【网络安全 --- 任意文件上传漏洞靶场闯关 6-15关】任意文件上传漏洞靶场闯关，让你更深入了解文件上传漏洞以及绕过方式方法，思路技巧

一，工具资源下载

百度网盘资源下载链接地址：

百度网盘请输入提取码百度网盘为您提供文件的网络备份、同步和分享服务。空间大、速度快、安全稳固，支持教育网加速，支持手机端。注册使用百度网盘即可享受免费存储空间https://pan.baidu.com/s/1IHTnqsiUBd4DWmEKoXOcrA?pwd=8888
提取码：8888

二，靶场安装及 1-5关

【网络安全 --- 文件上传靶场练习】文件上传靶场安装以及1-5关闯关思路及技巧，源码分析-CSDN博客文章浏览阅读195次。【网络安全 --- 文件上传靶场练习】文件上传靶场安装以及1-5关闯关思路及技巧，源码分析https://blog.csdn.net/m0_67844671/article/details/134102042?spm=1001.2014.3001.5502

三，6-15关

3-6 第六关：

空格和点配合绕过

先看一下源代码里面的代码将上传的文件名都改为小写了，那么上面的方法就不行了。

利用Windows系统的文件名特性。文件名最后增加空格和点，写成1.php .，这个需要用burpsuite抓包修改，上传后保存在Windows系统上的文件名最后的一个.会被去掉，实际上保存的文件名就是1.php

改完以后放行，然后关闭拦截

回来查看发现已经上传成功了

这一关主要用的是windows文件命名的特性

3-7 第七关

原理同Pass-06，文件名后加点和空格，改成 1.php. ，这个我们就不演示了

3-8 第八关

基于文件流特性::$DATA来绕过，windows下的ntfs文件流特性来玩的。

先查看源码，分析代码，少了 $file_ext = str_ireplace(‘::$DATA‘, ‘‘, $file_ext);//去除字符串::$DATA 这一句，我们可以采用Windows文件流特性绕过，文件名改为1.php::$DATA , 上传成功后保存的文件名其实是1.php

正常上传的话不让上传php木马文件，我们上传时抓包

在文件名tu.php后面加上::$DATA

成功绕过去了

3-9 第九关：

点空格点绕过

先看源码

原理同Pass-06，上传文件名后加上点+空格+点，改为 1.php. . ，这里我就不演示了

1.php. . 先通过trim函数去左右空格，然后删除文件名末尾的点，就剩1.php. 了；strchr函数是从一个字符串中查找指定的字符，并返回从这个字符到结尾的内容，所以得到的是.php. ;然后转换小写，去除文件流没影响，最后首位去空，剩下.php. ;最后保存的时候Windows自动会把末尾的点也会去掉，就这样成功绕过去了

3-10 第十关：

双写绕过

先看源代码

看到str_ireplace,这是一个替换用的函数，第一个参数为替换的内容，这里指定是是deny_ext数组，第二个参数为'',第三个参数为文件名，意思就是文件名里包含数组里的后缀的话直接替换为''

这个很好绕过，比如说我们传一个tu.php;发现php在数组里面，就会替换成''；最后就剩下一个tu了，我们的做法是双写，上传一个tu.pphphp文件，这样的话发现确实存在php,就会进行替换替换以后就剩下tu.php了，就绕过去了

我把服务端文件存储的文件夹清空了，上传以后我们看一看效果

选择我们改过后缀的文件

发现上传成功嘞了

如我们所料，成功上传了

3-11 第十一关：

%00截断，这个属于白名单绕过，这是php语言自身的问题，php低版本存在的漏洞

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$ext_arr = array('jpg','png','gif');$file_ext = substr($_FILES['upload_file']
['name'],strrpos($_FILES['upload_file']['name'],".")+1);if(in_array($file_ext,$ext_arr)){$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = $_GET['save_path']."/".rand(10,99).date("YmdHis").".".$file_ext;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;} else {$msg = '上传出错！';}} else{$msg = "只允许上传.jpg|.png|.gif类型文件！";}
}

分析代码，这是以时间戳的方式对上传文件进行命名，使用上传路径名%00截断绕过，不过这需要对文件有足够的权限，比如说创建文件夹，上传的文件名写成1.jpg, save_path改成../upload/1.php%00 (1.php%00.jpg经过url转码后会变为1.php\000.jpg)，最后保存下来的文件就是1.php

选择一个webshell文件，然后抓包

抓包如下

按如下图进行修改，然后放包，关闭抓包

我的一直提示上传错误，原理是没问题的，你们自己试一下，我回去好好研究研究

3-12 第十二关：

0x00绕过

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$ext_arr = array('jpg','png','gif');$file_ext = substr($_FILES['upload_file']
['name'],strrpos($_FILES['upload_file']['name'],".")+1);if(in_array($file_ext,$ext_arr)){$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = $_POST['save_path']."/".rand(10, 
99).date("YmdHis").".".$file_ext;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;} else {$msg = "上传失败";}} else {$msg = "只允许上传.jpg|.png|.gif类型文件！";}
}

原理同Pass-11，上传路径0x00绕过。利用Burpsuite的Hex功能将save_path改成../upload/1.php【二进制00】形式

跟十一关不同的地方在于，第十一关的上传路径在URL上我们可以通过%00（也就是0URL编码以后就是%00）来截断，现在文件上传路径在数据中，所以需要0x00十六进制形式截断

