PHP代码审计:文件上传(构造数组绕过)

最新推荐文章于 2024-05-15 03:39:11 发布
最新推荐文章于 2024-05-15 03:39:11 发布
阅读量518 收藏 4
点赞数
分类专栏: 21种文件上传漏洞分析 文章标签: php 代码复审 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22132931/article/details/127733981
版权

uplaod-labs 21:
源码:

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

代码分析:
本关为该系列靶场最后一关,当中使用了很多陌生的函数,让我们来一一认识它们。

	在代码第56行设置了 Content-Type 白名单,检测请求头中 Content-Type 是否为 $allow_type 中的
三种类型。如果 Content-Type 为白名单中的类型的话,会在代码第1011行判断传入的文件是否为
POST传入,如果POST没有传入文件名则使用 $_FILES 中获取到的文件名并且如果$file不是 $_FILE 传
入的话则使用 explode() 将内容以 . 进行分割并以数组的形式进行返回以便后续调用。
在代码第15行使用 end() 函数将获取$file数组进中最后一个数组元素,也就是获取后缀名,然后在代码
第17行与白名单中后缀进行比较,如果在白名单中则在代码第20行将 reset() 函数获取的文件名与
count() 函数获取的文件后缀进行拼接组成新的文件名,然后在23行进行移动。

explode()

定义和用法:
explode() 函数使用一个字符串分割另一个字符串,并返回由字符串组成的数组。
语法:
explode(separator,string,limit)
separator 必需。规定在哪里分割字符串。
string 必需。要分割的字符串。
limit 可选。规定所返回的数组元素的数目。
可能的值:
大于 0 - 返回包含最多 limit 个元素的数组
小于 0 - 返回包含除了最后的 -limit 个元素以外的所有元素的数组
0 - 会被当做 1, 返回包含一个元素的数组
返回值:返回字符串数组。

end()

定义和用法:
end() 函数将内部指针指向数组中的最后一个元素,并输出。
语法:
end(array)
array 必需。规定要使用的数组。
返回值:
如果成功则返回数组中最后一个元素的值,如果数组为空则返回 FALSE

reset()
该函数与上述 end() 类似,类似函数还有 current() 、 next() 、 prev() 、 each() 。

定义和用法:
reset() 函数将内部指针指向数组中的第一个元素,并输出。
语法:
reset(array)
返回值:
如果成功则返回数组中第一个元素的值,如果数组为空则返回 FALSE

count()

定义和用法:
count() 函数返回数组中元素的数目。
语法:
count(array,mode);
array 必需。规定要计数的数组。
mode 可选。规定函数的模式。可能的值:
0 - 默认。不计算多维数组中的所有元素。
1 - 递归地计算数组中元素的数目(计算多维数组中的所有元素)
返回值:
返回数组中元素的数目。

绕过方法:
这里可以构造 save_name[0] = upload-20.php ,save_name[2] = png ,这样数组的长度为2,
save_name[1] = null ,所以最终 file_name=upload-20.php.
在这里插入图片描述在这里插入图片描述

