当时误打误撞发现的,觉得挺奇葩的,记录下
一个正常的图片上传的点,文件类型白名单
但是比较巧的是当时刚对上面的id进行过注入测试,有一些遗留的测试 payload 没删,然后在测试上传的时候就发现.php的后缀可以上传了,直接从白名单变成任意文件上传了。
id的正常格式是一串数字,但是如果将id出改成字符串,然后再修改上传的文件名为.php,就可以成功上传了,很奇怪的逻辑处理。当时的猜测是id处判断字符串错误进入了一个没有验证上传文件类型的代码段,导致直接任意文件上传了。
后面出于好奇,想验证下和我的猜测是否一致,去源码里面看了一眼,果然跟我的猜测一致,关键代码如下:
<?php public function upload(){.......$id = intval($this->post('id'));.......$real_file_type = []; // 限制文件类型$real_file_size = 0; // 限制文件大小if ($id) {$where = "id = {$id}";if ($menu_id) {$where .= " and menu_id = '{$menu_id}'";}$config = publics::getOne(ApplyExtraField::TABLE, 'type, options', $where);if (empty($config)) {return $this->returnJson(400, $this->language['parameter_error']);}if (!in_array($config['type'], [8, 11, 12])) {return $this->returnJson(400, $this->language['error_field']);}$options = json_decode($config['options'], true);$condition = $options['condition'] ?? [];$real_file_type = $condition['file_type'] ?? [];$real_file_size = isset($condition['file_size']) && $condition['file_size'] ? $condition['file_size'] * 1024 : 0;}.......// 上传文件只会上传一个foreach ($this->request->getUploadedFiles() as $file) {$file_size = $file->getSize();$file_name = $file->getName();$file_type = strtolower($file->getExtension());// 判断文件类型if ($real_file_type && !in_array($file_type, $real_file_type)) {// 删除 Redis 列表中值$this->redis->lRem($uploadFileKey, $uploadFileVal, 0);$this->redis->sRem($executionListKey, $fileJsonStr);return $this->returnJson(400, $this->language['file_format_error']);}$fileExt = $fileExt ?: $file_type;.......}.......return $this->returnJson(200, $this->language['upload_success'], ['name' => $file_name,'url' => $file['url'],'file' => $file]);}?>
首先这里的正常功能是接收到的id是一串数字,只要不是数字0,if ($id)就是True的,然后会根据menu_id去数据库中查询相关信息返回给,经过几层处理$real_file_type = $condition['file_type'],会得到数据库中查询出的文件白名单类型。
然后if ($real_file_type && !in_array($file_type, $real_file_type))会判断$file_type是否在白名单$real_file_type中,不在的话,就从Redis列表和集合中删除相应的值,并返回一个JSON格式的错误响应。
而当$id是字符串时,if ($id) 就是False
这样的话$real_file_type数组就没有接收到数据库查询出来的白名单,还是为空。而$real_file_type = []的话,if ($real_file_type && !in_array($file_type, $real_file_type)) == False,直接直接跳过判断文件类型,数组为空也没法做白名单校验。直接导致了任意文件上传。
)
——CentOS7.9安装elasticsearch-head)
)
)
