本地环境:nginx/1.6.2+PHP/5.3.29OS:Windows
实验代码
upfile.html
<html>
<body>
<form method="post" action="upfile.php" enctype="multipart/form-data">
<input type="file" name="file" value=""/>
<input type="hidden" name="filename" value="file"/>
<input type="submit" name="submit" value="upload"/>
</form>
</body>
</html>
upfile.php
<?php
if(isset($_POST['submit'])){
$filename = $_POST['filename'];
$filename = preg_replace("/[^\w]/i", "", $filename);
$upfile = $_FILES['file']['name'];
$upfile = str_replace(';',"",$upfile);
$upfile = preg_replace("/[^(\w|\:|\$|\.|\<|\>)]/i", "", $upfile);
$tempfile = $_FILES['file']['tmp_name'];
$ext = trim(get_extension($upfile));
if(in_array($ext,array('php','php3','php5'))){
die('Warning ! File type error..');
}
if($ext == 'asp' or $ext == 'asa' or $ext == 'cer' or $ext == 'cdx' or $ext == 'aspx' or $ext == 'htaccess') $ext = 'file';
$savefile = 'upload/'.$filename.".".$ext;
if(move_uploaded_file($tempfile,$savefile)){
die('Success upload..path :'.$savefile);
}else{
die('Upload failed..');
}
}
function get_extension($file){
return strtolower(substr($file, strrpos($file, '.')+1));
}
?>
上传文件,Burp截断数据包
![4853754498500176146.png 4853754498500176146.png](https://img-blog.csdnimg.cn/img_convert/1c1d3a53ca212c9cc6f8e9a992ae6b0c.png)
修改为123.php:jpg后提交数据包,可以即可在本地创建一个php文件了
但此时的php文件是0字节的,即内容为空
![6631699984884610887.png 6631699984884610887.png](https://img-blog.csdnimg.cn/img_convert/82a5f52440238be99974890a096e13ef.png)
那么下面要做的就是如何把一句话木马写入到这个123.php文件里了
![6631828627745063148.png 6631828627745063148.png](https://img-blog.csdnimg.cn/img_convert/1dd50cdd491a2680be7008aa6e6b9cc9.png)
修改为123.php<<<再提交数据包即可将一句话写入到123.php文件中
![1628614215350558028.png 1628614215350558028.png](https://img-blog.csdnimg.cn/img_convert/65cae105c7bed5b4a93613868cd17205.png)
如何理解这个“<<<”:就如同我们在cmd下用echo hello world > E:\hello.txt的道理一样
![6631731870721814333.png 6631731870721814333.png](https://img-blog.csdnimg.cn/img_convert/6d4a2547302077953c86ba5c37adccff.png)
这样理解是否好些?
实验代码是基于黑名单验证的,感兴趣的小伙伴可以尝试其他方法来突破上传,有什么奇淫技巧一定要联系我哦~