一、漏洞原理
漏洞来源:count()函数漏洞。
现自定义一个数组 arr[],定义arr[0]=1,arr[3]=2, 此时count(arr)的值为2,则arr[count[arr]]即为arr[2],但是arr[2]未定义,即为一个空值,若使用count()函数的本意是指向arr数组的最后一个元素,此时却指向arr[2],形成数组漏洞。
二、代码审计
我们发现源代码进行了多处防御,设置了Content-Type白名单,需要进行抓包绕过。
并且将不是以数组形式存在的文件名划分为数组,取数组最后一个元素为后缀进行白名单判断。
三、通关操作
1、首先上传 test.php 文件,利用 Burpsuite 进行抓包,发现save_name是利用_POST形式上传的,利用count()函数漏洞手动将 save_name改为数组形式,绕过白名单,并且合法化$image_path路径。
2、放包上传,新标签页中打开,成功执行php代码。
---通关。
