文件上传-绕过/验证_allow_ext

	for($i = strlen($s)-1;$i>0;$i--){
		$c = substr($s,$i,1);
		if($i == strlen($s)-1 and $c != '.'){
			return $s;
		if($c != '.'){
			return substr($s,0,$i+1);
PHP strrchr(a,b) 函数
 
搜索 “b” 在字符串中的位置，并返回从该位置到字符串结尾的所有字符。 
stripos() 函数
 
查找字符串在另一字符串中第一次出现的位置（不区分大小写）。
  
getimagesize()函数
 
获取文件大小 
php basename函数
 
$path = "/testweb/home.php";
//显示带有文件扩展名的文件名
echo basename($path);
//显示不带有文件扩展名的文件名
echo basename($path,".php");
home.php
PHP pathinfo() 函数 
演示案例：uploadlabs关卡分析
 
简要上传表单代码分析解释
  
less-1
 

 黑盒测试
 尝试上传php文件，发现只能是.jpg,.png.gif格式的文件
 
 上传1.jpg（非图片内容，图片后缀文件）成功，且通过弹窗得出是白名单过滤
 所以我们要想办法修改后缀使得在服务器中呈现的是php文件
 首先我们上传后门文件1.php提交后抓包查看下内容
 
 看到有个属性filename，尝试修改后缀为php提交
 成功上传webshell 
第二种方法：
 禁用js绕过验证 
less-2
 
上传php文件
  
上传1.jpg（非图片内容，图片后缀文件）成功，且通过弹窗得出是白名单过滤
 可以通过第一种方法绕过
 或者上传1.php抓包修改数据包的MIME为jpg
  
less1和less2的区别
 less1是通过js验证后才提交表单，所以我们可以通过修改后缀为jpg，让他先通过js验证，然后再在抓包修改表单中的filename的名字，也就是文件名得以绕过 
less2是通过表单验证，也就是前端会得到修改后的数据包才会进行验证，所以我们有两次方式绕过。
 1、上传jpg文件，因为点击上传抓包后，出现的Content-Type默认为image/jpeg，所以我们修改filename为我们想要的文件名即可。
 2、通过查看代码，发现是通过Content-Type进行验证的，所以我们可以上传php文件，将Content-Type的值改为白名单里面的值即可成功绕过。 
less3
 

 显示不能上传这类后缀文件，所以是黑名单过滤，所以我们可以尝试修改下后缀名为php5，上传成功。在upload文件中查看，发现其还改了文件名。 
能够解析php5前提是apache的httpd.conf中有如下配置代码
 AddType application/x-httpd-php .php .phtml .phps .php5 .pht 
less4
 
常规操作后发现上面的方法都不行，所以应该检查的是filename所以我们要想办法绕过filename 
查看源码发现 
$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
这一次还是黑名单，但是黑名单加多了，几乎过滤了各种后缀，但是没有过滤.htaccess。 首先上传.htaccess，文件内容为AddType application/x-httpd-php .ppp，然后上传ppp文件，就会被解析成php
 .htaccess还可以写成： 
<FilesMatch "shell.ppp">
  SetHandler application/x-httpd-php
</FilesMatch>
这样文件名为shell.ppp就会被解析成php。 
less5
 
做法类似.htaccess,上传一个写有auto_prepend_file=1.jpg为后缀的.user.ini文件，然后在上传一个写有一句话木马的jpg文件，上传成功后，蚁剑连接，但是要注意，题目提示上传目录存在php文件（readme.php)，所以上传成功后我们应该访问readme.php 
注意：
 .htaccess可以覆盖apache的配置文件，而.user.ini则可以覆盖php.ini的配置。
 .htaccess文件只能用于apahce，不能用于iis和nginx等中间件
 .user.ini只能用于Server API为FastCGI模式下，而正常情况下apache不是运行在此模块下的。
 .htaccess和.user.ini都只能用于访问本目录下的文件时进行覆盖。
  
less6
 
这题还是后缀黑名单过滤，也过滤了.htaccess和.ini，但是没有将文件后缀名转换为小写，故大写绕过即可。
  
less7
 
查看源码，发现少了: 
$file_ext = trim($file_ext); //收尾去空
这样我们可以在文件名后缀最后面加上空格，来绕过黑名单的过滤。 
less8
 
查看源码，少了： 
$file_name = deldot($file_name);//删除文件名末尾的点
少了对点的过滤，因此直接在文件名后缀后面加上.即可。
 
 注意：.php ,.php.都会在win里面自动解析为.php 
less9
 
查看代码发现少了
 
 :: $DATA"之前的文件名(Windows文件流特性) 上传一句话木马的.php后缀文件，抓包加::$DATA，上传成功$  
less10
 
首先需要了解deldot函数，当deldot函数检测到末尾的第一个点时将继续从后向前检测，当检测到空格时就停下来，因此当后缀是php.[空格].时，经过deldot函数过滤后，后缀变成php.[空格],最终绕过黑名单，且上传上去的文件名为php.，在windows下会自动去除点。
  
less11
 
     
发现双写绕过不行了
 查看代码发现多了一行代码 
 $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
这行代码是找到后缀名然后进行检查是否在白名单里
 所以我们可以进行00截断
 截断条件：
 1、php版本小于5.3.4
 2、php.ini的magic_quotes_gpc为OFF状态 
原理
 url中%00表示ascll码中的0 ，而ascii中0作为特殊字符保留，表示字符串结束，所以当url中出现%00时就会认为读取已结束 
使用情况
 上传时路径可控，使用00截断
 文件下载时，00截断绕过白名单检查
 文件包含时，00截断后面限制(主要是本地包含时)
 其它与文件操作有关的地方都可能使用00截断。 
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
构造sava_path=/upload/1.php%00绕过
  
