php中提交代码漏洞,[代码审计] PHP 上传漏洞总结

最新推荐文章于 2024-04-26 11:56:43 发布
最新推荐文章于 2024-04-26 11:56:43 发布
阅读量340 收藏 1
点赞数
文章标签: php中提交代码漏洞

背景:

这两天在网上瞎看,看到别人总结的一个上传漏洞靶场,觉得很不错,就是自己测试了下,感觉对代码审计能力提高还是有帮助的,下面简单介绍靶场的解题思路(当然,每一题可能存在多种上传方式)。

一、环境搭建

建议使用靶场提供的测试环境。

二、解题思路

Pass-01:

检查代码:

function checkFile() {

var file = document.getElementsByName('upload_file')[0].value;

if (file == null || file == "") {

alert("请选择要上传的文件!");

return false;

}

//定义允许上传的文件类型

var allow_ext = ".jpg|.png|.gif";

//提取上传文件的类型

var ext_name = file.substring(file.lastIndexOf("."));

//判断上传文件类型是否允许上传

if (allow_ext.indexOf(ext_name + "|") == -1) {

var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;

alert(errMsg);

return false;

}

}

由代码可知程序仅用js在前端做了简单的后缀名检查,很容易绕过。

27de39b45aa6dcbc3da610bcb2f8fc0c.png

本地目录放两个文件,一个phpinfo.png,一个phpinfo.php。 上传phpinfo.png抓包,在这将png改成php即可。

Pass-02:

检查代码:

$is_upload = false;

$msg = null;

if (isset($_POST['submit'])) {

if (file_exists($UPLOAD_ADDR)) {

if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {

if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {

$img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];

$is_upload = true;

}

} else {

$msg = '文件类型不正确,请重新上传!';

}

} else {

$msg = $UPLOAD_ADDR.'文件夹不存在,请手工创建!';

}

}

这里仅对上传type类型做了判断。

2cffe62f8bb516430a78bcdf4fd45a97.png

这里将Content-Type: application/octet-stream修改成Content-Type: image/png即可。

Pass-03:

检查代码:

$is_upload = false;

$msg = null;

if (isset($_POST['submit'])) {

if (file_exists($UPLOAD_ADDR)) {

$deny_ext = array('.asp','.aspx','.php','.jsp');

$file_name = trim($_FILES['upload_file']['name']);

$file_name = deldot($file_name);//删除文件名末尾的点

$file_ext = strrchr($file_name, '.');

$file_ext = strtolower($file_ext); //转换为小写

$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

$file_ext = trim($file_ext); //收尾去空

if(!in_array($file_ext, $deny_ext)) {

if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) {

$img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name'];

$is_upload = true;

}

} else {

$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';

}

} else {

$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';

}

}

这里只对基本类型做了简单的判断,可以上传php3,php5等类型的文件,由于我的环境配的不能解析php3等类似的文件,所以这里我们上传.htaccess文件,内容如下

AddType application/x-httpd-php .jpg

意思让服务器将.jpg文件当做php解析。

然后在上传phpinfo.jpg即可。

Pass-04:

同pass-03一样,先上传.htaccess, 然后上传phpinfo.jpg

Pass-05:

检查代码:

$is_upload = false;

$msg = null;

if (isset($_POST['submit'])) {

if (file_exists($UPLOAD_ADDR)) {

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");

$file_name = trim($_FILES['upload_file']['name']);

$file_name = deldot($file_name);//删除文件名末尾的点

$file_ext = strrchr($file_name, '.');

$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

$file_ext = trim($file_ext); //首尾去空

if (!in_array($file_ext, $deny_ext)) {

if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {

$img_path = $UPLOAD_ADDR . '/' . $file_name;

$is_upload = true;

}

} else {

$msg = '此文件不允许上传';

}

} else {

$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';

}

}

代码中未对文件后缀大小写做判断,直接上传phpinfo.PHP即可。

Pass-06:

检查代码:

$is_upload = false;

$msg = null;

if (isset($_POST['submit'])) {

if (file_exists($UPLOAD_ADDR)) {

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");

$file_name = trim($_FILES['upload_file']['name']);

$file_name = deldot($file_name);//删除文件名末尾的点

$file_ext = strrchr($file_name, '.');

