赞
踩
1、检测方式
JS代码前端检测
2、绕过方式
Fn+F12删除前端代码的事件
3、具体步骤
上传.php文件之后给我们弹窗提示
由此猜测可能是用了js前端代码的验证,我们查看它的前端代码
这里果然有一个事件,我们将该事件删除,即可上传bug.php文件
上传解析成功
4、源码分析
1、检测方式
服务器端MIME类型检测
2、绕过方式
将我们的木马文件改名为xxx.jpg,开启bp拦截,点击上传,这样我们MIME类型就是图片的了,然后改文件名为xxx.php即可
3、具体步骤
上传重命名的木马文件
修改文件名
上传成功
4、源码分析
$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) { if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) { $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name']; $is_upload = true; } } else { $msg = '文件类型不正确,请重新上传!'; } } else { $msg = $UPLOAD_ADDR.'文件夹不存在,请手工创建!'; } }
这可以上传MIME为:image/jpeg;image/png;image/gif的文件。
1、检测方式
黑名单检测
2、绕过方式
使用黑名单没有过滤的文件后缀名
3、具体步骤
上传之后发现是使用了黑名单过滤
我们改文件的后缀名为.php3
,上传成功
解析成功
这里上传.phtml
后缀名也可以
4、源码分析
相关函数
trim(string,charlist)
— 移除字符串两侧的空白字符或其他预定义字符。string
:规定要检查的字符串。charlist
:规定从字符串中删除哪些字符。如果被省略,则移除以下所有字符:"\0" - NULL;"\t" - 制表符;"\n" - 换行;"\x0B" - 垂直制表符;"\r" - 回车;" " - 空格
。strrchr()
— 查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。1、检测方式
比上一关更加全面的黑名单检测
2、绕过方式
方法一
apache解析漏洞,上传文件bug.php.xxx
方法二
上传.htaccess
文件,
3、具体步骤
方法一
试了很多文件都不行,查看提示,这里的黑名单设置的很多
但是它的web容器用的是apache,版本是2.4.23
我们知道apache1.x和apache2.x
的版本存在着解析漏洞,我们上传一个,这样的文件bug.php.xxx
上传成功,访问看看
解析成功了,完成。
方法二
我们上传的.htaccess
文件中的内容是AddType application/x-httpd-php png
,这样我们上传的.png
文件就可以被解析了。
然后我们上传bug.png
文件
上传bug.png
成功,解析成功
4、源码分析
这一关的源码和上一关的区别就是多了很多的黑名单,这里就不再分析了。
用第四关的方法一就可以解决,源码中黑名单中多了.htaccess文件,第四关的方法二是不能使用的。
1、源码分析
$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess"); $file_name = $_FILES['upload_file']['name']; $file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //转换为小写 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA if (!in_array($file_ext, $deny_ext)) { if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) { $img_path = $UPLOAD_ADDR . '/' . $file_name; $is_upload = true; } } else { $msg = '此文件不允许上传'; } } else { $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。