upload-labs-env文件上传漏洞 11-19关

Pass-11

源码：加上了本人的注释=。=

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');//文件的后缀
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+); //获取文件的后缀名 在.的位置+1
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name']; //获取临时上传文件的名称
        $img_path = $_GET['save_path']."/".rand(, ).date("YmdHis").".".$file_ext; //获取上传文件最重要保存在哪个目录加了个/和随机数字和日期

在源码中可以看到，除了白名单的三种后缀别的后缀都不可以上传，然后这次用到的绕过方式为00绕过

00绕过的原理为： 00截断是16进制的00   当操作系统在读文件名的时候在读到00的时候他认为这个文件就结束了，后面有再多的东西也没有用

那么我们就上传一个木马文件，改为jpg格式，然后再路径里面添加一个php文件后面加%00

最上传的文件为1.php  然后连接就好

Pass-12

源码：

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(, ).date("YmdHis").".".$file_ext;

源码跟11关没有什么本质的区别，只不过就是这关采用了POST的形式上传

同样是上传shell.jpg的文件，在文件路径添加一个1.php.jpg不写00

然后到HEX里面找到16进制的1.php.jpg，在.jpg的.这里把他的16进制改为00，然后上传就成功了。

Pass-13

源码

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, ); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
    $fileType = '';
    switch($typeCode){
        case :
            $fileType = 'jpg';
            break;
        case :
            $fileType = 'png';
            break;
        case :
            $fileType = 'gif';
            break;
        default:
            $fileType = 'unknown';
        }
        return $fileType;
}

源码的整体大概意思就是只读取文件头的前两个字节，前两个字节符合上传的三种文件格式即可。

那么我们只需要上传shell.php在内容的头部加入三种格式的文件头即可。

GIF   GIF 89A

JPEG(JPG)    FFD8FF

PNG    89504E87

GIF    47494638

然后就上传成功了，你写的什么格式的文件头，上传的就是什么格式

那么这里就需要文件包含来进行连接了，然而我的靶机里面没有文件包含，所以我就自己写了一个

<?php
header("Content-Type:text/html;charset=utf-8");
$file=$_GET['file'];
if(isset($file)){
    include $file;
}else{
    show_source(__file__);
}
?>

然后访问文件包含漏洞的文件：localhost/baohan.php?file=图片马路径    即可连接

Pass-14

源码于13大同小异，只不过判断的方式不同

这里我选择的是插入图片马

在dos里输入  copy 1.jpg/b+shell.php 2.jpg

然后生成了一个2.jpg的图片马

上传上去，用文件包含连接即可

Pass-15 使用了exif_imagetype的判断方式

同13 14

Pass-16

源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息，文件名，类型，大小，临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=$UPLOAD_ADDR.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),);

    //判断文件后缀与类型，合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path))
        {
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片！";
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                $newimagepath = $UPLOAD_ADDR.$newfilename;
                imagejpeg($im,$newimagepath);
                //显示二次渲染后的图片（使用用户上传图片生成的新图片）
                $img_path = $UPLOAD_ADDR.$newfilename;
                unlink($target_path);
                $is_upload = true;

16关这里使用了一个二次渲染的过滤，也就是把你上传的图片打碎重组生成新的图片

这里如果我们用自己生成的图片马的话，会把你的恶意代码删除。

使用winhex工具，在中间随意位置写入16进制的恶意代码，然后上传。

Pass-17