PHP代码审计 -- 文件上传

最新推荐文章于 2024-04-18 17:30:00 发布
最新推荐文章于 2024-04-18 17:30:00 发布
阅读量979 收藏 4
点赞数
分类专栏: 代码审计 文章标签: php 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46635165/article/details/121953214
版权

工具&环境

工具:Seay源代码审计系统,文本编辑器一个
环境:phpstudy,网站源码是 zbzcms

步骤

1, 将zbzcms网站源码放入phpstudy,根据网站安装引导完成网站搭建;
2,打开Seay,新建项目 --> 选择网站源码 --> 自动审计,审计完成后点击 漏洞描述对审计结果进行排序,方便结果查看:
在这里插入图片描述3,审计完成,关注存在文件上传这一类,对结果进行观察,一般存在文件上传的地方存在upload,include,up等关键词,然后再看,发现也有文件上传在admin目录下的,这种我们可以猜测是需要登录以后进行上传的,所以首先关注非admin目录下的文件上传点:
在这里插入图片描述4,这里以/cms/cms/include/up.php这个文件为例,首先双击这条结果,进入up.php存在文件上传的地方:
在这里插入图片描述
可以先对这个页面进行访问:
在这里插入图片描述
提示参数有误,说明需要进行传参,然后观察函数,move_uploaded_file,这是一个php函数,直接查看php手册,对于函数,主要观察三个点,函数的功能是什么,函数需要传入什么参数,函数返回的结果:

move_uploaded_file( string $filename, string $destination):
	功能:move_uploaded_file — 将上传的文件移动到新位置
	参数:$filename 文件名, $destination 文件移动的最终位置
	返回结果:true 或者 false

通过php手册可知,这个函数在这里的功能就是将文件名为 $tmp_name的文件,移动到路径为$path的路径下;
因此,对$tmp_name 和 $path 进行全文追踪,查看这两个变量从哪里来的,并且是否可控,全文追踪:选中变量 -->鼠标右键 --> 全文追踪:
在这里插入图片描述

通过全文追踪结果可以看到,$tmp_name 来自一个数组$arr[‘tmp_name’],进而追踪数组 arr 是在foreach 遍历赋值中,通过 $_FILES 产生的,而 $_FILES 是个全局变量,再次查看php手册:

全局变量 $_FILES 包含有所有上传的文件信息。数组的内容来自以下范例表单。我们假设文件上传字段的名称如下例所示,为 userfile。名称可随意命名。 
$_FILES['userfile']['name']
客户端机器文件的原名称。 
$_FILES['userfile']['type']
文件的 MIME 类型,如果浏览器提供此信息的话。一个例子是"image/gif"。不过此 MIME 类型在 PHP 端并不检查,因此不要想当然认为有这个值。 
$_FILES['userfile']['size']
已上传文件的大小,单位为字节。 
$_FILES['userfile']['tmp_name']
文件被上传后在服务端储存的临时文件名。 
$_FILES['userfile']['error']

简单来说,$_FILES是一个全局数组,用于存放上传文件的临时文件名,文件类型,文件大小等重要字段,并且要为POST上传

通过php手册可以得知,我们可以POST以方式上传文件,对$_FILES数组产生影响,进入影响$tmp_name
接下来对$path 进行全文追踪:
在这里插入图片描述

通过全文追踪可以看到,$path 是通过$_GET全局变量获取的,而$_GET全局变量就是从url中get传参获取的,因此$path这个变量是可控的;
代码再往上,我们可以看到有一个if判断,只有 $run 的值为file ,才能进入文件上传,再进行全文追踪查看$run ,可以发现$run 变量是从GET传参获取的:
在这里插入图片描述至此,总结审计流程,进行利用:

* move_uploaded_file() 具有文件移动功能,需要提供$tmp_name ,$path 两个参数;
* $tmp_name可以通过post方式上传文件,影响$_FILES,进而影响$tmp_name,因此需要本地构建一个POST方式的文件上传表单,可控;
* $path为 文件上传路径,通过get 传参 path获取,可控;
* $run 是通过get传参获得,并且值一定要为 file 才能执行文件上传,可控;
* 在审计过程中还发现,如果$path的值,也就是路径在目标上不存在,则会创建新的目录;
* $filename 通过get传参获得,并且它的值会影响文件上传之后的文件名,为1时不更改文件名,为 0时会将时间戳拼接进文件名,
因此还需要将 $filename的值置为 1,方便文件上传之后的访问,可控;

