cat

Posted 2021-03-24 wenjiananquan

php的CURLOPT_SAFE_UPLOAD参数

TRUE为禁用 @ 前缀在 CURLOPT_POSTFIELDS 中发送文件。
FALSE为启用@开头的value会被当做文件上传。

PHP 5.5.0 中添加，默认值 FALSE。
PHP 5.6.0 改默认值为 TRUE。
PHP 7 删除了此选项。

影响：CURLOPT_SAFE_UPLOAD选项配置不当结合其他情况可造成任意文件读取

Django使用的是gbk编码，超过%F7的编码不在gbk中有意义

当 CURLOPT_SAFE_UPLOAD 为 true 时，如果在请求前面加上@的话phpcurl组件是会把后面的当作绝对路径请求，来读取文件。当且仅当文件中存在中文字符的时候，Django 才会报错导致获取文件内容。

此题题解：

首先使用fuzz测试，知道Django是gbk编码，所以输入?url=%88

得到报错页面：

 

把它作为html打开，可以看到Django的报错页面，其中settings项目中：

注：(django项目下一般有个settings.py文件是设置网站数据库路径（django默认使用的的是sqlites数据库），如果使用的是其它数据库的话settings.py则设置用户名和密码。除此外settings.py还会对项目整体的设置进行定义。)

 

 这里面可以看到此项目的数据库目录所在/opt/api/database.sqlite3。

通过任意文件读取：

访问?url=@/opt/api/database.sqlite3。

搜索ctf得到：

 

 解出！

 

参考链接：https://blog.csdn.net/u012628581/article/details/100529282，xctf-wp.