我们上传一个webshell.jpg图片，然后抓包

发现上传路径在数据部分里

我们可以这样做，后面接上aini.php (注意有个空格），为了方便改数据的时候定位

点击上面的Hex，让数据以十六进制形式显示

往下翻，找到我们路径的位置，我们在aini.php后面加了空格，空格转换为十六进制就是20，所以很好定位，左边红色框里的20就是我们自己故意留下的空格

然后就是把20改为00，也就是十六进制的00了，跟第十一关%00截断原理一模一样

切换回来以后，其实aini.php后面看不出来有变化，但是确实已经加上了截断

不过还是跟第十一关一样的文件上传失败的错误，暂时没找出原因，不过原理就是这个，你们自己试一下看看

3-13 第十三关：

绕过文件头检查

function getReailFileType($filename){$file = fopen($filename, "rb");$bin = fread($file, 2); //只读2字节fclose($file);$strInfo = @unpack("C2chars", $bin);    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    $fileType = '';    switch($typeCode){      case 255216:            $fileType = 'jpg';break;case 13780:            $fileType = 'png';break;        case 7173:            $fileType = 'gif';break;default:            $fileType = 'unknown';}    return $fileType;
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$temp_file = $_FILES['upload_file']['tmp_name'];$file_type = getReailFileType($temp_file);if($file_type == 'unknown'){$msg = "文件未知，上传失败！";}else{$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;} else {$msg = "上传出错！";}}
}

以上是检查文件头的函数

绕过文件头检查，添加GIF图片的文件头GIF89a，绕过GIF图片检查。

或者我们使用命令copy 1.jpg /b + shell.php /a webshell.jpg，将php一句话追加到jpg图片末尾，代码不全的话，人工补充完整。形成一个包含Webshell代码的新jpg图片，然后直接上传即可。但是我们没有办法拿到shell，应为我们上传的图片马无法被解析成php形式，通常图片马配合%00或者0x00截断上传，或者配合解析漏洞

我在下面这篇博客里讲了绕过文件头检查的三种方式，可以去这篇博客里参考

【网络安全 --- 任意文件上传漏洞（2）】带你了解学习任意文件上传漏洞-CSDN博客文章浏览阅读45次。【网络安全 --- 任意文件上传漏洞（2）】带你了解学习任意文件上传漏洞。讲述了任意文件上传漏洞，以及几种绕过方法https://blog.csdn.net/m0_67844671/article/details/134036922?spm=1001.2014.3001.5502

3-14 第十四关：

function isImage($filename){$types = '.jpeg|.png|.gif';if(file_exists($filename)){$info = getimagesize($filename);$ext = image_type_to_extension($info[2]);if(stripos($types,$ext)>=0){return $ext;}else{return false;}}else{return false;}
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$temp_file = $_FILES['upload_file']['tmp_name'];$res = isImage($temp_file);if(!$res){$msg = "文件未知，上传失败！";}else{$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;} else {$msg = "上传出错！";}}
}

原理跟代码注入绕过--getimagesize() 一样,参考以下博客

【网络安全 --- 任意文件上传漏洞（2）】带你了解学习任意文件上传漏洞-CSDN博客文章浏览阅读47次。【网络安全 --- 任意文件上传漏洞（2）】带你了解学习任意文件上传漏洞。讲述了任意文件上传漏洞，以及几种绕过方法https://blog.csdn.net/m0_67844671/article/details/134036922?spm=1001.2014.3001.5502

getimagesize() 函数用于获取图像尺寸，索引 2 给出的是图像的类型，返回的是数字，其中1 = GIF，2 = JPG，3 = PNG，4 = SWF，5 = PSD，6 = BMP，7 = TIFF(intel byte order)，8 = TIFF(motorola byte order)，9 = JPC，10 = JP2，11 = JPX，12 = JB2，13 = SWC，14 = IFF，15 = WBMP，16 = XBM这里有详解：

PHP 获取图像信息 getimagesize 函数-CSDN博客文章浏览阅读2.9w次。getimagesize() 函数用于获取图像尺寸，类型等信息。imagesx() 函数用于获取图像的宽度。imagesy() 函数用于获取图像的高度。getimagesize() 函数用于获取图像大小及相关信息，成功返回一个数组，失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。语法：array getimagesize( string fhttps://blog.csdn.net/sanbingyutuoniao123/article/details/52166617

image_type_to_extension() 函数用于获取图片后缀

3-15 第十五关：

exif_imagetype()绕过

跟第十三，第十四关差不多

function isImage($filename){//需要开启php_exif模块$image_type = exif_imagetype($filename);switch ($image_type) {case IMAGETYPE_GIF:return "gif";break;case IMAGETYPE_JPEG:return "jpg";break;case IMAGETYPE_PNG:return "png";break;    default:return false;break;}
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$temp_file = $_FILES['upload_file']['tmp_name'];$res = isImage($temp_file);if(!$res){$msg = "文件未知，上传失败！";}else{$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;} else {$msg = "上传出错！";}}
}

其中：exif_imagetype() 此函数是php内置函数，用来获取图片类型