安全-Pass15之图片马绕过（upload-labs）

Posted 2021-09-08 小狐狸FM

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了安全-Pass15之图片马绕过（upload-labs）相关的知识，希望对你有一定的参考价值。

文章目录

前言
- 相关介绍
- 其他介绍
一、题目
二、WriteUp

前言

前面13关的笔记已经对php的源码分析过了，之后的关卡代码类似，就不再一步步分析了
php即Hypertext Preprocessor超文本预处理器，多用于web后端
BUUCTF的upload-labs在线靶场和本地的靶场有点差别，如果用文章的方法没法绕过时，注意看一下源码是否一致

其他介绍

文件上传绕过思路集合

upload-labs靶场下载

upload-labs在线靶场-BUUCTF

蚁剑AntSword

菜刀Cknife

Seay

一、题目

php后端代码

function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
        $info = getimagesize($filename);
        $ext = image_type_to_extension($info[2]);
        if(stripos($types,$ext)>=0){
            return $ext;
        }else{
            return false;
        }
    }else{
        return false;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知，上传失败！";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错！";
        }
    }
}

二、WriteUp

[1]. 函数介绍

isImage是靶场自定义的函数

PHP函数	介绍
date(格式)	以固定的时间格式获取当前系统的时间
file_exists(路径)	判断文件或目录是否存在
getimagesize(文件路径)	获取文件的信息，返回一个数组
image_type_to_extension(数字)	将图像类型的标记转换为对应的后缀
move_uploaded_file(文件路径，文件夹路径)	将文件移动到指定文件夹下
rand(数字1，数字2)	从数字1到数字2的范围内生成随机数，两个数字都有包含在内
stripos(主串，子串)	返回在主串中子串第一次出现的位置，未发现时将返回false

[2]. 源码审计

对应的介绍如下

创建两个php文件，分析一下isImage中的几个函数作用
上传一个本地文件，查看一下值的变化

$info数组的第三个元素的值为3，表示的类型是PNG
image_type_to_extension()函数的作用就是将图像类型的标记转换成对应的后缀

索引	介绍
0	图像宽度的像素值
1	图像高度的像素值
2	图像类型的标记
3	宽度和高度的字符串，可直接用于标签
bits	图像的每种颜色的位数，二进制格式
channels	图像的通道值，RGB图像默认是3
mime	图像的MIME信息