upload-labs靶场通关详解：第19关 条件竞争（二）

一、分析源代码

//index.php
// 初始化变量：标记上传状态和错误消息
$is_upload = false;
$msg = null;// 检查是否通过POST方式提交了表单
if (isset($_POST['submit']))
{// 引入自定义上传类require_once("./myupload.php");// 生成基于时间戳的文件名（避免重复）$imgFileName = time();// 创建上传类实例，传入上传文件的相关信息$u = new MyUpload($_FILES['upload_file']['name'],      // 原始文件名$_FILES['upload_file']['tmp_name'],  // 临时文件路径$_FILES['upload_file']['size'],      // 文件大小$imgFileName                          // 自定义文件名);// 调用上传方法，传入目标目录（由UPLOAD_PATH常量定义）$status_code = $u->upload(UPLOAD_PATH);// 根据返回的状态码处理结果switch ($status_code) {case 1:$is_upload = true;$img_path = $u->cls_upload_dir . $u->cls_file_rename_to;break;case 2:$msg = '文件已经被上传，但没有重命名。';break; case -1:$msg = '这个文件不能上传到服务器的临时文件存储目录。';break; case -2:$msg = '上传失败，上传目录不可写。';break; case -3:$msg = '上传失败，无法上传该类型文件。';break; case -4:$msg = '上传失败，上传的文件过大。';break; case -5:$msg = '上传失败，服务器已经存在相同名称文件。';break; case -6:$msg = '文件无法上传，文件不能复制到目标目录。';break;      default:$msg = '未知错误！';break;}
}

//myupload.php 
class MyUpload{// 允许上传的文件扩展名白名单（包含多种类型）var $cls_arr_ext_accepted = array(".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",".html", ".xml", ".tiff", ".jpeg", ".png" );/** upload()**** 上传文件的主方法，外部只需调用此方法** @param String 上传目标目录** @returns void**/function upload( $dir ){// 检查文件是否成功上传到临时目录$ret = $this->isUploadedFile();if( $ret != 1 ){return $this->resultUpload( $ret );}// 设置并验证上传目录$ret = $this->setDir( $dir );if( $ret != 1 ){return $this->resultUpload( $ret );}// 检查文件扩展名是否在白名单中$ret = $this->checkExtension();if( $ret != 1 ){return $this->resultUpload( $ret );}// 检查文件大小是否超过限制$ret = $this->checkSize();if( $ret != 1 ){return $this->resultUpload( $ret );    }// 如果设置了检查文件存在性的标志if( $this->cls_file_exists == 1 ){// 检查目标目录是否已存在同名文件$ret = $this->checkFileExists();if( $ret != 1 ){return $this->resultUpload( $ret );    }}// 所有检查通过，准备将文件从临时目录移动到目标目录$ret = $this->move();if( $ret != 1 ){return $this->resultUpload( $ret );    }// 检查是否需要重命名文件if( $this->cls_rename_file == 1 ){$ret = $this->renameFile();if( $ret != 1 ){return $this->resultUpload( $ret );    }}// 所有操作成功完成return $this->resultUpload( "SUCCESS" );}
}

 二、解题思路

这关的代码看上去很多，实际和上一关的差别不大，增加了文件扩展名的验证。参考条件竞争的思路，可以构造一个图片马重复上传。

其实直接上传一个图片马也可以，服务器对扩展名进行了检查，对文件数据没有检查，图片马会被保存，再利用文件包含漏洞访问就行了。

三、解题步骤

1.构造图片马上传。

2.利用文件包含漏洞访问木马（注意文件路径），成功。