文件上传常见验证:
后缀名,类型,文件头等
后缀名:黑名单,白名单
文件内容:MIME信息
content-type:image/gif
文件头:文件头信息
黑名单:明确不让上传的格式后缀
asp php jsp aspx cgi war
当黑名单后缀名不完整,可以通过其他后缀名达到相同的效果
php5,Phtml
白名单:明确可以上传的格式后缀
jpg png zip rar gif....
upload-labs关卡分析
查看源代码,源于快速学习
less-2
MIME信息验证-在burpsuite里面抓包更改content-type的值,再放出去即可看到文件上传成功
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
}
}
less-3(黑名单绕过)--可以通过更改php为php5,php3上传
trim函数-移除字符串两侧的空白组赴或其他预定义字符
strrchr函数-相当于获得函数的真实后缀名
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
less-4(.htaccess解析)
编写一个.htaccess的文件上传到服务器,再上传文件名为shana的jpg文件
此时.htaccess会将文件名带shana的文件执行成php文件
<FileMatch "shana">
SetHandler application/x-httped-php
</FileMatch>
less-5(大小写绕过)
less-6--少了一个收尾去空,加上空格即可
在windows中,后缀名加空格会被清除,在数据包里面,可以明确加上空格,绕过限制
less-7--少删除文件末尾的点
在数据包后缀名中加上点,上传到服务器时自动将点去掉,以达到绕过
less-8--::$DATA绕过(windows环境)
文件名+::$DATA会把::$DATA之后的数据当成文件流处理不会检测后缀名且保持::$DATA之前的文件名
less-9--循环过滤/递归过滤
less-10--双写绕过
.pphphp
less-11--白名单
%00截断
查看save_path参数--phpstudy版本<5.3
less-12--post提交
get会自动解码 %00--URL编码,而post不会,所以需要提前编码