22-任意文件上传-(二)

已于 2024-06-22 19:31:19 修改
阅读量1.2k 收藏 25
点赞数 20
分类专栏: 渗透测试 文章标签: java android 开发语言
于 2024-05-11 09:06:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42321190/article/details/138678021
版权

dd51fc3f9d1e438a984f6d24480d7b3a.png

三、upload-labs靶场环境测试学习

Pass-06

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

 利用Windows系统的文件名特性。文件名最后增加空格和点,写成1.php .,这个需要用burpsuite抓包修改,上传后保存在Windows系统上的文件名最后的一个.会被去掉,实际上保存的文件名就是1.php

66aab670d3474b6d8bc342d15a4c4708.png查看目标主机上传成功

d18ba4aeba7f499eb0493a3eb6203305.png

上传的文件右击-复制图像链接-粘贴到蚁剑url-输入密码远程控制

http://10.0.0.101:90/upload/upload/202405101118054802.php

Pass-07

源代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

原理同Pass-06,文件名后加点和空格,改成1.php.

Pass-08

源代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

分析代码,少了    $file_ext = str_ireplace(‘::$DATA‘, ‘‘, $file_ext);//去除字符串::$DATA    这一句,我们可以采用Windows文件流特性绕过,文件名改成:

1.php::$DATA , 上传成功后保存的文件名其实是1.php

选择文件-1.jpg-bp拦截请求-修改1.jpg为1.php::$DATA-放包

df127c581e2f4a33a66813eb6cb8a809.png

查看目标主机上传成功1c28dc5c9a3042f985684f332d497a68.png 

 上传的文件右击-复制图像链接-粘贴到蚁剑url-输入密码远程控制

http://10.0.0.101:90/upload/upload/202405101151373050.php
//不需要输入::$data

Pass-09

源代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

原理同Pass-06,上传文件名后加上点+空格+点,改为1.php. .

31cc61ca09544b20a96ac430ef670ce2.png

查看目标主机上传成功

e7a1bd838b2e4d5e9e2887cd93cf70cb.png

上传的文件右击-复制图像链接-粘贴到蚁剑url-输入密码远程控制

7209ea6d8ae84c48ae715d001a8027ff.png

http://10.0.0.101:90/upload/upload/1.php

Pass-10

源代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

分析代码,由于 $file_name = str_ireplace($deny_ext,"", $file_name);   只对文件后缀名进行一次过滤,这样的话,双写文件名绕过,文件名改成1.pphphp

选择文件-1.jpg-bp拦截请求-修改1.jpg为1.pphphp-放包

36da8a9337a84a88badd691f848a360e.png

查看目标主机上传成功 

4746a734835348738e70d471b422af63.png

Pass-11

源代码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

## "/".rand(10, 99) - 添加一个随机的两位数,范围在10到99之间,用作文件名的一部分,以避免文件名冲突。
## date("YmdHis") - 获取当前日期和时间,格式为 "年月日时分秒",如 "20230510111805",这提供了时间戳,确保文件名的独特性。

分析代码,这是以时间戳的方式对上传文件进行命名,使用上传路径名%00截断绕过,不过这需要对文件有足够的权限,比如说创建文件夹,上传的文件名写成1.jpg, save_path改成../upload/1.php%00 (1.php%00经过url转码后会变为1.php\000.jpg),最后保存下来的文件就是1.php

15f86cee1b964643afcc9e0ea08ac61e.png

查看目标主机上传成功 4f0697be545b43da90a0325e98377799.png

前提要求:php版本要小于5.3.4,5.3.4及以上已经修复该问题;magic_quotes_gpc需要为OFF状态

c56033f8e2d046129cd59b1c37a913b6.png7f93ae989c5f4c90bbee3f19bd07abf4.png

Pass-12

源代码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传失败";
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