$file_ext = strtolower($file_ext); //转换为小写

$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

if (!in_array($file_ext, $deny_ext)) {

if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {

$img_path = $UPLOAD_ADDR . '/' . $file_name;

$is_upload = true;

}

} else {

$msg = '此文件不允许上传';

}

} else {

$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';

}

}

上传phpinfo.php,使用burpsuit将文件名改成phpinfo.php. .即可

fd38f3f211caf61926ed1b3419b881b5.png

Pass-07:

检查代码:

$is_upload = false;

$msg = null;

if (isset($_POST['submit'])) {

if (file_exists($UPLOAD_ADDR)) {

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");

$file_name = trim($_FILES['upload_file']['name']);

$file_ext = strrchr($file_name, '.');

$file_ext = strtolower($file_ext); //转换为小写

$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

$file_ext = trim($file_ext); //首尾去空

if (!in_array($file_ext, $deny_ext)) {

if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {

$img_path = $UPLOAD_ADDR . '/' . $file_name;

$is_upload = true;

}

} else {

$msg = '此文件不允许上传';

}

} else {

$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';

}

}

上传phpinfo.php,使用burpsuit将文件名改成phpinfo.php.即可

b55e4d6651c6f20c5db601dc499e278c.png

Pass-08:

检查代码:

$is_upload = false;

$msg = null;

if (isset($_POST['submit'])) {

if (file_exists($UPLOAD_ADDR)) {

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");

$file_name = trim($_FILES['upload_file']['name']);

$file_name = deldot($file_name);//删除文件名末尾的点

$file_ext = strrchr($file_name, '.');

$file_ext = strtolower($file_ext); //转换为小写

$file_ext = trim($file_ext); //首尾去空

if (!in_array($file_ext, $deny_ext)) {

if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {

$img_path = $UPLOAD_ADDR . '/' . $file_name;

$is_upload = true;

}

} else {

$msg = '此文件不允许上传';

}

} else {

$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';

}

}

上传phpinfo.php,使用burpsuit将文件名改成phpinfo.php ::$DATA即可

61e75a2a38b1d32afaca79a8f879966f.png

Pass-09:

同pass-06一样,抓包改文件名为phpinfo.php. .即可

Pass-10:

