PHP 文件上传实现及漏洞分析

来源：互联网发布：pytorch 知乎编辑：程序博客网时间：2024/06/05 09:59

PHP文件上传功能

直接上代码

<!DOCTYPE html><html><head>    <title>文件信息</title></head><meta charset="utf-8"><body><form action="" enctype="multipart/form-data" method="POST" name="uploadfile">    上传文件: <input type="file" name="upfile" />    <input type="submit" value="http://dearch.blog.51cto.com/10423918/上传" name="submit"></form></body></html><!-- 完全没有过滤，任意文件上传 --><?phpif (isset($_POST['submit'])) {    var_dump($_FILES['upfile']);    echo "文件名：".$_FILES['upfile']['name']."<br />";    echo "文件大小：".$_FILES['upfile']['size']."<br />";    echo "文件类型：".$_FILES['upfile']['type']."<br />";    echo "临时路径：".$_FILES['upfile']['tmp_name']."<br />";    echo "上传后系统返回值：".$_FILES['upfile']['error']."<br />";    echo "====================保存分各线========================<br />";    if ($_FILES['upfile']['error'] == 0) {        if (!is_dir("./upload")) {            mkdir("./upload");        }        $dir = "./upload/".$_FILES['upfile']['name'];        move_uploaded_file($_FILES['upfile']['tmp_name'],$dir);        echo "文件保存路径：".$dir."<br />";        echo "上传成功...<br />";        echo "图片预览：<br />";    }} ?>

实现了任意文件上传的功能，可以用挂马的方法去读取服务器文件

漏洞防范一

漏洞形成原因没有对文件进行过滤
于是有对文件名的过滤

<?phpif (isset($_POST['submit'])) {    var_dump($_FILES['upfile']);    echo "文件名：".$_FILES['upfile']['name']."<br />";    echo "文件大小：".$_FILES['upfile']['size']."<br />";    echo "文件类型：".$_FILES['upfile']['type']."<br />";    echo "临时路径：".$_FILES['upfile']['tmp_name']."<br />";    echo "上传后系统返回值：".$_FILES['upfile']['error']."<br />";    echo "====================保存分各线========================<br />";    $flag = 0;    switch ($_FILES['upfile']['type']) {        case 'image/jpeg':            $flag = 1;            break;        default:            die("文件类型错误.....");            break;    }    if ($_FILES['upfile']['error'] == 0 && $flag ) {        if (!is_dir("./upload")) {            mkdir("./upload");        }    $dir = "./upload/".$_FILES['upfile']['name'];    move_uploaded_file($_FILES['upfile']['tmp_name'],$dir);    echo "文件保存路径：".$dir."<br />";        echo "上传成功...<br />";        echo "图片预览：<br />";    }} ?>

这种可以利用%00截断攻击，也可以直接将名字变成.php上传

尽管我们知道我们上传的是一个PHP文件，但是如果不进行%00截断，我们上传的文件在服务器上是以< xxx.php.jpg>格式保存也就是说这是一个图片文件，PHP是不会解析这个文件。当我们进行%00截断后，服务器就会将%00后的<.jpg>进行截断，这是我们的的文件将以< xxx.php> 的形式保存在服务器上，我们的一句话木马也就成功的时上传成功了。

漏洞防范二

<!DOCTYPE html><html><head>    <title>文件信息</title></head><meta charset="utf-8"><body><form action="" enctype="multipart/form-data" method="POST" name="uploadfile">    上传文件: <input type="file" name="upfile" />    <input type="submit" value="http://dearch.blog.51cto.com/10423918/上传" name="submit"></form></body></html><?phpif (isset($_POST['submit'])) {    var_dump($_FILES['upfile']);    echo "文件名：".$_FILES['upfile']['name']."<br />";    echo "文件大小：".$_FILES['upfile']['size']."<br />";    echo "文件类型：".$_FILES['upfile']['type']."<br />";    echo "临时路径：".$_FILES['upfile']['tmp_name']."<br />";    echo "上传后系统返回值：".$_FILES['upfile']['error']."<br />";    echo "====================保存分各线========================<br />";    $flag = 0;    $path_parts = pathinfo($_FILES['upfile']['name']);    echo '---<br>';    var_dump($path_parts);    //返回文件路径信息    if ($path_parts['extension'] == 'jpg' && $_FILES['upfile']['type'] == 'image/jpeg') {        $flag = 1;    }else{        die("文件类型错误....");    }    if ($_FILES['upfile']['error'] == 0 && $flag ) {        if (!is_dir("./upload")) {            mkdir("./upload");        }        $dir = "./upload/".$_FILES['upfile']['name'];        echo "文件保存路径：".$dir."<br />";        move_uploaded_file($_FILES['upfile']['tmp_name'],$dir);        echo "上传成功...<br />";        echo "图片预览：<br />";    }} ?>

如果对文件名进行过滤就可以达到防任意上传的效果

为什么这次不能进行绕过？我们对文件名进行截断后，当数据包到Apache的时候，Apache会对截断处理这时截断的文件名变为< xxx.php>当PHP判断时会发现文件的后缀为< php>，然后我们就上传失败了….

还是多实现，理解的比较清楚~~

0 0