip

zip -y zip.zip web

然后我们上传zip.zip

成功上传到/tmp目录

接着将 /web/shell.php压缩：

上传，发现shell.php成功上传到 /var/html/www：

上传成功，然后就可以getshell了