upload-labs靶场通关详解:第11关

一、分析源代码

php 复制代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

这一关仍然是黑名单过滤,但是它的代码和前几关都不一样, 它这里有一行核心代码,就是

php 复制代码
$file_name = str_ireplace($deny_ext,"", $file_name);

str_ireplace是 PHP 内置函数,用于执行不区分大小写的字符串替换。

语法:str_ireplace(要查找的数组, 替换值, 输入字符串)

这行代码的执行逻辑就是:

1.遍历$deny_ext数组中的每个扩展名;

2.在$file_name中查找匹配项(不区分大小写);

3.将所有匹配的扩展名替换为空字符串(即删除)。

典型处理示例

原始文件名 处理后文件名 说明
shell.php shell. 直接移除.php扩展名
shell.php.jpg shell.jpg 仅移除第一个扩展名
shell.php5 shell. 移除 PHP 旧版本扩展名
SHELL.PHP shell. 大小写不敏感替换
.htaccess . 移除服务器配置文件
exploit.jsp.asax exploit. 同时移除多个危险扩展名

二、解题思路

现在我们知道它可以删除黑名单中的扩展名,那么这关的代码是否存在逻辑漏洞呢?联想第10关结合绕过的方式,是否可以再尝试多次绕过呢?如果我上传文件的后缀名为pphphp,代码从第一位字母p开始读取,读到2-4位的时候发现这三位字母是php,于是将它替换成空白字符(删除),这看起来没什么问题,代码执行下一步,构建路径上传文件。但是,这里的pphphp在php被删除后,后缀只剩下了php,然后被上传,从而构成了文件绕过,这就是双写绕过。

三、解题步骤

1.上传666.php并抓包,修改后缀为pphphp。

2.放行后显示文件上传成功,被保存为666.php。

3.解析测试。

相关推荐
周先森的怣忈1 小时前
渗透高级-----应急响应
网络安全
Johny_Zhao16 小时前
阿里云平台健康检查巡检清单-运维篇
linux·网络安全·阿里云·信息安全·云计算·shell·系统运维
Y_0316 小时前
网络安全基础知识【6】
安全·web安全
一只鹿鹿鹿20 小时前
【制造】erp和mes系统建设方案(word)
大数据·人工智能·web安全·信息化·软件系统
轻抚酸~1 天前
小迪23年-22~27——php简单回顾(2)
web安全·php
芯盾时代1 天前
芯盾时代受邀出席安全可信数据要素交易流通利用研讨会
安全·网络安全·数据安全·芯盾时代
网安Ruler1 天前
Web开发-PHP应用&原生语法&全局变量&数据接受&身份验证&变量覆盖&任意上传(代码审计案例)
网络·安全·网络安全·渗透·红队
雪兽软件1 天前
2025网络安全指南
安全·web安全
轻抚酸~1 天前
小迪23-28~31-js简单回顾
javascript·web安全
一只鹿鹿鹿2 天前
【网络安全】信息网络安全建设方案(WORD)
人工智能·安全·spring·web安全·低代码