本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
测试的靶机是作者自己购买的vps搭建的环境,使用了白名单形式访问!
Pass-09
- 查看此关口源代码
$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini"); $file_name = trim($_FILES['upload_file']['name']); $file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //转换为小写 $file_ext = trim($file_ext); //首尾去空 if (!in_array($file_ext, $deny_ext)) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext; if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = '上传出错!'; } } else { $msg = '此文件类型不允许上传!'; } } else { $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!'; } }
- 跟上一关卡相比去除了如下代码
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
- 这个是关于Windows环境下的特性,具体请查看:https://owasp.org/www-community/attacks/Windows_alternate_data_stream
- 简单解释下:Windows下的NTFS文件系统的特性,NTFS文件系统包括对备用数据流的支持,备用数据流允许文件包含多个数据流,每个文件至少有一个数据流。在Windows环境中这个默认数据流称为:$DATA,当访问bmfx.php::$DATA时,表示请求 bmfx.php自身的数据,假如bmfx.php还包含了其他的数据流,例如:bmfx.php:shit.php,请求 bmfx.php:shit.php::$DATA,就是请求bmfx.php中的流数据shit.php的流数据内容,所以可以根据这一特性在目标靶机是Windows环境下的情况绕过黑名单机制
- 本关卡我无法实现,因为我是在docker的Linux环境下的靶机环境
- 具体看如下演示:
上传成功但无法在Linux环境下解析
Pass-10
- 查看源码发现如下问题:
- 上传文件拼接只做了一次点"."的删除,然就就直接拼接到上传目录的后面,具体原因代码如下:
$img_path = UPLOAD_PATH.'/'.$file_name;
- 可以通过上传"shit.php. ."进行绕过,上传期间,会删除最后一个点,截取.php. ,然后删除最后的空格,留下来的就是shit.php. 所以这里如果是Windows环境下,那么就变成了shit.php,如果是Linux环境那么还是原样,但是我这里测试发现不能正常解析,前面的关卡中关于此类问题,是可以解析,可以很奇怪,我就给大家演示下上传的过程