利用:
本地构造文件上传表单,将run置为file使得程序进入上传功能,path设置为当前文件夹,也就是上传到当前文件夹下,filename置为1不更改上传之后的文件名,提交方式为post,enctype=“multipart/form-data”上传文件一定要写:

<html>
<head>
<meta charset="utf-8">
<title>test</title>
</head>
<body>

<form action="http://zbzcms.com/cms/cms/include/up.php?run=file&filename=1&path=./" method="post" enctype="multipart/form-data">
    <label for="file">文件名:</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>

构造完成后直接双击浏览器打开,上传一个1.php, 内容为<?php phpinfo(); ?>:
在这里插入图片描述此时访问1.php,显示出当前php版本等信息即上传成功:
在这里插入图片描述(文末声明:仅供学习参考)

我在干饭
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP代码审计基础:文件上传漏洞
1匹黑马
11-28 454
文章目录漏洞原理危害漏洞条件文件上传的可控点挖掘思路相关函数move_uploaded_file 漏洞原理 文件上传漏洞一些web应用程序中允许上传图片,文本或者其他资源到指定的位置。 文件上传漏洞就是利用网页代码中的文件上传路径变量过滤不严将可执行的文件上传到一个到服务器中,再通过URL去访问以执行恶意代码。 危害 上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞 , 攻击者上传的文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行
php代码审计-文件上传
wulanlin的博客
12-31 200
文件上传漏洞 在现代的web网站中,文件上传功是一种常见的功能。比如一些博客网站,允许用户上传,图片,视频,头像,等许多其他类型的文件。但是向用户接受的文件越多,所面临的信息安全风险也就越大。如果web网站存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行上传到服务器中,最后获取到网站的权限。 一个漏洞百出的文件上传代码 <?php $file=$_FILES['tx']; if(is_uploaded_file($file["tmp_name"])) { if(move_u
ZbzCMS 2.1代码审计
最新发布
2301_80115097的博客
04-18 327
ZbzCMS 2.1代码审计漏洞复现漏洞复现漏洞复现漏洞复现存储型XSS前台任意文件删除前台未授权RCE前台Mysql盲注。
PHP-代码审计-文件上传
weixin_44110913的博客
08-28 436
函数 move_uploaded_file move_uploaded_file ( string $filename , string $destination ) : bool $filename 上传的文件的文件名。 $destination 移动文件到这个位置。 本函数检查并确保由 filename 指定的文件是合法的上传文件(即通过 PHP 的 HTTP POST 上传机制所上传的)。如果文件合法,则将其移动为由 destination 指定的文件。 move_uploaded_
PHP代码审计文件上传
小千安全
10-12 353
_FILES$_FILES['uploadFile']['name'] 客户端文件的原名称。$_FILES['uploadFile']['type'] 文件的 MIME 类型,例如"image/gif"。$_FILES['uploadFile']['size'] 已上传文件的大小,单位为字节。$_FILES['uploadFile']['tmp_name'] 文件被上传后在服务端储存的临时文件名,一般是系统默认。可以在php.ini的upload_tmp_dir指定。
文件上传php代码审计1
m0_55772907的博客
04-30 152
(1)文件上传原理 文件上传是指由于程序员未对上传的文件进行严格的验证和过滤,而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件。 (2)分类 1)任意文件上传 直接获取文件名,把上传的临时文件移动到hackable/uploads目录下。上传后,网页会返回路径,访问url即可getshell。 2)前端js检测后缀名代码分析 客户端html上传文件时调用checkFile函数,首先获取文件后缀名。如果文件未空,弹出“请选择要上传的文件”;如果不为空,且获取上传的文件后缀名 .
PHP代码审计———14、PHP代码审计文件上传
Fly_鹏程万里
05-16 461
审计函数move_uploaded_file超全局变量$_FILES后缀名是图片格式前缀名不能是外部提交的上传的目录不可以是获取外部提交的路径防御使用白名单方式检测文件后缀上传之后按时间能算法生成文件名称上传目录脚本文件不可执行注意%00截断...