检查代码:

```

$is_upload = false;

$msg = null;

if (isset($_POST['submit'])) {

灯火熄灭时
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpweb通用上传漏洞
05-16
phpweb通用上传漏洞 一键GETshell 不用多解释了
你不知道的文件上传漏洞php代码分析
12-18
开发文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。 文件处理一般包含两项功能,用户上传和展示文件,如上传头像。 文件上传攻击示例 upload.php <?php $uploaddir = '...
PHP漏洞全解(九)-文件上传漏洞
weixin_34072637的博客
02-13 151
一套web应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件。 下面是一个简单的文件上传表单 <form action="upload.php" method="post" enctype="multipart/form-data" name="form1"> <input type="file" name="file1" />&l...
网络安全之文件上传漏洞(上篇)(技术进阶)
最新发布
weixin_70911257的博客
04-26 2336
文件上传漏洞就是服务器端脚本没有对上传的文件进行严格的过滤和验证,导致黑客利用这个漏洞上传恶意脚本从而达到控制整个网站甚至是服务器。文件上传绕过方法不是一成不变的,我这里一关列举了一种方法,在熟练运用后会发现原来同一关可以有多个绕过方法,所以灵活运用晓其原理才能更好的玩转文件上传漏洞篇下个星期一更!!
PHP文件上传漏洞
bianb123的博客
08-02 258
1、上传接口加会话校验 2、限制文件大小 3、判断文件后缀 png 、jpeg 、jpg..... 4、校验文件类型 image/jpeg、image/png....... 5、上传成功md5重新命名,防止伪造多类型后缀攻击 (1.php 2.png) 6、通过imagecreatefromjpeg()和imagecreatefrompng()函数将上传的图片文件重新写入到一个新...
php 上传文件漏洞,PHP任意文件上传漏洞(CVE-2015-2348)分析与利用
weixin_35282782的博客
03-09 841
PHP任意文件上传漏洞(CVE-2015-2348)分析与利用2015-04-02 23:36:56阅读:0次今天安全研究人员发布了一个漏洞——PHP任意文件上传漏洞(CVE-2015-2348)。通常情况下,php的开发者会对文件名后缀、文件类型(Content-Type)、Mime type、文件大小等进行检查来限制恶意php脚本的上传,但是攻击者可以利用该漏洞绕过这些限制,直接上传恶意的...
PHP代码审计之CSRF-CSRF漏洞源码审计总结
04-09
PHP代码审计之CSRF/CSRF漏洞源码审计总结 DedeCMS-V5.7-U TF8-SP2.tar.gz DedeCMS-V5.7-UTF8-SP2.tar .gz DedeCMS-V5.7-UTF8-SP2.tar.gz PHP代码审 计之CSRF.part2.rar (15.67 MB)
通过代码审计找出网站的XSS漏洞实战
02-24
反向审计打蛇打七寸,说明在关键位置做事效率会更高,代码审计找出漏洞也是同理,因此笔者需要找出XSS关键的位置;对于目前的大多数Web应用来说,MVC模式是非常主流的一种形式,因此笔者这里将找到对应的控制器和模板...
PHP漏洞挖掘(九):PHP网站代码审计实战——课程资源百度网盘下载.txt
05-06
PHP漏洞挖掘(九):PHP网站代码审计实战——课程资源百度网盘下载,亲测真实有效可用!包含视频+课程资料.zip,在知识星球也分享了该资源,知识星球:W小哥
PHP代码审计文档.zip
11-02
第12课:PHP代码审计文件上传漏洞mp4 第11课:代码审计之CSRF漏洞mp4 第10课:代码审计之XSS漏洞mp4 第9课:代码审计之命令执行漏洞mp4 第8课:代码审计代码执行漏洞mp4 第7课:PHP代码审计宽字节注入及二次注入...
基于正反向分析的SQL,XSS漏洞检测系统(php代码审计web版)
07-19
基于正反向分析的SQL,XSS漏洞检测系统(php代码审计web版) 用户角色 管理员 admin 123456 模块介绍 登陆模块 sql文件静态分析模块 phparser树形处理,json返回处理结果 sql显示image模块 graphviz生成pdf文件...
php代码审计入坑实践.pdf
07-30
仅拿出几个洞作为例子进行入坑的讲解, 主要是使用 rips 进行辅助审计, 本文是针对小白入坑作为抛砖引玉, 理论的还未进行详细总结, 本来想在最后加上盾灵系统的审计过程。但是觉得 CMS, 不适合刚入门的同学先...
PHP代码审计音频文件.zip
11-02
任务12:PHP代码审计文件上传漏洞mp4 任务11:代码审计之CSRF漏洞mp4 任务10:代码审计之XSS漏洞mp4 任务9:代码审计之命令执行漏洞mp4 任务8:代码审计代码执行漏洞mp4 任务7:PHP代码审计宽字节注入及二次注入...
PHP代码审计资料整理
03-04
PHP代码审计是软件开发过程的一个重要环节,尤其是在后端开发领域。它涉及到对PHP代码进行深入检查,以发现潜在的安全漏洞、性能瓶颈和其他质量问题。本资料整理将围绕PHP代码审计这一主题,涵盖PHP开发语言的...
php代码审计-代码执行.pdf
12-14
代码审计可以检查代码是否存在安全漏洞,例如 eval() 函数、assert() 函数、preg_replace() 函数等。 例如,我们可以使用以下方式来检查代码是否存在 eval() 函数: ```php <?php $search = 'eval'; $code = ...
PHP代码审计7—文件上传漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-01 3246
文件上传基础整理与示例分析
参透网站上传php文件,渗透测试文件上传安全检测与webshell分析
weixin_39965490的博客
03-11 109
前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,IOS端都采用的JSP+oracle数据库架构开发,前端使用VUE,服务器是linux centos系统.下...
文件上传漏洞
aetlypdlg_ys的博客
04-08 243
Webshell就是asp、php、jsp等网页文件形式存在的一种**代码/命令执行环境**,也可以称为一种网页后门,主要用于网站管理、服务器管理、权限管理等操作。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器的WEB目录下的正常网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。Webshell最大的优点就是可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值