upload-labs:pass-21

 

 

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功！";
                $is_upload = true;
            } else {
                $msg = "文件上传失败！";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件！";
}

if (!is_array($file))这句话有点奇怪，为什么要判断文件名是不是数组呢？说明这里存在绕过。

 再配合上传成功的图片的包，发现这里的save_name在后端看成了一个数组来弄。这其中end()函数取数组中最后一个值，reset()函数取第一个值，于是我们save_name[0]=shell.php,save_name[2]=jpg。

文件名形成的后缀是索引为数组长度减一的元素save_name[1]，而save_name[1]我们没有设置，所以直接为空。