upload-labs靶场Pass-03
分析源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
源码中
$deny_ext = array(‘.asp’,‘.aspx’,‘.php’,‘.jsp’);
过滤括号中的格式
f i l e n a m e = t r i m ( file_name = trim( filename=trim(_FILES[‘upload_file’][‘name’]);
去掉文件名中的空格
f i l e n a m e = d e l d o t ( file_name = deldot( filename=deldot(file_name);//删除文件名末尾的点
如果不做这样的处理,例如:test.jpg.png.php文件会被认为jpg,然后上传成功php文件
f i l e e x t = s t r r c h r ( file_ext = strrchr( fileext=strrchr(file_name, ‘.’);
从.分割,输出.及其.后面的内容,也相当于删除.前面的内容
f i l e e x t = s t r t o l o w e r ( file_ext = strtolower( fileext=strtolower(file_ext); //转换为小写
f i l e e x t = s t r i r e p l a c e ( ′ : : file_ext = str_ireplace(':: fileext=strireplace(′::DATA’, ‘’, f i l e e x t ) ; / / 去除字符串 : : file_ext);//去除字符串:: fileext);//去除字符串::DATA
f i l e e x t = t r i m ( file_ext = trim( fileext=trim(file_ext); //收尾去空
if(!in_array($file_ext, d e n y e x t ) ) 如果 deny_ext)) 如果 denyext))如果file_ext不在¥deny_ext中,可以上传
所以此关可以使用黑名单缺陷之名单不全面来绕过
在进行之前需要了解一下
apache服务器能够使用php解析.phtml .php3
在apache的配置文件,将AddType application前的#号去掉,然后在后面添加.phtml和.php3等,就可以上传php3等文件,然后被服务器解析为php文件,达到上传php文件,具体参考上面链接
所以Pass-03我们只需要将上传的php文件后缀修改为php3就可以完成上传
