[第二章 web进阶]文件上传]

最新推荐文章于 2025-03-23 19:44:35 发布
最新推荐文章于 2025-03-23 19:44:35 发布
阅读量1k 收藏 1
点赞数
文章标签: unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DdddddXxxxx/article/details/119500102
版权

先看一下题目源码:

<?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件
require_once('pclzip.lib.php');

if(!$_FILES){

        echo '

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <meta http-equiv="X-UA-Compatible" content="ie=edge" />
    <title>文件上传章节练习题</title>
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@3.3.7/dist/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
    <style type="text/css">
        .login-box{
            margin-top: 100px;
            height: 500px;
            border: 1px solid #000;
        }
        body{
            background: white;
        }
        .btn1{
            width: 200px;
        }
        .d1{
            display: block;
            height: 400px;
        }
    </style>
</head>
<body>
    <div class="container">
        <div class="login-box col-md-12">
        <form class="form-horizontal" method="post" enctype="multipart/form-data" >
            <h1>文件上传章节练习题</h1>
            <hr />
            <div class="form-group">
                <label class="col-sm-2 control-label">选择文件:</label>
                <div class="input-group col-sm-10">
                    <div >
                    <label for="">
                        <input type="file" name="file" />
                    </label>
                    </div>
                </div>
            </div>
                
        <div class="col-sm-8  text-right">
            <input type="submit" class="btn btn-success text-right btn1" />
        </div>
        </form>
        </div>
    </div>
</body>
</html>
';

    show_source(__FILE__);
}else{
    $file = $_FILES['file'];

    if(!$file){
        exit("请勿上传空文件");
    }
    $name = $file['name'];

    $dir = 'upload/';
    $ext = strtolower(substr(strrchr($name, '.'), 1));
    $path = $dir.$name;

    function check_dir($dir){
        $handle = opendir($dir);
        while(($f = readdir($handle)) !== false){
            if(!in_array($f, array('.', '..'))){
                if(is_dir($dir.$f)){
                    check_dir($dir.$f.'/');
                 }else{
                    $ext = strtolower(substr(strrchr($f, '.'), 1));
                    if(!in_array($ext, array('jpg', 'gif', 'png'))){
                        unlink($dir.$f);
                    }
                }
            
            }
        }
    }

    if(!is_dir($dir)){
        mkdir($dir);
    }

    $temp_dir = $dir.md5(time(). rand(1000,9999));
    if(!is_dir($temp_dir)){
        mkdir($temp_dir);
    }

    if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){
        if($ext == 'zip'){
            $archive = new PclZip($file['tmp_name']);
            foreach($archive->listContent() as $value){
                $filename = $value["filename"];
                if(preg_match('/\.php$/', $filename)){
                     exit("压缩包内不允许含有php文件!");
                 }
            }
            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                check_dir($dir);
                   exit("解压失败");
            }

            check_dir($dir);
            exit('上传成功!');
        }else{
            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
            check_dir($dir);
            exit('上传成功!');
        }
    }else{
        exit('仅允许上传zip、jpg、gif、png文件!');
    }
}

看一下上传限制:

1.仅允许上传zip、jpg、gif、png文件!
2.如果上传压缩包,压缩包内不允许含有php文件

官方wp+自己的梳理和理解

开始行动

绕过第1个限制

1.如果上传压缩包,压缩包内不允许含有php文件
2.白名单仅允许上传zip、jpg、gif、png文件,不允许上传php文件

首先根据404页面发现使用的是apache,由于apache存在的多后缀文件解析漏洞,这里上传一个x.php.xxx(这里任何不可识别的后缀都行),即可绕过该正则限制

绕过第2个限制

  • check_dir
if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                check_dir($dir);
                   exit("解压失败");
            }

在压缩包解压失败后,会先删除目录下的非法文件后再退出,所以构造特殊压缩包(解压到一伴退出)方法在此处不可用。从代码中可知,check_dir方法只会递归检测upload目录下的所有文件,根据书中内容可知pclzip存在目录穿越问题。如果将解压出的文件穿越到非upload目录,check__dir方法就无法删除该文件。zip压缩包被解压到/upload/随机md5/目录下,所以需要穿越两个目录。

