文件上传绕过的小点总结(4)

9.末尾点删除处理缺陷

给出源码:

php 复制代码
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空

试分析,源码想要实现文件名末尾删除"."直到最后不是".",但如果"."之前还有空格,此时还是无法限制非法文件上传。于是我们可以试试". ."即点-空格-点的形式,绕过文件限制。

简单思路:开启BP拦截,上传info.php文件,拦截内容后将"info.php"改为"info.php. .",在关闭拦截,此时就可以成功上传文件。(复制图像地址访问时,要删掉. .)

10.重写绕过

源码碰到这样的:

php 复制代码
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);

这里要说明一个函数str_ireplace(deny_ext,"",file_name);

第一个参数是所有文件名的黑名单,第三个参数是上传的文件名,该函数意为将如果上传的文件名在黑名单中,则全部替换为空,那也就是我们所有的php等后缀都无法生效,但是我们可以利用这一特点,代码执行从左至右,我们可以嵌套php在php里,例如info.pphphp,代码从左至右运行时,会将中间的php置换为空,就剩下info.php了,刚好文件生效。

文件上传成功。

11.截断欺骗(使用%00)

问题:使用%00还是无法上传

解决:PHP5.3后面的版本已经修复了%00的漏洞,只需要修改两个地方即可。

①将php版本改小;(phpstudy的切换版本里面)②php的magic_quotes_gpc设置关闭状态。(phpstudy的其他选项菜单-PHP扩展及设置-参数开关设置,将magic_quotes_gpc关闭即可)

%00是操作系统的底层漏洞,在文件上传时可以用来截断绕过过滤。

简单理解一下:

php 复制代码
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

如果源码中存在这句话,说明进行了严格的参数提取,得到的结果就是:(eg)

save_path=../upload/ filename="123.jpg"

这样对于攻击者没有下手的地方,但是如果我们使用%00截断,就可以绕过。

例如:将路径改为../upload/1.php%00 filename依旧是"123.jpg"

那么代码运行时因为存在漏洞,就可以将%00后面的东西全部截断,看似上传图片文件,实则在服务端上传的时1.php文件。

简单思路:开启BP拦截,上传loudong.jpg文件。

php 复制代码
#loudong.jpg的代码如下:
<?php
phpinfo();
?>

上传后,BP拦截数据,将../upload/后面加1.php%00即可。filename不用改。

上传成功复制图像地址,直接访问1.php,如图:

相关推荐
KevinLyu几秒前
PHP内核详解· 内存管理篇(三)· 分配大块内存
php
星光一影10 分钟前
快递比价寄件系统技术解析:基于PHP+Vue+小程序的高效聚合配送解决方案
vue.js·mysql·小程序·php
JaguarJack2 小时前
开发者必看的 15 个困惑的 Git 术语(以及它们的真正含义)
后端·php·laravel
落落鱼201311 小时前
Dompdf库html生成pdf时editor编辑器中文本长度被截断不会自动换行问题处理
pdf·编辑器·php·html生成pdf
xixixi7777711 小时前
信息安全和网络安全的区分在哪
网络·安全·web安全·信息安全
苏琢玉16 小时前
收藏版:Phinx 数据库迁移完全指南
数据库·mysql·php
b0uu17 小时前
2025高校网络安全管理运维赛决赛-取证赛道
安全·web安全
white-persist17 小时前
社会工程学全解析:从原理到实战
网络·安全·web安全·网络安全·信息可视化·系统安全·1024程序员节
介一安全18 小时前
【Web安全】OAuth2.0框架高频安全漏洞分析总结
web安全·网络安全·安全性测试
芯盾时代19 小时前
低空经济网络安全的政策体系构建
安全·web安全·网络安全·低空经济