CSB_文件上传漏洞 --＞day 3

转眼间，就已经12月19号了，2023余额不足咯，辛苦啦各位努力的打工人，无论明天有多少的未知，我们都要坚信" 日日有惊喜，岁岁有期待 "  ~！！

                        ​​​​​​​        ​​​​​   ​​​​​​​  ​​​​"当我们撕开一个个标签，人生便海阔天空。Doge"   ​​​​​​​        

        (被闻神整e了，😭😭😭😭😭😭😭😭)

咳咳咳~~ 扯远了，最近小编还在想更新什么好（不想水blog捏），既然没想好，那就先把今天网安课的靶场来讲一下吧！！！（你别说，知识还挺多）

本次blog从uploadabs 的第五关开始

5.填坑啦~~

还记不记得，我猜你不记得，，上次的坑（哈，记得了吧上次是靶场配置有问题原来，气鼠我了）

这一关就要涉及到.user.ini这玩意了

• .user.ini：简易的来理解就是用户自定义配置文件

比如：我们现在有一个webshell.jpg 的一句话木马文件，我们不可以直接上传，但是我们可以先上传一个.user.ini ，像这样（文件名就直接是   .user.ini   ），下面是文件内容

auto_prepend_file=webshell.jpg

这时候，所有的php文件运行时都会预先加载webshell.gif文件，这时候有人就会好奇了（无中生有，hhh）（webshell不是一个gif吗，为什么会被解析成php代码？）

好问题！！！（自问自答）其实：这是因为在 Web 服务器处理请求时，它关注的是文件的内容和文件类型而不仅仅是文件扩展名，这就说明为什么会成功

然后我们就可以把webshell.jpg传上去啦，然后我们去访问该目录下的readme.php（大部分网页都会有这个文件的啦）更何况，嗯确实挺明显的，HHH~~~

                

7.空格bypass

至于很多人好奇第六关咋没了，问就是大小写绕过，上一篇blog讲过了

首先我们要知道的是：

• Windows系统下，对于文件名中空格会被作为空处理，这关程序中的检测代码却没有自动删除空格。从而绕过黑名单。

那就简单咯，我们还是直接上传一个webshell.jpg在bp的界面

然后将jpg修改为.php  这里记住是有空格的哦！！！基于前端的js代码没有对空格进行过滤

哈哈，有人就会问，为什么不是蚁剑连接，这是因为我们在挖掘漏洞的过程中，一般不会直接上传木马（甚至不给上传），我们可以先上传一个phpinfo的探针，看看是否能被解析，再考虑后续操作呢！！

        ​​​​​​​        ​​​​​​​        

8.   .号Bypass

还是先来普及一些知识

• Windows系统下，文件后缀名最后一个点会被自动去除，这关的程序中的检测代码却没有自动删除"." ，从而绕过黑名单 。

在bp的页面构造多一个点号不就行了吗

这样，当服务器收到之后，发现它以.结尾，于是就会自动删除掉这个.了

    下一关！！@！！

9.特殊符号的Bypass

这里还得补充一点知识（byd咋那么多奇怪的知识）    ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        

• Windows系统下，如果上传的文件名中存在 test.php::$DATA ，那么会在服务器上生成一个test.php的文件，其中内容和所上传文件内容相同，并被解析。

简单来说就是::$DATA 在搞鬼哦

那我们吗就直接上构造咯，

    

但是记得哦：：$DATA会被删除，所以你要访问的是webshell.php (事实也确实如此哦)

10.终于没有新的补充了

前几关，关关都有一些奇奇怪怪的东西（烦死了）    

这一关，我们就需要审计它的源代码了

 $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");    //byd过滤这么多生怕我们过了这关
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

审计完之后，我只想*************，这啥都过率了啊，但是，“山重水复疑无路，*******” 气死我了，真想不出来，于是求助了一下我的老师，才恍然大雾！！！！！

     在看多一眼（不会爆炸），他是不是都只过滤了一次 ​​​​！！！  ​​​​​        ​​​​​​​      

那我们这样构造 webshell.php. .      来好戏上场

• $file_name = deldot($file_name); 删掉了末尾的. 那就只剩 webshell.php.空格（不要忘它）
• $file_ext = trim($file_ext); //去除了空格 是不是只剩下了 webshell.php    OHHHHH!!!!!!!

     dangdang~~！！

而且这种关卡需要上传后的文件没有经过随机化重命名，直接保存在服务器上，才行。

11.双写Bypass

这一关有一个神奇的代码，其中的str_ireplace会将我们php过滤掉

 $file_name = str_ireplace($deny_ext,"", $file_name);

那我们可以可以构造双写的poc嘛

  最后也是能达到效果的

好了，以上就是uploadlabs的黑名单bypass了，下一期我们来通关白名单绕过 ！！