PHP文件上传功能
直接上代码
<!DOCTYPE html>
<html>
<head>
<title>文件信息</title>
</head>
<meta charset="utf-8">
<body>
<form action="" enctype="multipart/form-data" method="POST" name="uploadfile">
上传文件: <input type="file" name="upfile" />
<input type="submit" value="http://dearch.blog.51cto.com/10423918/上传" name="submit">
</form>
</body>
</html>
<!-- 完全没有过滤,任意文件上传 -->
<?php
if (isset($_POST['submit'])) {
var_dump($_FILES['upfile']);
echo "文件名:".$_FILES['upfile']['name']."<br />";
echo "文件大小:".$_FILES['upfile']['size']."<br />";
echo "文件类型:".$_FILES['upfile']['type']."<br />";
echo "临时路径:".$_FILES['upfile']['tmp_name']."<br />";
echo "上传后系统返回值:".$_FILES['upfile']['error']."<br />";
echo "====================保存分各线========================<br />";
if ($_FILES['upfile']['error'] == 0) {
if (!is_dir("./upload")) {
mkdir("./upload");
}
$dir = "./upload/".$_FILES['upfile']['name'];
move_uploaded_file($_FILES['upfile']['tmp_name'],$dir);
echo "文件保存路径:".$dir."<br />";
echo "上传成功...<br />";
echo "图片预览:<br />";
}
}
?>
实现了任意文件上传的功能,可以用挂马的方法去读取服务器文件
漏洞防范一
漏洞形成原因没有对文件进行过滤
于是有对文件名的过滤
<?php
if (isset($_POST['submit'])) {
var_dump($_FILES['upfile']);
echo "文件名:".$_FILES['upfile']['name']."<br />";
echo "文件大小:".$_FILES['upfile']['size']."<br />";
echo "文件类型:".$_FILES['upfile']['type']."<br />";
echo "临时路径:".$_FILES['upfile']['tmp_name']."<br />";
echo "上传后系统返回值:".$_FILES['upfile']['error']."<br />";
echo "====================保存分各线========================<br />";
$flag = 0;
switch ($_FILES['upfile']['type']) {
case 'image/jpeg':
$flag = 1;
break;
default:
die("文件类型错误.....");
break;
}
if ($_FILES['upfile']['error'] == 0 && $flag ) {
if (!is_dir("./upload")) {
mkdir("./upload");
}
$dir = "./upload/".$_FILES['upfile']['name'];
move_uploaded_file($_FILES['upfile']['tmp_name'],$dir);
echo "文件保存路径:".$dir."<br />";
echo "上传成功...<br />";
echo "图片预览:<br />";
}
}
?>
这种可以利用%00截断攻击,也可以直接将名字变成.php上传
尽管我们知道我们上传的是一个PHP文件,但是如果不进行%00截断,我们上传的文件在服务器上是以< xxx.php.jpg>格式保存也就是说这是一个图片文件,PHP是不会解析这个文件。当我们进行%00截断后,服务器就会将%00后的<.jpg>进行截断,这是我们的的文件将以< xxx.php> 的形式保存在服务器上,我们的一句话木马也就成功的时上传成功了。
漏洞防范二
<!DOCTYPE html>
<html>
<head>
<title>文件信息</title>
</head>
<meta charset="utf-8">
<body>
<form action="" enctype="multipart/form-data" method="POST" name="uploadfile">
上传文件: <input type="file" name="upfile" />
<input type="submit" value="http://dearch.blog.51cto.com/10423918/上传" name="submit">
</form>
</body>
</html>
<?php
if (isset($_POST['submit'])) {
var_dump($_FILES['upfile']);
echo "文件名:".$_FILES['upfile']['name']."<br />";
echo "文件大小:".$_FILES['upfile']['size']."<br />";
echo "文件类型:".$_FILES['upfile']['type']."<br />";
echo "临时路径:".$_FILES['upfile']['tmp_name']."<br />";
echo "上传后系统返回值:".$_FILES['upfile']['error']."<br />";
echo "====================保存分各线========================<br />";
$flag = 0;
$path_parts = pathinfo($_FILES['upfile']['name']);
echo '---<br>';
var_dump($path_parts); //返回文件路径信息
if ($path_parts['extension'] == 'jpg' && $_FILES['upfile']['type'] == 'image/jpeg') {
$flag = 1;
}else{
die("文件类型错误....");
}
if ($_FILES['upfile']['error'] == 0 && $flag ) {
if (!is_dir("./upload")) {
mkdir("./upload");
}
$dir = "./upload/".$_FILES['upfile']['name'];
echo "文件保存路径:".$dir."<br />";
move_uploaded_file($_FILES['upfile']['tmp_name'],$dir);
echo "上传成功...<br />";
echo "图片预览:<br />";
}
}
?>
如果对文件名进行过滤就可以达到防任意上传的效果
为什么这次不能进行绕过?我们对文件名进行截断后,当数据包到Apache的时候,Apache会对截断处理这时截断的文件 名变为< xxx.php>当PHP判断时会发现文件的后缀为< php>,然后我们就上传失败了….
还是多实现,理解的比较清楚~~