原理同Pass-11,上传路径0x00绕过。利用Burpsuite的Hex功能将save_path改成../upload/1.php【二进制00】形式

1、bp抓包save_path./upload/1.php后面打几个空格

dde30883d0624b7dae8608affd02ed61.png

 Hex里./upload/1.php后面的空格十六进制为20改为00

2f626e7b8e5c476592e17b077f1959b6.png

2464dfdf6c7d43e49ad896ea4944251b.png

 查看效果-放包

6e37e09f0d8745dfa196f5790f6b2716.png

 查看目标主机上传成功 

 eab788681d354ca5a63145e5a35d3b9e.png

Pass-13

源代码

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if($file_type == 'unknown'){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

绕过文件头检查,添加GIF图片的文件头GIF89a,绕过GIF图片检查。

以下也可以绕过
jpg
png
gif

9059e4d17412419cba8a0cceb1f9c52b.png

  查看目标主机上传成功 

6a6f721523424e8489ef6ff16ddf0bb0.png

 使用文件包含漏洞能运行图片马中的恶意代码。

http://10.0.0.101:90/upload/include.php?file=./upload/3320240510215319.gif
文件包含绕过:include.php?file=./

dd39b402bd0f4d64ac0d01b5735eae2d.png

 尝试蚁剑远程控制

URL:
http://10.0.0.101:90/upload/include.php?file=./upload/3320240510215319.gif
密码:
joker

c4345379e8544a6c92c6cf783fdfece1.png

 远程连接成功

402ae2ed740c4873af827cdf967d18cf.png (一般使用一句话木马上传)

Pass-14

源代码

function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
        $info = getimagesize($filename);
        $ext = image_type_to_extension($info[2]);
        if(stripos($types,$ext)>=0){
            return $ext;
        }else{
            return false;
        }
    }else{
        return false;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

同Pass-13加GIF图片的文件头GIF89a绕过

Pass-15

源代码

function isImage($filename){
    //需要开启php_exif模块
    $image_type = exif_imagetype($filename);
    switch ($image_type) {
        case IMAGETYPE_GIF:
            return "gif";
            break;
        case IMAGETYPE_JPEG:
            return "jpg";
            break;
        case IMAGETYPE_PNG:
            return "png";
            break;    
        default:
            return false;
            break;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

Pass-16

源代码

原理:将一个正常显示的图片,上传到服务器。寻找图片被渲染后与原始图片部分对比仍然相同的数据块部分,将Webshell代码插在该部分,然后上传。具体实现需要自己编写Python程序,人工尝试基本是不可能构造出能绕过渲染函数的图片webshell的。

这里提供一个包含一句话webshell代码并可以绕过PHP的imagecreatefromgif函数的GIF图片

19ca8daf67e14321b314fef0f996fa78.png

打开被渲染后的图片,Webshell代码仍然存在

0d26a614de5c42f6a8550fd882f3415d.png

提供一个jpg格式图片绕过imagecreatefromjpeg函数渲染的一个示例文件。 直接上传示例文件会触发Warning警告,并提示文件不是jpg格式的图片。但是实际上已经上传成功,而且示例文件名没有改变。

 35885129308847409a5a07e6a1cf685d.png

 8128184aa15d45d2b1e98251569f8fe1.png从上面上传jpg图片可以看到我们想复杂了,程序没有对渲染异常进行处理,直接在正常png图片内插入webshell代码,然后上传示例文件即可,并不需要图片是正常的图片。

9e32cd955b5e4e55aecfd397d471830e.png

程序依然没有对文件重命名,携带webshell的无效损坏png图片直接被上传成功。 

077541292b2443299ea385fac37c1d70.png

Pass-17

源代码:

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

 利用条件竞争删除文件时间差绕过。使用命令pip install hackhttp安装hackhttp模块,运行下面的Python代码即可。如果还是删除太快,可以适当调整线程并发数。

在脚本运行的时候,访问Webshell

c23edfff38364fc48c6066cf4aff2202.png

 也可以使用burp来完成:

