当前位置: 首页 > news >正文

upload-labs靶场通关详解:第21关 数组绕过

一、分析源代码

// 初始化上传状态和消息变量
$is_upload = false;
$msg = null;// 检查是否有文件上传
if(!empty($_FILES['upload_file'])){// 允许上传的MIME类型数组$allow_type = array('image/jpeg','image/png','image/gif');// 验证上传文件的MIME类型是否允许if(!in_array($_FILES['upload_file']['type'],$allow_type)){$msg = "禁止上传该类型文件!";}else{// 获取保存的文件名,如果用户未指定则使用原文件名$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];// 将文件名转换为小写并分割成数组(处理可能的多级扩展名)if (!is_array($file)) {$file = explode('.', strtolower($file));}// 获取文件扩展名$ext = end($file);// 允许的文件后缀名数组$allow_suffix = array('jpg','png','gif');// 验证文件后缀名是否允许if (!in_array($ext, $allow_suffix)) {$msg = "禁止上传该后缀文件!";}else{// 重新组合文件名(保留原始文件名和扩展名)$file_name = reset($file) . '.' . $file[count($file) - 1];// 获取临时文件路径$temp_file = $_FILES['upload_file']['tmp_name'];// 构建上传后的文件完整路径$img_path = UPLOAD_PATH . '/' .$file_name;// 将临时文件移动到指定上传目录if (move_uploaded_file($temp_file, $img_path)) {$msg = "文件上传成功!";$is_upload = true;  // 标记上传成功} else {$msg = "文件上传失败!";}}}
}else{$msg = "请选择要上传的文件!";
}

 这里首先做了一个MIME类型检测,然后将保存的文件名分割成数组,进行白名单验证。

explode()函数将文件名拆分成数组,假设上传文件是xx.php.jpg,被拆分为:

Array
([0] => xx[1] => php[2] => jpg
)

 end()函数用来获取最后一个元素的值,进行后缀名检查。这里获取是jpg,通过白名单验证,进入下一步。

重新组合文件名,reset()函数返回第一个元素的值,“.”用来拼接,count()函数是统计元素个数,$file[count($file) - 1]是获取最后一个元素。举例,这里文件名被拆分为包含三个元素的数组,所以count($file)为3,也就是$file[2],索引从0开始,$file[2]就是第三位的“jpg”。重新组合的文件名就成为“xx.jpg”。

接下来再构建路径并转移上传。

二、解题思路

缺陷存在于数组拆分重组这一步,因为数组中的元素是可以构造的。

Array
([0] => xx.php[1] => (空)[2] => jpg
)

将第二个元素构造为空,end()函数获取第三个元素的值jpg,通过白名单验证。进入重新组合文件名:

$file_name = reset($file) . '.' . $file[count($file) - 1];

 这一步是关键所在,reset()函数获取第一个元素的值xx.php,而count()函数计算数组中只有2个元素,所以$file[count($file) - 1]索引的位置是$file[1],也就是第二个元素的值。最后拼接,变成了“xx.php.(空)”,由于windows系统的特性会删除文件名末尾的句点(.),最终文件被服务器保存为xx.php。

三、解题步骤

1.上传木马,利用bp抓包,先修改一下MIME类型,改成image/png。

2.构造数组。

3.提示文件上传成功,被保存为php文件。

http://www.dtcms.com/a/273174.html

相关文章:

  • 微服务架构下的自动化测试策略调优经验分享
  • 【基于大模型 + FAISS 的本地知识库与智能 PPT 生成系统:从架构到实现】
  • Datawhale AI 夏令营:用户洞察挑战赛 Notebook(2)
  • HVV注意事项(个人总结 非技术)
  • 【HTTP服务端】Cookie?Session?Token?
  • React 自定义Hook——页面或元素滚动到底部监听 Hook
  • Java+Vue开发的资产设备全周期管理系统,移动端+后台管理,涵盖采购至报废全程,实现高效管理、成本可控与资源优化
  • Shell脚本一键部署KubeSphere前置环境
  • 04-ES6
  • 多线程 JAVA
  • Java :Optional容器类
  • python的保险业务管理与数据分析系统
  • AI 智能体:从辅助工具到自主决策者
  • 【YOLO脚本】对模型yaml文件测试
  • ZYNQ MPSOC PL端DDR4读写--仿真(3)
  • JDK的Closure闭包详解
  • 发现和发明浅谈
  • 2025年最新Dubbo-admin 部署
  • HTML初学者第四天
  • Android 应用常见安全问题
  • JavaScript基础(三)
  • 一文讲清楚React Hooks
  • 解决问题的“测地线”:关于第一性原理与其他系统思考框架
  • RocksDB 与 ZenFS:原理、特性及在科研与工程中的应用初步探索
  • 使用Arthas监听Spring代理对象
  • 从UI设计到数字孪生实战部署:构建智慧教育的在线学习分析平台
  • Java观察者模式实现方式与测试方法
  • Constants
  • SSM 框架整合教程:从环境搭建到 CRUD 实现
  • html页面,一个控件,可以粘贴图片和样式,一直按enter键会将下面内容推下去