Dddddddddddd.
关注
《从0到1:CTFer成长之路》书籍配套题目-[第二章 web进阶]文件上传
weixin_46703850的博客
02-24 3243
[第二章 web进阶]文件上传开始行动绕过第1个限制绕过第2个限制 介绍:记录一下笔记,方便以后迅速回忆使用。 《从0到1:CTFer成长之路》书籍配套题目,来源网站:《从0到1:CTFer成长之路》 先看一下题目源码: <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 require_once('pclzip.lib.php'); if(!$_FILES){ echo '
N1Book-第二章Web进阶-Web文件上传漏洞
weixin_40872714的博客
03-31 4639
N1Book-第二章Web进阶-Web文件上传漏洞 以下内容转自 https://www.icode9.com/content-4-874265.html <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 //会包含文件pclzip.lib.php,感觉这个php里面是有一些针对zip包进行解压等的操作的 require_once('pclzip.lib.php'); //要是没上传文件,就输出
web上传文件
04-17
非常好用的一款上传软件。切没用使用期限限制。
BUUCTF n1book [第二章 web进阶]文件上传
nareku的博客
07-02 2980
花了一天多才搭好docker的环境,然后再来写这道只能说自己的环境也太香啦 不过这道题也花了一点点点时间琢磨打开题目,发现是一如既往的文件上传界面 习惯性抓个包,界面源码已经完全暴露了,太长了这里就不放了(根据以往的经验和参考其他的师傅的wp 小小地分析了一下) 这样我们上传的文件的路径就是 upload/随机值/上传的文件名首先我们先创建一个文件(不是文件夹!!),文件后缀随便,只要文件名长度满足18即可,这就成功将后缀完全覆盖了 将文件压缩成zip 在010Edtior中打开该压缩包 修改文件名
BUUCTF第二章web进阶文件上传1
Tonight_Fantasy的博客
03-23 623
该题已经把原码都给我们了,简单说说就是它会把我们上传的文件放到upload目录下的一个名字随机的临时目录,比如同时它会在我们上传时做过滤,只允许zip,jpg,png,gif文件上传,也不允许空文件上传,如果上传的是zip文件会先检测压缩包内是否有php文件,如果有则终止运行,没有就自动解压,然后上传后它会在临时目录里再次进行过滤,只保留jpg,png,gif文件。
BUUCTF_N1BOOK_[第二章 web进阶]文件上传_详解
weixin_43852034的博客
03-04 1510
最后的小插曲:本来以为上传成功之后,用蚁剑砍进去就完事儿了,结果发现居然会报错:嗯???于是直接访问一下上传后的文件:没想到直接得到了flag…后续又把2.php.xxx文件的内容修改为?尝试了一下,发现访问后也是同样的效果。那大概是环境本身做了限制吧…思路应该是没错的,蚁剑虽然说没砍进去…但你就说flag拿没拿到吧!
Buuctf N1BOOK [第二章 web进阶]文件上传
m_de_g的博客
08-17 3411
Buuctf [第二章 web进阶]文件上传 打开题目,发现源代码泄露,初步判断为条件竞争 <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 require_once('pclzip.lib.php'); if(!$_FILES){ echo ' <!DOCTYPE html> <html lang="zh"> <head> <
[第二章 web进阶]文件上传 1
最新发布
04-03
### 关于Web开发中的文件上传Web开发中,文件上传是一个常见的功能需求。它涉及到客户端向服务器发送文件以及服务器如何安全有效地处理接收到的数据。以下是有关文件上传的一些重要知识点: #### 安全措施的...
《从0到1:CTFer成长之路》书籍配套题目-[第二章 web进阶]SSRF
weixin_46703850的博客
02-23 309
《从0到1:CTFer成长之路》书籍配套题目,来源网站:[《从0到1:CTFer成长之路》](https://book.nu1l.com/)
web-文件上传【超详细讲解】
wo41ge的博客
12-01 1847
web151-前端验证 前端验证,抓包修改数据OK web152-前端+MIME 直接抓包修改后缀 web153-.user.ini 对 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样效果。 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的