然后访问1.php即可 
less13
 
跟less12的方法类型，不过这个是post提交，POST不会像GET那样对%00进行自动解码，因此，我们需要在burp中选中%00右击->url->urldecode go即可。 
less14
 
制作文件马
 方法一
 1.准备一张图片1.jpg，准备一句话php木马1.php
 2.通过控制台cmd命令制造图片马
 3.进入两个文件的文件夹打开控制台输入命令: copy 1.php/b+1.jpg 2.jpg
 4.命令解释： 
使用CMD制作一句话木马。
参数/b指定以二进制格式复制、合并文件; 用于图像类/声音类文件
参数/a指定以ASCII格式复制、合并文件。用于txt等文档类文件
copy 1.jpg/b+1.php 2.jpg 
//意思是将1.jpg以二进制与1.php合并成2.jpg
那么2.jpg就是图片木马了。
方法二
 1.打开010editor
 2.以十六进制的方式打开1.jpg
 3.在最后末尾加上一句话木马代码
 
 4.保存即可
 或者用notepad++也是可以的
 上传照片即可然后打开路径
 效果：
 
 验证机制 
function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2单元（即2个16进制）
    fclose($file);
    $strInfo = @unpack("C2chars", $bin); //用unpack将16进制转化为有符号的2进制
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);   //把两个chars连接起来再用intval转换为整数型    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        return $fileType;
验证机制是获取文件头的内容头信息
 jpg的文件头的内容头信息是FFD8FFE1
 读2个单元FF和D8
 转为2进制就是255,216，连起来就是255216，为jpg文件，通过验证 
less15
 
图片马制作是一样的
 验证机制 
function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
        $info = getimagesize($filename); //获取图片信息
        $ext = image_type_to_extension($info[2]); //获取图片后缀
        if(stripos($types,$ext)>=0){ //如果属于$types中的一个
            return $ext;
        }else{
            return false;
    }else{
        return false;
less16
 
function isImage($filename){
    //需要开启php_exif模块
    $image_type = exif_imagetype($filename);
    switch ($image_type) {
        case IMAGETYPE_GIF:
            return "gif";
            break;
        case IMAGETYPE_JPEG:
            return "jpg";
            break;
        case IMAGETYPE_PNG:
            return "png";
            break;    
        default:
            return false;
            break;
exif_imagetype() 读取一个图像的第一个字节并检查其签名。如果发现了恰当的签名则返回一个对应的常量，否则返回 FALSE。返回值跟getimagesize() 返回的数组中的索引 2 的值是一样的，但exif_imagetype函数快得多。 
less17(待测试)
 
发现图片马上传后，里面的php代码给过滤掉了，上传只有php代码的jpg文件后提示文件错误
 参考 
less18
 
这里先将文件上传到服务器，然后通过rename修改名称，如果检查到不是合法文件后缀名，再通过unlink删除文件，因此可以通过条件竞争的方式，也就是不断查看上传后的文件，在unlink之前，访问webshell。
 原理：
 在查看文件的期间，服务器检测后发现是php文件，想要删除，但是用户正在查看此文件是无法删除的。
 首先在burp中不断发送上传webshell的数据包：
 
  
然后不断在浏览器中访问，发现通过竞争可以访问到：
  
less19(待测试)
 
同18做法 
less20
 
上传文件和文件名可控，且文件名是黑名单限制。
  
原理：
 文件名改为19.php/.，move_uploaded_file函数遇到/.的时候会删除它 
less 21
 
PHP reset函数
 输出数组中的当前元素和下一个元素的值，然后把数组的内部指针重置到数组中的第一个元素 
过滤机制对MIME和文件后缀都进行了检查。 但是取后缀的时候判断 $document.getElementsByName('upload_file')[0].value;"xiaoma.php"file.substring函数获取后缀ext... 学习进行时，最近我学习了文件上传漏洞，感觉收获很大，所以总结一下。 为什么存在文件上传漏洞 上传文件时，Web应用程序没有对上传文件的格式进行严格过滤 , 就容易造成可以上传任意文件的情况。还有一部分是攻击者通过 Web服务器的解析漏洞来突破Web应用程序的防护。 上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞，攻击者可以利用上传的恶意脚本文件... 文章目录一、文件上传漏洞二、客户端校验上传文件的方式及绕过2.1、客户端JS验证2.2.1、前端js验证代码2.2.2、绕过前端JS验证三、服务端校验文件上传的方式及绕过3.1、通过文件后缀验证及绕过3.2 、通过文件类型验证及绕过3.3 、通过文件内容验证及绕过3.4、WAF进行校验及绕过3.5、竞争上传绕过3.6、.htaccess文件绕过3.7、根据操作系统特性进行绕过3.8、通过post和get方法绕过3.9、通过文件截断绕过攻击3.10、利用文件包含或解析漏洞绕过上传四、文件上传漏洞的防御总结$ 
less12