这关利用的是竞争条件,服务器先允许你上传文件,然后检测是否合法,不合法再删除,我们要利用的就是在服务器删除前,访问到我们上传的php。

例如这里我准备一个tj.php,内容为

f04b4d8c4214484f8cdb65f414cda697.png

条件竞争中burp需要线程设置偏大

6ab5f9ab86a14afab1a1d8ee176bae5d.png

ef3c4c56222d40a4824dc92daa6e612c.png

这里我上传我的tj.php,然后不停的访问test.php上传后的地址,即http://www.hack_upload.com/upload/test.php

这里使用两个发包器,一个包是上传我们test.php的包,一个是访问我们上传test.php后的地址

 904e06065b314b2aa15d0ec50454614a.png

  利用条件竞争,访问tj.php成功,所以新建了一个qing.php2c50b60f33cb4fcf80ff9a513169519a.png

Pass-18

源代码:

//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
    require_once("./myupload.php");
    $imgFileName =time();
    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
    $status_code = $u->upload(UPLOAD_PATH);
    switch ($status_code) {
        case 1:
            $is_upload = true;
            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
            break;
        case 2:
            $msg = '文件已经被上传,但没有重命名。';
            break; 
        case -1:
            $msg = '这个文件不能上传到服务器的临时文件存储目录。';
            break; 
        case -2:
            $msg = '上传失败,上传目录不可写。';
            break; 
        case -3:
            $msg = '上传失败,无法上传该类型文件。';
            break; 
        case -4:
            $msg = '上传失败,上传的文件过大。';
            break; 
        case -5:
            $msg = '上传失败,服务器已经存在相同名称文件。';
            break; 
        case -6:
            $msg = '文件无法上传,文件不能复制到目标目录。';
            break;      
        default:
            $msg = '未知错误!';
            break;
    }
}

//myupload.php
class MyUpload{
......
......
...... 
  var $cls_arr_ext_accepted = array(
      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
      ".html", ".xml", ".tiff", ".jpeg", ".png" );

......
......
......  
  /** upload()
   **
   ** Method to upload the file.
   ** This is the only method to call outside the class.
   ** @para String name of directory we upload to
   ** @returns void
  **/
  function upload( $dir ){
    
    $ret = $this->isUploadedFile();
    
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->setDir( $dir );
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkExtension();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkSize();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }
    
    // if flag to check if the file exists is set to 1
    
    if( $this->cls_file_exists == 1 ){
      
      $ret = $this->checkFileExists();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }

    // if we are here, we are ready to move the file to destination

    $ret = $this->move();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }

    // check if we need to rename the file

    if( $this->cls_rename_file == 1 ){
      $ret = $this->renameFile();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }
    
    // if we are here, everything worked as planned :)

    return $this->resultUpload( "SUCCESS" );
  
  }
......
......
...... 
};

刚开始没有找到绕过方法,最后下载作者Github提供的打包环境,利用上传重命名竞争+Apache解析漏洞,成功绕过。

上传名字为18.php.7Z的文件,快速重复提交该数据包,会提示文件已经被上传,但没有被重命名。

 3fc2f6f6620148acbdf305836edd5403.png

快速提交上面的数据包,可以让文件名字不被重命名上传成功。

然后利用Apache的解析漏洞,即可获得shell

c0cea46a9c184cbca6a771e44813a2b8.png

Pass-19

源代码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

        if(!in_array($file_ext,$deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) { 
                $is_upload = true;
            }else{
                $msg = '上传出错!';
            }
        }else{
            $msg = '禁止保存为该类型文件!';
        }

    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

 原理同Pass-11,上传的文件名用0x00绕过。改成19.php【二进制00】.1.jpg

Pass-20

源代码:

