读者可参考、订阅专栏:Upload-Labs靶场攻防实战
Antsword蚁剑
该题涉及蚁剑工具的利用,操作可参考:
[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集
姿势
后端逻辑代码:
源码分析如下:
-
$ext_arr = array('jpg','png','gif');
:定义允许上传的文件扩展名数组,只允许上传 jpg、png 和 gif 文件。 -
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
:从上传的文件名中提取文件扩展名。使用substr
函数从最后一个点(.)之后截取字符串,即获取文件扩展名。 -
if(in_array($file_ext,$ext_arr)){
:检查文件扩展名是否在允许上传的扩展名数组中。 -
- 如果文件扩展名合法,进入条件判断块:
$temp_file = $_FILES['upload_file']['tmp_name'];
:获取上传文件在服务器上的临时存储路径。$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
:将上传文件的保存路径设置为指定的目录(通过$_GET['save_path']
获取)加上随机数、当前日期时间和文件扩展名组成的新文件名。
可知文件被重命名,但save_path参数可控
故可使用00截断
00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。
因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。
抓包:
改包:
放包:
得到图片上传路径:
之后即可构造shell,本文不再赘述。