方法一:.ini绕过
分析源码
我们查看网页源码,发现依旧是很多限制,但与第四关不同的是,这次限制了.htaccess,没有限制.ini方式 。那么我们这次使用.ini绕过方式
.user.ini文件介绍
.user.ini 文件是PHP的配置文件,用于自定义PHP的配置选项。该文件通常位于PHP安装目录的根目录下,或者在特定的网站目录下。用于覆盖或追加全局配置文件(如:php.ini)中的php配置选项。
注:这个绕过方式前提是上传目录下要有可执行的php文件。
.user.ini中两个中的配置就是auto_prepend_file和auto_append_file。这两个配置的意思就是:我们指定一个文件(如1.jpg),那么该文件就会被包含在要执行的php文件中(如index.php),相当于在index.php中插入一句:require(./1.jpg)。这两个设置的区别只是在于auto_prepend_file是在文件前插入,auto_append_file在文件最后插入。
( 该段为转载 原文链接:https://blog.csdn.net/weixin_52635170/article/details/126962920)
注:在phpstudy网站根目录下存在readme.php,这也就使得.user.ini可以使用
实验过程
注:phpstudy使用非nts版本,且版本使用7.几的,若使用5.几版本读取readme.php文件时会显示乱码
创建.user.ini文件
本地记事本输入auto_prepend_file=xxx.jpg 如我输入auto_prepend_file=muma.jpg则意为muma.jpg文件包含在要执行的php文件之前
文件→另存为→设置文件名和文件类型
将创建完成的.user.ini文件复制到phpstudy中的WWW根目录下(详见第四关)
回到upload靶场,依次上传.user.ini,muma.jpg
新建标签页读取readme.php文件查看是否上传成功
如下图则上传成功
使用蚁剑连接文件readme.php 可成功连接打开网站后门
方法二:点加空格加点绕过
分析源码
首先我们还是先来分析源码, 以文件名为123.php. .为例 可以更好帮助理解绕过方式
第一行是对不同类别的文件后缀进行的黑名单限制
第二行是获取文件名 记为$file_name 123.php. .
第三行是删除文件名末尾的点 123.php.
第四行是以 ‘ . ’ 为分界获得文件后缀 记为$file_ext .
第五到七行是分别对文件后缀进行转换为小写,去除字符串::$DATA,去除首位的空格 .
→最终得到的$file_name为123.php. 且该源码无循环代码语句,所有操作只执行一次
第八行if判断语句 如果文件后缀不在黑名单里面,则进行下面的语句
标三角的一行为拼接语句,UPLOAD_PATH(上传路径)与$file_name(文件名)拼接并保存
最后的文件名不在黑名单之中可以实现绕过
实验过程
上传php文件,使用burp抓包
更改后缀为php. .然后forward可成功上传成功
获得上传文件url,使用蚁剑连接(详见第一关教程)