文件上传之%00截断（00截断）以及pikachu靶场

news2024/10/5 1:46:03

pikachu的文件上传和upload-lab的文件上传

mime type类型

getimagesize

第12关%00截断，

第13关0x00截断

差不多了，今天先学文件上传白名单，在网上看了资料，差不多看懂了，但是还有几个地方需要实验一下，有请我们pikachu靶场登场，ok呀做题，我爱做题，我爱说实话

英文不会。先翻译一下，搞错了，pikachu好像没有文件上传白名单

没事的，把这个靶场也打一遍，

mime type类型

先看mime type教程MIME 类型 | 菜鸟教程 (runoob.com)，这个也是非常简单，意思是只对content-type的内容做了简单的验证，验证是否为图片类型，应该是后端验证吧，毕竟传给服务器了，ok呀这个好像前端验证都没有做，直接可以选择php文件

好像还要把application改成image，content-type: image/png

蚁剑就不连了，路径拼接就好了vul/unsafeupload/uploads/test.php，你妹的，被杀毒软件杀了，我就说半天找不到文件了

pikachu还有一个文件上传的题目，是这个

getimagesize

这个更简单了，只需要在文件头加上个GIF89a的图片格式就好了

ok呀，话不多说直接上uploads靶场第12关好吧

第12关%00截断，

主要是用于get类型（post类型由于不会url编码，所以是0x00截断，0x表示16进制）

前置知识

利用条件（参考文章WEB-00截断与%00截断 | wh1te (lddp.github.io)）

利用条件
00截断的限制条件是PHP<5.3.29，且GPC关闭。

%00截断
url中的%00（只要是这种%xx）的形式，webserver会把它当作十六进制处理，然后把16进制的hex自动翻译成ascii码值“NULL”,实现了截断burpsuite中16进制编辑器将空格20改成了00。本质上来说，都是利用0x00是字符串的结束标识符，进行截断处理。

ok呀也是不太明白，但是我好像知道单引号在url会自动转化为%27，

所以%27就是assci值中的单引号，ok呀，同理那%00就是assci值中的null字符

就不继续深入思考了，明白了这个，就开始做题

ok啊，上传了个文件，发现他自动把我文件名改了，也只能上传jpeg、png格式的

把Content-Type: image/png改成这样也不行，发现是白名单上传

继续看代码，在网上找的文章也是没看太懂啊

$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

网上说这是get就是%00，是post就是0x00，

12关源代码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错！';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件！";
    }
}

但是burp又是post传过去的，怎么又是get呢，ok不想分析，在去网上找一下，没找到，就时看

$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;是get还是post，

但是我在实战中怎么看他是post传参还是get传参