order by
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP特性之CTF中常见的PHP绕过
Welcome To Myon'Blog !
07-18 6080
一、关于md5()和sha1()的常见绕过 1、使用数组绕过 2、 使用特殊字符串绕过 二、strcmp绕过 三、switch绕过 四、intval绕过
常见php函数绕过
huangyongkang666的博客
03-31 4147
PHP常见函数介绍 1. is_numeric() 函数 作用:检测变量是否为数字或数字字符串。 PHP 版本要求:PHP 4, PHP 5, PHP 7 is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后 绕过: ?what=1' ?what=1, ?what=1%00 2.isset函数 **作用:**检测变量是否设置 格式:bool isset ( mixed var [, mixed var [, …]] ) 返回值: 若变量不存在则返
网络安全最新PHP CTF常见考题的绕过技巧_str_replace函数绕过,2024年最新2024最新网络安全面试题目解答
最新发布
2401_84265972的博客
05-15 631
intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。绕过方法:通过使用0x或者0开始的格式来绕过不相等的判断(像一些要先判断不相等再判断相等的题目)
PHP-Audit-Labs Day1:in_array函数缺陷
0xdawn的博客
06-23 733
in_array() 函数 函数介绍 in_array() 函数搜索数组中是否存在指定的值。 in_array(search,array,type) 参数 描述 search 必需。规定要在数组搜索的值。 array 必需。规定要搜索的数组。 type 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。 如果search参数是字符串且type参数被设置为TRUE,则搜索区分大小写且检查数据类型。 in_array绕过 class Challenge{
文件上传漏洞(三)之内容逻辑数组绕过
胖虎的博客
12-03 2456
目录 前言 一、图片木马的制作 二、图片马的利用方法: 1. 利用文件包含漏洞,打开文件包含的地址来执行上传的图片马 三、二次渲染、条件竞争 1、在图片上传之后,可以进行图片的放大等操作,在上传脚本格式的文件时会暂时保存在服务器中,然后服务器再进行更改 典型的有phpcms 这时候可以用条件竞争来进行绕过,条件竞争也是操作系统特性的问题,在我们打开一个文件时并不能在对该文件进行删除等操作,这个时候就有了一个空“闲”阶段,我们可以上传一个脚本格式的文件,然后用bp去对他不停的去访问,利用这个间隙
文件上传,内容逻辑数组绕过(22)
san3144393495的博客
05-14 311
file=,就等于我们刚刚上传的图片的地址/upload/8020230514105109.png,被包含之后png里面的php脚本代码就会被执行,之后就把那个带有两个源码的jpg文件上传上去,打开图片的地址,想执行后门代码,需要利用到文件包含漏洞,文件包含漏洞会直接将包含的文件以后门的格式去执行,以当前文件包含的脚本去执行,因为是php,就会放到php去执行。这里也可以手工注入到图片的源码里面来,手工注入,如果采用16进制打开这个图片,这个图片在生成保存的时候,就不会出问题,否则会无法正常打开。
PHP代码审计基础:文件上传漏洞
1匹黑马
11-28 456
文章目录漏洞原理危害漏洞条件文件上传的可控点挖掘思路相关函数move_uploaded_file 漏洞原理 文件上传漏洞一些web应用程序中允许上传图片,文本或者其他资源到指定的位置。 文件上传漏洞就是利用网页代码中的文件上传路径变量过滤不严将可执行的文件上传到一个到服务器中,再通过URL去访问以执行恶意代码。 危害 上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞 , 攻击者上传的文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行
php读取文件内容到数组的方法
10-24
主要介绍了php读取文件内容到数组的方法,涉及php中file、rtrim等函数对文件及字符串的操作技巧,具有一定参考借鉴价值,需要的朋友可以参考下
mess:使您PHP数组变得甜蜜安全
03-08
使用数组的样板代码(检查isset() ,引发异常,强制转换类型等) 考虑一个例子: $ userId = $ queryParams [ 'userId' ] ?? null ; if ( $ userId === null ) { throw . . . } $ userId = ( int ) $ userId ; ...
Arrayy:PHP PHP数组操作库,称为Arrayy!
05-02
一个PHP数组操作库。 与PHP 7+和PHP 8+兼容 \ Arrayy \ Type \ StringCollection :: create ([ 'Array' , 'Array' ])-> unique ()-> append ( 'y' )-> implode () // Arrayy 将JSON数据转换为集合 类方法 使用“默认...
php代码-常见函数:数组
07-15
在这个"php代码-常见函数:数组"的主题中,我们将深入探讨PHP中处理数组的一些关键函数和概念。 首先,PHP提供了多种创建数组的方法,如`array()`、`list()`和`[]`(自PHP 5.4起)。例如,创建一个关联数组(键值对...
PHP读取txt文件的内容并赋值给数组代码
10-28
PHP编程中,读取文本文件(如TXT文件)的内容并将其存储到数组中是一项常见的任务,这在处理大量文本数据或日志记录时尤其有用。`file_get_contents()`、`explode()` 和 `count()` 函数是实现这一目标的关键工具。...
php绕过漏洞的函数,PHP中有漏洞的函数总结
weixin_30670053的博客
04-06 670
本篇文章讲述了PHP中存在这一些带有小漏洞的PHP函数,没有了解过PHP中有漏洞函数的可以看看,在实际的PHP开发中用到这些函数时需要注意哪些东西,我们废话少说,一起来看看这篇文章吧!1.弱类型比较2.MD5 compare漏洞PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈...
文件上传--Upload-labs--Pass20--数组绕过
2302_79800344的博客
02-21 482
数组绕过,CTF真题考点
文件上传漏洞-3】内容逻辑数组绕过
qq_41889600的博客
11-10 293
文件上传 二次渲染 文件竞争 数组绕过
PHP数组绕过
2401_82985722的博客
03-18 308
对于php强比较和弱比较:md5(),sha1()函数无法处理数组,如果传入的为数组,会返回NULL,两个数组经过加密后得到的都是NULL,也就是相等的。根据intval的字符串转换规则,如果字符串第一个字符不是数字就会直接返回0,所以后面两种形式都是返回0,只有第一种可以正确返回数字1。intval() 转换数组类型时,不关心数组中的内容,只判断数组中有没有元素,有为1无为0。(若字符型值开头为数字,转为数字;php中强类型比较:是指使用全等运算符(===)进行比较时,进行严格的类型和值比较。
in_array函数漏洞
weixin_38230961的博客
08-28 2523
#以下,'7eee'被强制转换成整型 7 var_dump(in_array('7eee', [1, 2, 7, 9]));//true #如果第三个参数设置为 true,函数只有在元素存在于数组中且数据类型与给定值相同时才返回 true。 var_dump(in_array('7eee', [1, 2, 7, 9], true));//false 同理: $v = in_array(0...
【Java代码审计】文件操作篇
大河之犬的博客
12-15 690
文件上传漏洞是 Java 文件操作中比较常见的一种漏洞,是指攻击者利用系统缺陷绕过对文件的验证和处理,将恶意文件上传到服务器并进行利用。这种漏洞形成原因多样,危害巨大,往往可以通过文件上传直接拿到服务器的 webshell文件上传漏洞的本质还是未对文件名做严格校验,常见的主要有如下几种情况:未对文件做任何过滤,仅在前端通过 js 检验, 只判断了 Content-Type,后缀过滤不全,读取后缀方式错误等。
MD5绕过
LYJ20010728的博客
05-14 7349
MD5绕过MD5弱类型比较方法一:数组绕过方法二:科学计数法绕过双MD5判断扩展构造MD5强类型比较方法一:数组绕过方法二:使用md5加密后两个完全相等的两个字符串绕过哈希长度扩展攻击 MD5弱类型比较 <?php highlight_file(__FILE__); error_reporting(0); $flag = "flag{H3rmesk1t_is_a_loser}"; $val1 = $_GET['val1']; $val2 = $_GET['val2']; if (isset($_GET
PHP数组操作:shuffle与关联数组
关联数组允许我们使用有意义的标识符来引用数组中的值,提高代码的可读性。例如: ```php $test_array = array("first" => 1, "2" => "第二个元素的值", "third" => 3); ``` 在这个关联数组中,"first"、"2"和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值