Web技术】932- 一文了解文件上传全过程(深度解析,进阶必备)
pingan8787
04-19 762
前言平常在写业务的时候常常会用的到的是 GET, POST请求去请求接口,GET 相关的接口会比较容易基本不会出错,而对于 POST中常用的 表单提交,JSON提交也比较容易,但是对于文件...
[CTF]web进阶文件上传
hclimg的博客
12-03 3100
题目:web进阶文件上传 查看题目,底下已经给出了源代码: 服务器对文件进行了白名单设置,允许上传zip、jpg、gif、png文件!我随便上传几张一句话木马图片,均能够上传成功,说明他只对文件的后缀进行验证。上传不难,难的是上传后找不到文件的路径,无法访问。 观察关于目录的代码发现,文件上传后,会随机生成一个MD5目录,把文件放在这个地方,但是MD5目录无法预知,所以难度大大的加大。 通过解读zip文件代码可知,通过zip上传后,服务器会对zip进行解压,放在upload目录下,然后如果这个目录下
从0到1CTFer成长之路-第二章-Web文件上传漏洞
黑白的博客
03-01 3957
Web文件上传漏洞 声明 好好向大佬们学习!!! 攻击 文件上传漏洞 摘自 https://book.nu1l.com/tasks/#/ 使用BUUCTF在线环境 https://buuoj.cn/challenges 访问 http://3e8b5e24-d936-4a8f-9d1b-15ee36321db8.node3.buuoj.cn 一个上传文件功能,随便点点看,点到了提交查询,发现只能上传zip、jpg、gif、png,看看怎么绕过过滤上传 我的文件上传本来就薄弱,这个题也确实很打击我.
Java进阶:SpringMVC文件上传
KaiSarH
03-30 354
SpringMVC文件上传
buuctf之文件上传漏洞(Pass1~15)_bucctf文件上传 1,网络安全面试简历
2301_79054215的博客
04-15 361
在指定字符串中从后面开始的第一次出现的位置,如果成功,则返回从该位置到字符串结尾的所有字符,如果失败,则返回 false。file_ext,所以相当于只去除前后空格和最后的一个点,还有一个点没被去除,就能利用Windows特性(自动去除文件后的带点)2.上传 .htaccess文件,在将要上传的php文件(或其他文件)后缀修改为txt(或其他在黑名单之外的),然后上传。(mime与文件后缀名作用类似,来告诉服务器文件的性质和格式,但比后缀名更详细,浏览器一般用mine而不用后缀名)
CTF之萌新学习web(文件上传2)
bmth666的博客
03-03 849
文件上传2 1配合Apache的解析缺陷 2文件头校验 3竞争上传
javaweb 文件上传(1)
周杰伦
07-01 454
什么是文件上传?为什么使用文件上传? 就是将客户端资源,通过网络传递到服务器端。 就是因为数据比较大,我们必须通过文件上传才可以完成将数据保存到服务器端操作. 文件上传的本质:就是IO流的操作。 演示:文件 上传应该 怎样操作? 浏览器端: 1.method=post 只有post才可以携带大数据 ...
BUUCTF web(二)
m0_46616663的博客
10-21 1477
[极客大挑战 2019]Upload upload想到了文件上传漏洞,先传个一句话木马试试,php和图片马都不行 试一下phtml,phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析 也不行,抓包改一下Content-Type 不让用<?,那就换一种 。。。。 再加个文件头 GIF89a OK了,猜测路径应该在/upload里面 蚁剑连上找到根目录下的flag [RoarCTF 2019]Easy Calc 源码发现 <?php error_reportin
BUUCTF-Web:[极客大挑战 2019]Upload
m0_56161093的博客
05-29 1052
题目 解题过程 1、上传文件 从网页上来看是上传一个图片文件,但我们不知道他的检查上传的文件,所以可以试一试上传各种文件。一般检查文件的地方有:后缀名、content-type、文件头的部分内容。 这里我们先上传一个php文件,不做任何修改。如下图: 结果如下: 2、修改文件后缀名和content-type 将文件名修改为test.phtml,绕过常规php文件后缀检测 将文件类型修改为:image/jpeg 注意:phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析 修
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值