手拿乾坤圈，脚踩缝纫机——文件上传漏洞篇（四）

用户在使用本文信息时，应自行承担风险。本文不对用户因使用本文信息而导致的任何直接或间接损失承担责任。——鲁迅

前言：靶场的第三关和第四关是通过修改Apache的配置文件，从而实现文件上传绕过。局限比较大。

基础补充

数组array()

<?php  

// 使用array()函数声明数组  
$deny_ext = array('.asp','.aspx','.php','.jsp');  
// 使用var_dump()函数输出数组中的内容  
var_dump($deny_ext);  

?>

trim()函数

trim() 函数用于去除字符串首尾的空白字符或其他指定字符。

<?php  
  
// 去除默认空白字符  
$str = "   Hello World!   ";  
echo trim($str);  
echo "\n";  
  
// 去除指定字符”#“  
$str1 = "###Hello World!###";  
echo trim($str1, "#");  
echo "\n";  
  
// 字母也可作为指定字符去掉  
$str2 = "abcHello Worldcba";  
echo trim($str2, "abc");  
echo "\n";  
  
?>

strrchr()函数

strrchr() 是一个用于查找字符串中最后一次出现的指定字符的函数。它返回从指定字符开始到字符串末尾的所有内容，包括该字符本身。如果未找到指定字符，则返回 false。

• 用途：通过查找最后一个点（.）来提取文件名的扩展部分。

<?php  
  
$str = "muma.php";  
$result = strrchr($str, ".");  
echo $result;  
  
?>

strtolower()函数

strtolower() 函数用于将字符串中的所有大写字母转换为小写字母。

<?php  
  
// 字符串中大小写字母混在一起  
$str = "MumA.pHp";  
// 大写字母转为小写字母  
$result = strtolower($str);  
echo $result;  
  
?>

str_ireplace()函数

str_ireplace() 用于替换字符串中的某些字符或子字符串，搜索时不区分大小写

<?php  
  
$text = "Hello WORLD!";  
// 将world替换为php，不区分world的大小写  
$result = str_ireplace("world", "PHP", $text);  
echo $result;  
  
?>

知识补给库

学习内容：黑名单绕过
黑名单：网站开发人员在设计网站使，设置了禁止上传某些类型的文件

白名单：网站只允许上传的内容

代码审计

打开Pass-03的源代码

前两个if前面已经介绍过了，这里不再赘述，往下看比较重要的内容。

$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空

• deny_ext是php中的数组，数组中的内容为文件后缀名，也就是上面所说的黑名单。
• trim() 的作用是移除字符串开头和结尾的空白字符（包括空格、制表符、换行符等）
• deldot()是靶场作者自己写的函数，用于去除文件末尾的点
  • deldot()函数的定义位于靶场根目录下的common.php文件中
  • 使用.也是一种绕过黑名单的方法，后面会讲到。
• strrchr() 的作用是查找字符串中最后一次出现的指定字符，并返回从该字符开始到字符串末尾的所有内容。
• strtolower() 的作用是将字符串中的所有大写字母转换为小写字母。（防止大小写绕过）
• str_ireplace() 的主要作用是查找字符串中指定的子字符串（不区分大小写），并将其替换为另一个字符串。
  • 这里是将::$DATA替换为空串（也就是去掉::$DATA），后面会讲到，这里不必过于关注。

简单讲：就是对文件名和后缀进行检查，比如：去除空字符、大小写等。防止上传木马文件。

靶场测试

前提要求

php版本使用非nts版本（多线程安全版本），原因就是靶场版本老，不然无法连接木马文件。

环境配置

前面有说到，本节使用了黑名单，不允许上传后缀名为php的文件。
在Apache中，是可以设置php3、php5、phtml等后缀的文件作为php文件进行解析。

• Apache也称为应用服务器中间件。常见的中间件有：Tomcat、WebLogic、IIS等
  Apache的配置文件名为httpd-conf，位于：PHPTutorial\Apache\conf中

还可以在PHPStudy2018中直接打开（默认使用记事本打开）
在其他选项菜单->打开配置文件（位于第七项）->httpd-conf(位于第二项)

将AddType application/x-httpd-php .php前面的注释取消掉，在后面添加.php3、.php5等内容：AddType application/x-httpd-php .php .php3 .php5 .phtml

• 作用：将.php3、.php5等文件作为php文件进行解析（如果写入.jpg，也会当作php文件进行解析）
• 需要使用老版本的小皮，新版本小皮会出现问题。
• 修改配置文件后需要在小皮中重启Apache服务

由于是自己的靶场环境，因此可以修改Apache的配置文件，如果是目标网站，除非管理员修改了配置文件，否则此方法无效。因此这个方法局限性很大。

靶场测试

打开BP的监听功能

将php木马文件上传

将数据包中的muma.php改为muma.php3，然后发送数据包

关闭BP的监听功能，打开网页查看木马文件的所在位置。

使用蚁剑连接木马文件

远程连接木马成功

无情的广告时间

哈哈哈哈，又到了大家喜欢的广告时间了，公众号：编码魔坊，喜欢的话给个关注呗，点击下方小卡片，扫码即可关注，谢谢您的关注！！！