目录
[A.类 Unix 系统示例](#A.类 Unix 系统示例)
[B.Windows 系统示例](#B.Windows 系统示例)
本文通过《upload-labs靶场通关笔记系列》来进行upload-labs靶场的渗透实战,本文讲解upload-labs靶场第20关图片马之杠点绕过渗透实战。
一、pathinfo函数
pathinfo是 PHP 中的一个内置函数,其作用是返回文件路径的信息。借助这个函数,你能够提取出文件路径里的不同部分,像目录名、文件名、扩展名等。
pathinfo(string $path, int $options = PATHINFO_ALL): mixed(1)参数说明
| 参数 | 类型 | 说明 |
|---|---|---|
$path |
string | 要解析的文件路径 |
$options |
int | 可选参数,指定返回的信息部分 |
(2)返回值
-
当不指定
$options时,返回包含所有信息的关联数组 -
当指定
$options时,返回指定部分的字符串
(3)使用示例
假设path为/var/html/www/test20.php,那么使用示例如下所示。
// 只获取目录名
echo pathinfo($path, PATHINFO_DIRNAME); // 输出:/var/html/www/
// 只获取文件名(带扩展名)
echo pathinfo($path, PATHINFO_BASENAME); // 输出:test20.php
// 只获取文件扩展名
echo pathinfo($path, PATHINFO_EXTENSION); // 输出:php
// 只获取文件名(不带扩展名)
echo pathinfo($path, PATHINFO_FILENAME); // 输出:test20二、move_uploaded_file函数
move_uploaded_file是 PHP 中的一个重要函数,主要用于将通过 HTTP POST 上传的临时文件移动到指定的目标位置。在处理文件上传时,它起到了关键作用。
move_uploaded_file ( string $from , string $to ) : bool(1)参数说明
$from:这是必需的参数,代表上传文件在服务器上的临时存储路径。通常,我们可以从$_FILES数组中获取这个临时文件的路径,例如$_FILES['upload_file']['tmp_name']。$to:同样是必需参数,指定了文件要被移动到的目标路径,也就是文件最终保存的位置。这个路径需要包含文件名。
(2)返回值
如果文件成功从临时位置移动到指定的目标位置,函数返回 true;反之,如果移动过程中出现问题,比如目标路径不可写、临时文件不存在等,函数将返回 false。
(3)安全性
move_uploaded_file是 PHP 中用于处理文件上传的函数,其安全性主要体现验证文件是否为合法上传文件, move_uploaded_file会检查指定的文件是否是通过 HTTP POST 上传的合法文件,这可以防止攻击者尝试移动服务器上已有的文件(如 /etc/passwd)或通过其他方式创建的文件。
三、代码审计
打开靶场第20关,本关卡又恢复为通过后缀过滤黑名单的检测方法,具体源码如下所示。
这段代码实现了一个简单的文件上传功能,并且对上传的文件类型进行了限制,详细版注释如下所示。
// 初始化上传状态标志,默认设置为 false,表示文件未成功上传
$is_upload = false;
// 初始化消息变量,用于存储上传过程中的提示信息,初始值为 null
$msg = null;
// 检查是否通过 POST 方式提交了名为 submit 的表单数据
if (isset($_POST['submit'])) {
// 检查指定的上传目录是否存在
if (file_exists(UPLOAD_PATH)) {
// 定义一个数组,包含不允许上传的文件扩展名
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
// 从 POST 数据中获取用户指定的保存文件名
$file_name = $_POST['save_name'];
// 使用 pathinfo 函数提取文件名中的扩展名
$file_ext = pathinfo($file_name, PATHINFO_EXTENSION);
// 检查提取的文件扩展名是否不在禁止上传的扩展名数组中
if (!in_array($file_ext, $deny_ext)) {
// 获取上传文件在服务器上的临时存储路径
$temp_file = $_FILES['upload_file']['tmp_name'];
// 拼接上传文件的完整保存路径,包括上传目录和文件名
$img_path = UPLOAD_PATH . '/' . $file_name;
// 尝试将临时文件移动到指定的保存路径
if (move_uploaded_file($temp_file, $img_path)) {
// 如果移动成功,将上传状态标志设置为 true
$is_upload = true;
} else {
// 如果移动失败,设置提示消息,表明上传出错
$msg = '上传出错!';
}
} else {
// 如果文件扩展名在禁止上传的数组中,设置提示消息,禁止保存该类型文件
$msg = '禁止保存为该类型文件!';
}
} else {
// 如果上传目录不存在,设置提示消息,告知用户手动创建该目录
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
1、流程分析
-
初始化变量 :设置上传状态标志
