【upload-Linux大棚

admin 管理员组

文章数量: 1086019

【upload

【upload-labs】图片马绕过pass13~16

【pass-13】文件头检查绕过

1、源码分析

function getReailFileType($filename){$file = fopen($filename, "rb");  //以字节流的形式打开上传的文件$bin = fread($file, 2);   //只读2字节fclose($file);$strInfo = @unpack("C2chars", $bin);  //unpack()解包，标识前两个字符按照c格式，数组索引chars1、chars2  $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);   //将两个字节转换为十进制的字符串拼接起来 $fileType = '';    switch($typeCode){      //根据文件头前两个字节判断是哪种文件类型case 255216:            $fileType = 'jpg';break;case 13780:            $fileType = 'png';break;        case 7173:            $fileType = 'gif';break;default:            $fileType = 'unknown';     //若不是jpg、png、gif中的任意一种，则设为unknown}    return $fileType;
}$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$temp_file = $_FILES['upload_file']['tmp_name'];$file_type = getReailFileType($temp_file);   //获取文件类型if($file_type == 'unknown'){$msg = "文件未知，上传失败！";}else{$img_path = $UPLOAD_ADDR."/".rand(10, 99).date("YmdHis").".".$file_type;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;}else{$msg = "上传失败";}}
}

从源码可以看出，这一关没有对后缀进行过滤，而是对上传文件内容的前两个字节进行校验，并且结合白名单过滤机制只允许jpg、png、gif文件上传。

2、测试流程

漏洞利用思路：

1、用burp抓包，在文件内容的头部添加jpg、png或gif标识的字符串，然后放包来绕过检查。

常用文件头：详细

1、.JPEG; .JPE; .JPG “JPGGraphic File”

2、.gif “GIF 89A”

3、.zip “ZIP Compressed”

4、.doc; .xls; .xlt; .ppt; .apr “MS Compound Document v1 or Lotus Approach APRfile”

2、制作图片马上传，利用文件包含漏洞getshell。

方法一：

先上传一个木马：

用burp抓包

在文件头部添加.gif文件的标识头（GIF 89A），然后放包：

如图所示，文件成功上传。

再结合文件包含漏洞，将该文件包含到php代码中，用菜刀连接即可getshell。
方法二：

制作一个图片木马：

用window下的cmd制作：
```
copy  meinv.png /b + muma.php /a  muma.png
```
其中/b代表二进制文件binary，放在图片后面，/a代表文字文件ascii

如图所示，图片马制作成功！

直接上传：

上传成功，然后结合文件包含漏洞getshell。

小结：

这一关没有对后缀进行过滤，而是对上传文件内容的前两个字节进行校验，并且结合白名单过滤机制只允许jpg、png、gif文件上传。所以制作图片马即可绕过。

intval()函数通过使用指定的进制 base 转换（默认是十进制），返回变量 var 的 integer 数值。 intval() 不能用于 object，否则会产生 E_NOTICE 错误并返回 1。

unpack()函数解包详解

【pass-14】getimagesize()检查绕过

源码分析

function isImage($filename){$types = '.jpeg|.png|.gif';if(file_exists($filename)){$info = getimagesize($filename); //函数用于获取图像大小及相关信息（根据文件头），成功返回一个数组，失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。  $ext = image_type_to_extension($info[2]);  //根据指定的图像类型返回对应的后缀名。if(stripos($types,$ext)){   //判断后缀是否在白名单内return $ext;}else{return false;}}else{return false;}
}$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$temp_file = $_FILES['upload_file']['tmp_name'];$res = isImage($temp_file);if(!$res){$msg = "文件未知，上传失败！";}else{$img_path = $UPLOAD_ADDR."/".rand(10, 99).date("YmdHis").$res;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;}else{$msg = "上传失败";}}
}