PHP 代码审计 (文件上传)
热门推荐
CSDN
08-03 1万+
这里是条件竞争,先将文件上传到服务器,然后判断文件后缀是否在白名单里,如果在则重命名,否则删除,因此我们可以上传1.php只需要在它删除之前访问即可,可以利用burp的intruder模块不断上传,然后我们不断的访问刷新该地址即可。白名单就是允许上传某种类型的文件,该方式比较安全,抓包上传php后门,然后将文件名改为.jpg即可上传成功,但是有时候上传后的文件会失效无法拿到Shell.代码中验证了上传的MIME类型,绕过方式使用Burp抓包,将上传的一句话小马。然后,选择特殊字符,右击。
PHP 代码审计:(一)文件上传
weixin_33826268的博客
08-31 88
PHP 代码审计:(一)文件上传 0x00 概述 在网站的运营过程中,不可避免地要对网站的某些页面或内容进行更新,这时便需要使用到网站上的文件上传功能。如果不对被上传文件进行限制,或限制被绕过,该功能便有可能会被利用于上传可执行文件、脚本到服务器上,今儿进一步导致服务器沦陷。 由此可见,了解上传漏洞的前提是了解文件上传这个功能,以及其中的...
php代码审计【15】文件上传
司徒荆的博客
06-30 387
漏洞条件:文件可上传——知道文件上传路径——上传文件可以被访问——上传文件可以被执行
米安代码审计 05 文件上传漏洞
kevinhanser
07-24 429
本文记录 PHP 代码审计的学习过程,教程为暗月 2015 版的 PHP 代码审计课程 PHP 代码审计博客目录 1. 简介 危害 如果不对被上传的文件进行限制或者限制被绕过,该功能便有可能会被利用于上传可执行文件、脚本到服务器上,进而进一步导致服务器沦陷。 漏洞成因 导致文件上传的漏洞的原因较多,主要包括以下几类 服务器配置不当 开源编辑器上传漏洞 本地文件上传...
上传文件的业务逻辑代码
08-11
用于文件上传的业务逻辑代码,如:页面上有一个添付的按钮点击添付按钮弹出上传文件页面可以同时上传多个文件个数可以限制
判断一个文件是否正在被其它的程序或进程所调用
11-26
判断一个文件是否正在被其它的程序或进程所调用
实验吧_程序逻辑问题(代码审计)&上传绕过
a173262565的博客
03-24 349
一开始我先随便输入了几个账号名字进行测试,发现当输入的账号名为admin时会发生报错 经过测试果然是一个注入点 当拿到admin密码后发现根本没用,没办法另寻他路 审查元素时发现提示index.txt,原来又是一个代码审计,这里把关键代码贴一下 1 <?php 2 3 4 if($_POST[user] && $_POST[pass])...
代码审计.Springboot.文件上传
qq_34012951的博客
02-22 87
2、查看源代码,未对文件名及内容进行过滤。url替换jsp文件名。
springMVC文件上传,判断是否有文件上传,解决没有文件上传时的出现异常的问题
zhaofuwu的博客
09-28 1万+
前言:项目中有这样的需求,多个功能公用一个页面,如添加“添加景区”,“添加派出所”,“添加医院”,“添加学校”等都公用一个页面,公用一个form表单,在添加信息时它们都公用一个方法。 问题:问题在于“添加景区”功能中有一个上传图片文件的功能而其余的功能则没有上传文件的需要。之前我们是在方法中声明:@RequestParam("imageFile") MultipartFile imageFile
文件上传代码逻辑
Leon_Jinhai_Sun的博客
02-04 798
实现图片上传 刚才的新增实现中,我们并没有上传图片,接下来我们一起完成图片上传逻辑。 文件的上传并不只是在品牌管理中有需求,以后的其它服务也可能需要,因此我们创建一个独立的微服务,专门处理各种上传。 搭建项目 创建module 依赖 我们需要EurekaClient和web依赖: <?xml version="1.0" encoding="UTF-8"?> <pr...
代码审计之逻辑上传漏洞挖掘
weixin_33856370的博客
04-07 590
0×00 前言 话说一个人的快乐,两个人分享就成为两份快乐,这个我看未必吧,倘若分享与被分享的两者之间是情敌关系,而分享者快乐的原因恰好是… 哈哈,不说了,都懂的; BUT, 倘若一个技巧被分享出来,那么受益的人我坚信肯定远远不只两个,所以我们更应该学会的是–分享! Today,简单说说漏洞挖掘中由逻辑缺陷造成的文件上传漏洞。 Tips:传统的MIME验证、客户端js验证、黑名单验证、...
PHP使用之move_uploaded_file() 函数
甫式人生
09-21 2388
定义和用法move_uploaded_file() 函数将上传的文件移动到新位置。若成功,则返回 true,否则返回 false。语法move_uploaded_file(file,newloc) 参数 描述 file 必需。规定要移动的文件。 newloc 必需。规定文件的新位置。 zebra stripes are neat 说明本函数检查并确保由 file 指定的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值