upload-labs通关笔记-第10关 文件上传之点多重过滤（空格点绕过）

目录

一、源码分析

1、delot函数

2、strrchr函数

3、trim函数

4、代码审计 

5、渗透思路

 二、渗透实战

1、构建脚本test10.php

2、打开靶场

3、bp开启拦截

4、点击上传

5、bp拦截

6、文件名尾部增加“. .”

7、发包并获取脚本地址

8、访问脚本

---

本文通过《upload-labs靶场通关笔记系列》来进行upload-labs靶场的渗透实战，本文讲解upload-labs靶场第10关文件上传通关代码审计实现“点空格点”绕过的渗透实战。

一、源码分析

打开upload-labs靶场第10关，选择查看源码对其进行代码审计，这段代码依旧是黑名单过滤，具体如下所示。

1、delot函数

本关卡需要通过代码审计完成渗透，如上关卡的delot函数是自定义函数，函数主要功能是删除文件名末尾的点(.)，从字符串尾部开始，从后向前删除点（.）字符 ，直到末尾的字符不是点为止。具体源码如下所示。

<?php
function deldot($s){for($i = strlen($s)-1;$i>0;$i--){$c = substr($s,$i,1);if($i == strlen($s)-1 and $c != '.'){return $s;}if($c != '.'){return substr($s,0,$i+1);}}
}
?>

2、strrchr函数

strrchr 是 PHP 中的字符串处理函数，其主要功能是查找字符串中某个字符（或子字符串）最后一次出现的位置，并返回从该位置开始到字符串末尾的所有字符。

strrchr ( string $haystack , mixed $needle ) : string|false

• 参数说明：
  • $haystack：这是要进行搜索的目标字符串。
  • $needle：这是要查找的字符或子字符串。如果 $needle 是一个长度大于 1 的字符串，实际上只会使用该字符串的第一个字符进行查找。
• 返回值：
  • 若 $needle 存在于 $haystack 中，函数会返回从 $needle 最后一次出现的位置开始到 $haystack 末尾的子字符串。
  • 若 $needle 不存在于 $haystack 中，函数会返回 false。

在文件上传靶场中，通常使用file_ext = strrchr($file_name, '.')函数用于获取上传文件的扩展名

$file_ext = strrchr($file_name, '.');

这里 $file_name 是上传文件的文件名，通过 strrchr 函数查找 点（.） 最后一次出现的位置，然后返回从该位置开始到文件名末尾的子字符串，也就是文件的扩展名。例如，若 $file_name 为 example.jpg，那么 $file_ext 就会是 .jpg。

3、trim函数

trim 是 PHP 里一个十分实用的字符串处理函数，其主要功能为去除字符串首尾处的空白字符或者其他指定字符。trim函数的基本语法如下所示。

trim ( string $str [, string $character_mask = " \t\n\r\0\x0B" ] ) : string

• 参数说明：
  • $str：这是需要处理的目标字符串。
  • $character_mask：这是一个可选参数，用于指定要去除的字符。若不提供该参数，默认会去除空格（）、制表符（\t）、换行符（\n）、回车符（\r）、空字节（\0）以及垂直制表符（\x0B）。
• 返回值：返回去除了指定字符后的新字符串

 在之前的文件上传代码里，trim 函数被调用了两次：

$file_name = trim($_FILES['upload_file']['name']);
$file_ext = trim($file_ext);

• 第一次使用 trim 函数是为了去除上传文件原始文件名首尾的空白字符，避免因文件名前后存在空格而引发问题。
• 第二次使用 trim 函数是对处理后的文件扩展名进行处理，去除其首尾的空白字符，确保扩展名的准确性。这样做能防止因空白字符的存在而导致文件类型的过滤出现误判。