与上一关不同的是这一关使用了getimagesize()函数，根据文件头部来获取图片的内容信息，这一关需要制作图片马（当然抓包添加头部GIF 89A也可以绕过），漏洞复现过程与上一关类似，这里就不再赘述。但是上述代码中检测方式有一个bug，导致不能上传.jpeg文件，因为if(stripos($types,$ext))这一条语句，如果上传.jpeg文件，stripos()函数会返回.jpeg在$ext中的位置，这显然是0，而0为假，所以不会进if，而是直接进入else后返回false导致文件上传失败。

getimagesize()函数：用于获取图像大小及相关信息，成功返回一个数组，失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。

image_type_to_extension()函数：根据指定的图像类型返回对应的后缀名。详解

【pass-15】exif_imagetype绕过

源码分析

function isImage($filename){//需要开启php_exif模块$image_type = exif_imagetype($filename);  //判断一个图像的类型switch ($image_type) {case IMAGETYPE_GIF:return "gif";//break;case IMAGETYPE_JPEG:return "jpg";//break;case IMAGETYPE_PNG:return "png";//break;    default:return false;//break;}
}$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$temp_file = $_FILES['upload_file']['tmp_name'];$res = isImage($temp_file);if(!$res){$msg = "文件未知，上传失败！";}else{$img_path = $UPLOAD_ADDR."/".rand(10, 99).date("YmdHis").".".$res;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;}else{$msg = "上传失败";}}
}

这一关与前两关的区别就是，使用了exif_imagetype函数来判断图像类型，然后结合白名单机制过滤。当然一样可以通过图片马去绕过，然后结合文件包含漏洞来getshell。

注：使用exif_imagetype函数时要开启php_exif模块，在php.ini文件中详解

exif_imagetype()函数：读取一个图像的第一个字节并检查其签名，如果发现了恰当的签名则返回一个对应的常量，否则返回 false。返回值和 getimagesize() 返回的数组中的索引 2 的值是一样的，但本函数快得多。

【pass-16】二次渲染

1、源码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){// 获得上传文件的基本信息，文件名，类型，大小，临时文件路径$filename = $_FILES['upload_file']['name'];$filetype = $_FILES['upload_file']['type'];$tmpname = $_FILES['upload_file']['tmp_name'];$target_path=UPLOAD_PATH.'/'.basename($filename);  //basename函数返回路径中的文件名部分。// 获得上传文件的扩展名$fileext= substr(strrchr($filename,"."),1);//判断文件后缀与类型，合法才进行上传操作if(($fileext == "jpg") && ($filetype=="image/jpeg")){   //对文件扩展名和mime类型做了判断if(move_uploaded_file($tmpname,$target_path)){//使用上传的图片生成新的图片$im = imagecreatefromjpeg($target_path); //imagecreatefromjpeg()函数由jpeg文件或URL创建一个新图象。if($im == false){$msg = "该文件不是jpg格式的图片！";@unlink($target_path);   //删除图片}else{//给新图片指定文件名srand(time());  //srand()随机数种子生成器$newfilename = strval(rand()).".jpg";  //strval()获取变量的字符串值//显示二次渲染后的图片（使用用户上传图片生成的新图片）$img_path = UPLOAD_PATH.'/'.$newfilename;imagejpeg($im,$img_path);  //输出图象到浏览器或文件。@unlink($target_path);   //删除原来图片$is_upload = true;}} else {$msg = "上传出错！";}}else if(($fileext == "png") && ($filetype=="image/png")){if(move_uploaded_file($tmpname,$target_path)){//使用上传的图片生成新的图片$im = imagecreatefrompng($target_path);if($im == false){$msg = "该文件不是png格式的图片！";@unlink($target_path);}else{//给新图片指定文件名srand(time());$newfilename = strval(rand()).".png";//显示二次渲染后的图片（使用用户上传图片生成的新图片）$img_path = UPLOAD_PATH.'/'.$newfilename;imagepng($im,$img_path);@unlink($target_path);$is_upload = true;               }} else {$msg = "上传出错！";}}else if(($fileext == "gif") && ($filetype=="image/gif")){if(move_uploaded_file($tmpname,$target_path)){//使用上传的图片生成新的图片$im = imagecreatefromgif($target_path);if($im == false){$msg = "该文件不是gif格式的图片！";@unlink($target_path);}else{//给新图片指定文件名srand(time());$newfilename = strval(rand()).".gif";//显示二次渲染后的图片（使用用户上传图片生成的新图片）$img_path = UPLOAD_PATH.'/'.$newfilename;imagegif($im,$img_path);@unlink($target_path);$is_upload = true;}} else {$msg = "上传出错！";}}else{$msg = "只允许上传后缀为.jpg|.png|.gif的图片文件！";}
}