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

解题思路

  • 文件命名规则:$file_name = reset($file) . '.' . $file[count($file) - 1];
  • reset():将内部指针指向数组中的第一个元素,并输出。
  • end():将内部指针指向数组中的最后一个元素,并输出。
  • $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];如果save_name不为空则file为save_name,否则file为filename
  • if (!is_array($file))判断如果file不是数组则以’.’分组
  • 文件名命名规则$file_name = reset($file) . '.' . $file[count($file) - 1];
  • 我们POST传入一个save_name列表:['info20.php', '', 'jpg'],此时empty($_POST['save_name']) 为假则file为save_name,所以由$ext = end($file);为jpg可以通过后缀名判断(判断结束后最后一个元素jpg弹出),并且最终文件名组装为upload20.php.

解题步骤

  • 上传包数据为:

6e51552928a1401d8046caad84c1040c.png

Xlbb.
关注
  • 20
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
任意文件上传
m0_56578216的博客
08-31 152
文件上传是Web 应用必备功能之一,如,头像上传,附件分享等。如果服务器配置不当或者没有进行足够的过滤,Web 用户就可以上传任意文件,包括恶意脚本文件,exe 程序等等,这就造成了任意文件上传漏洞。如果服务器配置不当或没有进行足够的对文件的验证和过滤(根据后缀名、内容、类型检测过滤),导致用户可以上传任意文件,包括恶意的脚本文件,这就是任意文件上传漏洞。
允许 WordPress 上传任意文件的方法
09-29
从 WP 2.8.5 开始文件上传使用预定义的文件扩展名列表过滤,管理员也不例外。
常见的测试文件上传方法
weixin_52501704的博客
12-17 1513
常见测试文件上传的方法
4.任意文件上传
qq_45926195的博客
10-29 1135
4.1什么是任意文件上传 大多数网站都有文件上传的接口,但如果在后台开发时并没有对上传的文件进行安全考虑或采用了有缺陷的措施,导致攻击者可以通过一些手段绕过安全措施从而上传一些恶意文件,从而通过该恶意文件的访问来控制整个后台 4.2文件上传的绕过方式 一般分为客户端和服务端 客户端是js绕过 用burpsuite抓个包改一下扩展名试一下,服务端绕过分为检查后缀,检查内容,和其他绕过。检查后缀主要是黑名单和白名单绕过 ,黑名单的话 ,上传特殊解析后缀、后缀大小写绕过、点绕过、空格绕过、::$DATA绕.
上传文件测试点
q297422的博客
06-28 2568
上传文件测试点
渗透测试-任意文件上传及客户端绕过案例
lza20001103的博客
04-25 902
任意文件上传及客户端绕过案例
commons-fileupload 文件上传 图片上传 demo
10-09
Java开发中,文件上传是一项常见的功能,尤其是在Web应用程序中,用户可能需要上传图片、文档等各类文件。Apache Commons FileUpload 就是一个专门用于处理HTTP请求中的多部分数据(multipart/form-data),即文件...
【基础篇】第04篇:PHP代码审计笔记--任意文件上传1
08-03
GitHub项目地址:https://github.com/c0ny1/upload-labsjs判断文件上传文件类型,抓包绕过文件类型匹配,抓包修改Conte
LvyeCms-含有任意文件写入漏洞的源码.zip
12-31
在LvyeCms中,这个漏洞很可能出现在文件上传、配置文件更新或模板编辑等涉及文件操作的功能模块。通常,攻击者会寻找存在漏洞的接口,通过POST请求提交特制的数据,比如利用PHP的文件包含函数(如`include`或`...
安全修复--任意文件上传
一杯咖啡的渗透记忆