4、代码审计 

详细注释的源码如下所示。第10关处理逻辑具体如下所示。

<?php
// 初始化变量，用于判断文件是否上传成功，初始值为 false
$is_upload = false;
// 初始化变量，用于存储上传过程中的提示信息，初始值为 null
$msg = null;// 检查是否通过 POST 方式提交了名为 submit 的表单数据
if (isset($_POST['submit'])) {// 检查上传目录是否存在if (file_exists(UPLOAD_PATH)) {// 定义一个数组，包含不允许上传的文件扩展名$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");// 获取上传文件的原始文件名，并去除首尾空格$file_name = trim($_FILES['upload_file']['name']);// 调用 deldot 函数删除文件名末尾的点$file_name = deldot($file_name);// 获取文件的扩展名，从文件名中最后一个点开始截取$file_ext = strrchr($file_name, '.');// 将文件扩展名转换为小写$file_ext = strtolower($file_ext);// 去除文件扩展名中可能存在的字符串 "::$DATA"$file_ext = str_ireplace('::$DATA', '', $file_ext);// 去除文件扩展名首尾的空格$file_ext = trim($file_ext);// 检查文件扩展名是否不在禁止上传的扩展名列表中if (!in_array($file_ext, $deny_ext)) {// 获取上传文件在服务器临时存储的路径$temp_file = $_FILES['upload_file']['tmp_name'];// 拼接上传文件在目标目录中的完整路径$img_path = UPLOAD_PATH.'/'.$file_name;// 尝试将临时文件移动到目标目录if (move_uploaded_file($temp_file, $img_path)) {// 如果移动成功，将 $is_upload 标记为 true$is_upload = true;} else {// 如果移动失败，设置提示信息为上传出错$msg = '上传出错！';}} else {// 如果文件扩展名在禁止列表中，设置提示信息为不允许上传该类型文件$msg = '此文件类型不允许上传！';}} else {// 如果上传目录不存在，设置提示信息为文件夹不存在，需要手工创建$msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';}
}
?>

这段代码首先定义了一个数组 $deny_ext，包含了一系列不允许上传的文件扩展名 ，然后获取并处理上传的文件名以及扩展名，具体逻辑如下所示。

• 从 $_FILES['upload_file']['name'] 获取上传文件的原始文件名，并去除首尾空格。
• 调用 deldot 函数删除文件名末尾的点。
• 使用 strrchr 函数获取文件的扩展名。
• 将扩展名转换为小写，以避免大小写绕过。
• 去除扩展名中可能存在的字符串 ::$DATA。
• 再次去除扩展名首尾的空格。

5、渗透思路

假设我们要上传的文件名为test10.php，我们在文件名的后缀尾部添加[点+空格+点]，那么要上传的文件名被修改为[test10.php.空格.]，上传到服务器之后会保留文件名test.php，整个处理流程如下所示。

• 第一步：deldot的函数先去除了一个最末尾的点,但是由于deldot()函数从后向前检测，当检测到末尾的第一个点时会继续它的检测，但是遇到空格会停下来，因此可以得到$file_name值为test10.php.空格，即“test10.php. ”

filename:“test10.php. ”

• 第二步：$file_ext = strrchr($file_name, ‘.’);这个函数的功能是获取字符点最后出现的位置后面的所有字符，因此在判断完以上语句后，可以得到$ file_ext值为点空格，即“. ”

ext：". "

• 第三步：$file_ext = trim($file_ext); //首尾去空，原$file_ext中的空格全都删掉，变为了点，这样文件扩展名为“.”，这样可以绕过黑名单的检测。而此时文件名为"test10.php"，这类文件传入window服务器，会被默认删掉.所以可以成功上传php后缀的文件。

​filename:"test10.php. "
ext："."

 二、渗透实战

1、构建脚本test10.php

<?php
phpinfo();
?>

2、打开靶场

 打开靶场第10关，浏览选择该脚本，但不点击上传。

3、bp开启拦截

4、点击上传

5、bp拦截

bp捕获到上传报文，下图红框的部分即为需要修改的文件名，需要将".php"后缀改为".php. "，修改之前文件名为”test10.php “,如下所示

6、文件名尾部增加“. .”

test11.php改为“test11.php. .”，修改后效果如下所示。

7、发包并获取脚本地址

将bp的inception设置为off，此时修改后的报文发送成功。

回到靶场的Pass11关卡，图片已经上传成功，在图片处右键复制图片地址。

右键图片获取图片地址，如下所示获取到图片URL。 

http://127.0.0.1/upload-labs/upload/test10.php.

8、访问脚本

 如下所示访问上传脚本获取到服务器的php信息，证明文件上传成功。