9.末尾点删除处理缺陷
给出源码:
php
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空试分析,源码想要实现文件名末尾删除"."直到最后不是".",但如果"."之前还有空格,此时还是无法限制非法文件上传。于是我们可以试试". ."即点-空格-点的形式,绕过文件限制。
简单思路:开启BP拦截,上传info.php文件,拦截内容后将"info.php"改为"info.php. .",在关闭拦截,此时就可以成功上传文件。(复制图像地址访问时,要删掉. .)
10.重写绕过
源码碰到这样的:
php
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);这里要说明一个函数str_ireplace(deny_ext,"",file_name);
第一个参数是所有文件名的黑名单,第三个参数是上传的文件名,该函数意为将如果上传的文件名在黑名单中,则全部替换为空,那也就是我们所有的php等后缀都无法生效,但是我们可以利用这一特点,代码执行从左至右,我们可以嵌套php在php里,例如info.pphphp,代码从左至右运行时,会将中间的php置换为空,就剩下info.php了,刚好文件生效。
文件上传成功。
11.截断欺骗(使用%00)
问题:使用%00还是无法上传
解决:PHP5.3后面的版本已经修复了%00的漏洞,只需要修改两个地方即可。
①将php版本改小;(phpstudy的切换版本里面)②php的magic_quotes_gpc设置关闭状态。(phpstudy的其他选项菜单-PHP扩展及设置-参数开关设置,将magic_quotes_gpc关闭即可)
%00是操作系统的底层漏洞,在文件上传时可以用来截断绕过过滤。
简单理解一下:
php
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;如果源码中存在这句话,说明进行了严格的参数提取,得到的结果就是:(eg)
save_path=../upload/ filename="123.jpg"
这样对于攻击者没有下手的地方,但是如果我们使用%00截断,就可以绕过。
例如:将路径改为../upload/1.php%00 filename依旧是"123.jpg"
那么代码运行时因为存在漏洞,就可以将%00后面的东西全部截断,看似上传图片文件,实则在服务端上传的时1.php文件。
简单思路:开启BP拦截,上传loudong.jpg文件。
php
#loudong.jpg的代码如下:
<?php
phpinfo();
?>上传后,BP拦截数据,将../upload/后面加1.php%00即可。filename不用改。
上传成功复制图像地址,直接访问1.php,如图: