当前位置：首页 > news >正文

文件上传靶场（10--20）

news 来源：原创 2025/8/21 15:42:44

实验环境：

具体内容实现：

第十关（双写绕过）：

第十一关：（%00截断，此漏洞在5.2版本中）

正确用法

错误用法

思路：

操作过程：

第十二关（都是00截断，只不过一个是post，一个是get）：

第十三关：

第十六关（二次渲染（重要））：

实验环境：

upload-labs

实验函数：可以去php官网查看---php.net

小皮的php版本调低一点

具体内容实现：

第十关（双写绕过）：

源码：

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {if (file_exists(UPLOAD_PATH)) {$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");$file_name = trim($_FILES['upload_file']['name']);$file_name = str_ireplace($deny_ext,"", $file_name);$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH.'/'.$file_name;        if (move_uploaded_file($temp_file, $img_path)) {$is_upload = true;} else {$msg = '上传出错！';}} else {$msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';}
}

源码分析：先来看一下这几个函数

先使用此函数去掉两边的空白字符以及转义的字符，然后下一个函数再将上传的文件名跟黑名单里面的作比较，如果相同，则从$file_name中删除对应部分

$file_name = str_ireplace($deny_ext,"", $file_name);这段代码试图替换掉不允许的扩展名，但问题是它只是简单地删除了这些扩展名，而不是验证文件名是否合法。

str_ireplace这个函数的工作模式是直接匹配这个字符串中的php字符串，像我们的pphphp中他把"php"匹配走了过后，还是仍然保留的是php所以就是此漏洞形成

思路形成，实践开始：

上传此文件：

查看upload文件夹

上传成功！下一关！

第十一关：（%00截断，此漏洞在5.2版本中）

$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

这关的主要一个漏洞来自这里这串代码，我们知道get传参是可以手动修改的，我们先来介绍一下%00截断的原理：

0x00是字符串的结束标识符，攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断，而后面的内容又可以帮助我们绕过检测。

正确用法

只有数据包中必须含有上传路径的情况下才可以用，比如本次测试中数据包中存在save_path: ../uploads/，那么攻击者可以通过修改path的值来构造paylod，并且PHP<5.3.29，且magic_quotes_gpc关闭

错误用法

只有文件名的情况下，是不能让%00截断生效的，因为只是文件名可控，即使通过00截断test.php%00.txt，但是此时经过服务器处理后，文件名仍然为test.php，不能通过对后缀的检测

思路：

使用 %00 可以绕过这种检测机制，这是因为 PHP 在处理字符串时会将 %00 解释为 NUL 字符，这可能导致某些函数提前终止字符串处理。所以当文件名为 test.php%00.jpg 时，PHP 会将 %00 解释为 NUL 字符，并在处理字符串时将其视为字符串的结束。因此substr($_FILES['upload_file']['name'], strrpos($_FILES['upload_file']['name'], ".") + 1) 会提取到 .jpg 而不是 .php。