upload-labs 18:
源码:
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_name = $_FILES['upload_file']['name'];
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_ext = substr($file_name,strrpos($file_name,".")+1);
$upload_file = UPLOAD_PATH . '/' . $file_name;
if(move_uploaded_file($temp_file, $upload_file)){
if(in_array($file_ext,$ext_arr)){
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
rename($upload_file, $img_path);
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
unlink($upload_file);
}
}else{
$msg = '上传出错!';
}
}
通过审计代码5-12行,发现该关卡也是白名单校验。只不过该关卡在11行首先通过move_uploaded_file()函数对文件进行上传,然后再代码12行白名单校验,如果不是白名单中的后缀的话才到18行代码使用unlink()进行删除。恶意文件首先会被上传到服务器后才会删除,在这里就存在着一个时间差。所以我们可以使用条件竞争来去访问该文件,并绕过。
漏洞利用:
首先使用Burp抓取上传包并放到Intruder模块并清除所有参数
然后在payload中设置payload类型为NULL payload,这里设置爆破次数为1000次,还可以设置更高。
然后我们抓取访问demo.php的包并清除参数
下面的设置与上图的设置相同
然后我们将两个包同时开始攻击,可以发现我们利用条件竞争成功访问到了没有被删除之前的demo.php恶意文件。