$is_upload为false,并初始化消息变量$msg为null。 -
检查表单提交 :当用户通过 POST 方式提交名为
submit的表单时,开始处理上传逻辑。 -
检查上传目录 :检查指定的上传目录
UPLOAD_PATH是否存在。如果不存在,提示用户手动创建该目录。 -
文件类型检查 :定义一个包含不允许上传的文件扩展名的数组
$deny_ext。从用户指定的保存文件名中通过pathinfo($path, PATHINFO_EXTENSION)函数提取扩展名,并检查该扩展名是否在禁止列表中。如果在禁止列表中,提示用户禁止保存该类型文件。file_name = _POST['save_name'];
file_ext = pathinfo(file_name, PATHINFO_EXTENSION); -
文件上传 :如果文件扩展名不在禁止列表中,获取上传文件的临时存储路径,并使用move_uploaded_file函数将其移动到指定的保存路径。如果移动成功,将上传状态标志设置为
true;否则,提示用户上传出错。temp_file = _FILES['upload_file']['tmp_name'];// 获取上传文件在服务器上的临时存储路径
img_path = UPLOAD_PATH . '/' . file_name; // 拼接上传文件完整保存路径,包括上传目录和文件名
if (move_uploaded_file(temp_file, img_path)){// 尝试将临时文件移动到指定的保存路径
is_upload = true;// 如果移动成功,将上传状态标志设置为 true } else { msg = '上传出错!';// 如果移动失败,设置提示消息,表明上传出错
}
2、渗透思路
(1)方法一
黑名单未检查大小写、没有尾部去空,没有尾部去点,也没有尾部去::$data等处理逻辑,故而可以使用upload-labs靶场的第6关卡、第7关卡、第8关卡和第九关的渗透方法绕过。假设计划上次脚本test.php,那么渗透方法包括如下方法
- 大小写变体:将文件save_name名重命名为"test.pHP"
- 文件名尾部增加空格:bp改包,将save_name文件名改为"test.php "
- 文件名尾部增加点:bp改包,将save_name文件名改为"test.php."
- 文件名尾部增加::data:bp改包,将save_name文件名改为"test.php::data"
(2)方法二
-
修改save_name为test.php/.此时调用pathinfo会认为后缀名为空,非黑名单后缀,绕过了黑名单检查,具体如下所示。
file_name = _POST['save_name'];
file_ext = pathinfo(file_name, PATHINFO_EXTENSION); -
文件名为test.php/.由于函数move_uploaded_file会忽略/.故而上传后的文件名为test.php从而渗透成功
// 获取上传文件在服务器上的临时存储路径 $temp_file = $_FILES['upload_file']['tmp_name']; // 拼接上传文件的完整保存路径,包括上传目录和文件名 $img_path = UPLOAD_PATH . '/' . $file_name; // 尝试将临时文件移动到指定的保存路径 if (move_uploaded_file($temp_file, $img_path)){ $is_upload = true;// 如果移动成功,将上传状态标志设置为 true } else { $msg = '上传出错!';// 如果移动失败,设置提示消息,表明上传出错 }
A.类 Unix 系统示例
在类 Unix 系统(如 Linux、macOS)和 Windows 系统中,都存在特定的路径解析规则。单个点号(.)在路径中代表当前目录。所以当路径里包含 /. 时,系统会把它理解为当前目录,从而在路径解析过程中 "忽略" 它。 在类 Unix 系统的 shell 中,下面这些路径是等价的:
/path/to/dir/.
/path/to/dir当你使用 cd /path/to/dir/. 和 cd /path/to/dir 时,效果是一样的,都会进入 /path/to/dir 目录。
B.Windows 系统示例
Windows 系统在路径解析上也有类似规则。例如,在命令提示符中输入 cd C:\Users\Admin\. 和 cd C:\Users\Admin ,最终都会进入 C:\Users\Admin 目录。
四、渗透实战
1、制作脚本test20.php
<?
phpphpinfo();
?>2、浏览图片
进入靶场20关,选择test20.php,注意下面保存名称默认为upload-19.jpg,具体如下所示。
3、bp开启拦截
4、点击上传
5、bp拦截
bp捕获到上传报文,下图红框的部分涉及到两个文件名,其中根据源码分析我们指导save_name即为需要修改的文件名upload-19.jpg,需要将"upload-19.jpg"后缀改为"upload-20.php/.",修改之前文件名为"upload-19.jpg",如下所示
6、save_name文件名修改
upload-19.jpg改为"upload-20.php/.",修改后效果如下所示。
7、发包并获取脚本地址
将bp的inception设置为off,此时修改后的报文发送成功。
回到靶场的Pass20关卡,图片已经上传成功,在图片处右键复制图片地址。
右键图片获取图片地址,如下所示获取到图片URL。
http://127.0.0.1/upload-labs/upload/upload-20.php/8、访问脚本
如下所示访问上传脚本获取到服务器的php信息,证明文件上传成功。