后端对上传的图片先进行后缀和mime的校验，若通过则会将图片二次渲染，也就是说如果我们在图片中插入php代码，经过二次渲染后php代码很可能会丢失

2、测试流程

gif

先上传一张gif图片：

将上传的图片下载下来：

用十六进制分析工具winhex对比一下该文件与原文件的变化：

如图所示，白色部分为没有改变的，黑色部分是改变过的。此时我们需要将php代码插入到没有改变的区域（白色区域），注意尽量不要改变头部，插入到中间就行。

然后保存。

如图所示，打开更改后的图片，发现代码插入成功！

将更改后的图片上传：

小姐姐变成了这个样子。

利用文件包含漏洞测试一下：

成功！

关于jpg和png二次渲染的制作还比较困难，可以参考大佬文章。

小结：

二次渲染的绕过，本质上是要对比渲染前后的变化，利用winhex在没有变化的区域插入php代码即可实现绕过。

本文标签： upload

版权声明：本文标题：【upload 内容由网友自发贡献，该文观点仅代表作者本人，转载请联系作者并注明出处：http://roclinux.cn/p/1700371546a418031.html，本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，一经查实，本站将立刻删除。

Linux大棚 – 不忘初心的技术博客，浮躁时代的安静角落

【upload

【upload

【upload-labs】图片马绕过pass13~16

【pass-13】文件头检查绕过

1、源码分析

2、 测试流程

小结：

【pass-14】getimagesize()检查绕过

源码分析

【pass-15】exif_imagetype绕过

源码分析

【pass-16】二次渲染

1、源码分析

2、测试流程

小结：

更多相关文章

upload

【upload

java.io.IOException: The temporary upload location [C:WindowsTemptomcat.6949618360138609656.8080

发表评论

推荐文章

mule - Is there a way to grab the JSON response message of a POST Request in Mulesoft? - Stack Overflow

javascript - How to stop a parent&#39;s click event when the child&#39;s mousedown event is fired - Stack Overflow

Survival analysis and varying entry times in SPSS? - Stack Overflow

javascript - Vue.js select multiple value - Stack Overflow

kotlin - Thread.currentThread().contextClassLoader.getResource() can&#39;t get folder in Release - Stack Overflow

热门文章

javascript - order changed event in jquery sortable - Stack Overflow

AJAX: Getting ajax call javascript function - Stack Overflow

嵌入式软件技术笔记

javascript - Jquery and Prototype Conflict - Stack Overflow

python - Agno Agentic Framework - pydantic code ValidationError - Stack Overflow

javascript - Change default markers for directions on google maps - Stack Overflow

javascript - Programmatically display keyboard in UIWebView - Stack Overflow

javascript - How to place a button into a select2 result item and handle its click? - Stack Overflow

javascript - Condition to test if a word exists in window.location.href - Stack Overflow

printing - Save PDF from window.print in Javascript - Stack Overflow

最新文章

javascript - How do I toggle the readonly attribute of all child element with jquery - Stack Overflow

javascript - Might it be possible to block an entire US state from accessing my site, using PHP? - Stack Overflow

c++ - Is dereferencing std::span::end always undefined? - Stack Overflow

javascript - Delay function execution if it has been called recently - Stack Overflow

javascript - Google Maps Autocomplete List - Stack Overflow

windows设置断电重启开机后自动输入锁屏密码登录

Windows系统设置开机默认开启数字小键盘

Windows11 开机自动同步时间（开机时间不更新问题）

windows配置开机自启动软件或脚本

【Redis】Windows设置Redis为开机自启动

Exploring the Finest Accommodations: A Comprehensive Guide to Ruston LA Hotels

The Enchanting Experience of ScaliniTella NYC: A Culinary Gem in the Heart of Manhattan

Exploring the Exquisite Aloft Chicago O'Hare: A Blend of Modern Luxury and Convenience

A Culinary Journey: Discovering the Finest Dining Experiences in Waco, TX

A Culinary Journey: Discovering the Finest Dining Experiences in Athens, GA

2、测试流程

javascript - How to stop a parent's click event when the child's mousedown event is fired - Stack Overflow

kotlin - Thread.currentThread().contextClassLoader.getResource() can't get folder in Release - Stack Overflow