xiaoheizi的博客

黑盒测试是没办法测试出这个漏洞的，因为我们无法知道上传的文件名(文件名变成了0x0.php)，只能配合白盒测试。本次测试——漏洞都是黑盒测试出来的，白盒的作用就是查看文件名。1.进入网站首页查找文件上传功能，在会员中心发现头像上传。尝试将文件类型更改为php，文件数据更改为php脚本代码。查看上传目录，成功生成一个0x0.php文件。路径更改为/0x0.php，脚本代码成功执行。上传文件名filename：没看到。上传文件数据：被base64编码了。正常上传jpg头像抓包测试。在网站的头像右键查看图片。

其2.4.0~2.4.29版本中存在一个解析漏洞，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。我们可以通过上传文件名为xxx.php.jpg或xxx.php.jpeg的文件，利用Apache解析漏洞进行getshell。那么，只要含有.php后缀的文件就会被识别成PHP文件，没必要是最后一个后缀。访问刚才上传的/1.php%0a，发现能够成功解析，但这个文件不是php后缀，说明目标存在解析漏洞。上传aaa.php文件失败，上传aaa.php.jpg文件成功。

user.ini就是一个可以由用户”自定义“的php.ini，我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。新建一个文件名为.user.ini的文件，并将内容写为：auto_prepend_file=1.jpg，将.user.ini上传至服务器。gif可以直接在图片插入图片马，jpg png不建议直接在图片插入脚本代码，可以在网上找图片马生成脚本运行。想要.user.ini文件生效需要一个索引，就是说需要在上传文件的存储路径下有个.php可执行文件。

根据提示，可以判断是MIME验证，上传时目标服务器检测Content-Type字段，直接burpsuite抓包，更改Content-Type为支持上传的类型。这种服务器检测和前端检测没什么太大区别，只是检查一下文件的上传格式，虽然无法通过删除浏览器事件来绕过，但是依旧可以使用BURP抓包，修改绕过。将.htaccess文件上传，再将php.jpg上传，打开图片地址，图片内容成功被当作php执行。前端验证一般是在网页上写一段Js脚本，用Js去检测校验上传文件的后缀名，有白名单也有黑名单。