03-07 3524
任意文件上传修复注意点如下: 1.文件大小的合理限制 (通用5M大小限制,具体可根据业务需求设置) 2.白名单检查文件扩展名 3.确保文件名不包含任何可能被解释为目录或遍历序列 ( ../) 的子字符串 4.重命名上传的文件以避免可能导致现有文件被覆盖的冲突 5.隐藏上传文件路径 6.病毒扫描 (影响性能,根据客户需要设置) 7.上传文件的存储目录禁用执行权限 8.在完全验证之前不要将文件上传到服务器的永久文件系统. 9.内容检测要求: A. 文件类型根据具体业务需求设置...
任意文件上传漏洞
gaomei2009的专栏
08-24 2313
任意文件上传漏洞
上传任意文件或者上传漏洞
q908544703的博客
06-02 7641
1.上传任意文件 缺陷描述: 允许用户上传文件可能会让攻击者注入危险内容或恶意代码,并在服务器上运行。举例如下: 2.上传漏洞 问题描述:没有对上传文件扩展名进行限制或者限制可以被绕过。 整改方案: 1.校验文件格式 2.通过文件头校验文件格式 3.文件大小校验 4.文件重命名 1.校验文件格式(配置上传白名单) 1.通过文件头校验文件格式(通过获取文件头文件类型和配置上传白名单比较) ...
web安全(6)-- 任意文件上传漏洞
TaneRoom的博客
11-21 1万+
上传漏洞这个顾名思义,就是攻击者通过上传木马文件,直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。 导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。
任意文件上传 绕过方式
qq_45813196的博客
03-24 396
MIME-TYPE概念:设定某种扩展名文件用一种应用程序打开的方式类型,当文件被访问时,浏览器会自动使用制定应用程序打开 绕过黑名单验证: 文件后缀名验证: 介绍:避免上传可执行的脚本,为了防止上传脚本需要设置对应的验证方式。 分为基于白名单验证和基于黑名单验证。 黑名单可通过枚举绕过(bp intruder) .htaccess文件: 是Apache服务器中的一个配置文件,负责相关目录的网页配置。 可以上传.htaccess文件,内容为SetHandler application/x-httpd-php,
文件上传漏洞原理与实例测试
wuqiongrj的博客
07-22 1万+
0x00 什么是文件上传 为了让用户将文件上传到网站,就像是给危机服务器的恶意用户打开了另一扇门。即便如此,在今天的现代互联网的Web应用程序,它是一种常见的要求,因为它有助于提高业务效率。企业支持门户,给用户各企业员工有效地共享文件。允许用户上传图片,视频,头像和许多其他类型的文件。向用户提供的功能越多,Web应用受到攻击的风险和机会就越大,这种功能会被恶意用户利用,获
文件上传功能测试的测试点
热门推荐
狂飙兔的博客
10-18 1万+
文件上传功能测试的测试点 1.选择符合要求的文件,上传 上传成功 2.查看下载上传成功的文件 上传的文件可查看或下载 3.删除上传成功的文件 文件可删除 4.替换上传成功的文件 文件可替换 5.路径是否可以手工输入 如不可以,给出提示 6.手动输入正确的文件路径,上传 提示上传成功 7.输入正确的文件路径,上传,在上传过程中,在本地修改上传文件名或文件类型 8.输入正确
文件上传功能测试点整理
ZJL1300349805的博客
10-14 4739
最近有任务中包含了上传功能的测试,总结下文件上传的功能测试点~ 文件类型检查 指定的文件类型,允许上传 指定之外的文件类型,不允许上传并做出合理提示 指定的文件类型后缀大写,允许上传 指定的文件类型后缀大小写混合,允许上传 文件大小检查 假设限制上传文件最大为X: 指定文件类型的文件小于X,允许上传 指定文件类型的文件等于X,不允许上传 指定文件类型的文件大于X,不允许上传并给出合理提示 ...
金和oa jc6 ntko-upload 任意文件上传漏洞
最新发布
01-16
然而,金和OA JC6和NTKO-Upload存在一个任意文件上传漏洞。该漏洞可能会被恶意攻击者利用,上传恶意文件,从而对系统造成潜在的安全风险。 恶意上传的文件可能包含恶意代码、病毒或其他有害的文件,攻击者可通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值