php文件上传之白名单00截断实验
%00截断介绍:
0x00,%00,/00 在url中 %00 表示ascll码中的 0 ,而ascii中0作为特殊字符保留,表示字符串结束,所以当url中出现%00时就会认为读取已结束。但是所谓的if拦截仍会读取后面的后缀达到绕过白名单的效果。
当前版本环境:
PHP版本低于5.4.24,或者PHP版本在5.5.8到5.6.0之间,且GPC关闭(php.in中"magic.quotes gpc"选项设置为0ff) ,则可能存在PHP文件上传时被00截断的问题,此后的PHP版本中,该问题已经得到修复,同时不再需要关闭GPC
https://img2023.cnblogs.com/blog/2859604/202306/2859604-20230612115638026-1274250083.png
前端界面:
https://img2023.cnblogs.com/blog/2859604/202306/2859604-20230612115637750-939261267.png
源码:
源代码中:
正常%00截断上传流程:
https://img2023.cnblogs.com/blog/2859604/202306/2859604-20230612115637434-185374702.png
https://img2023.cnblogs.com/blog/2859604/202306/2859604-20230612115637048-1142598629.png
获取的后缀是.php所以绕不过第一个if白名单的检测。
更改之后的代码:
使用$savepathPOST传递文件名称参数,$extension = end($temp)=123.php%00.jpg=jpg,从而绕过白名单的检测,最后的move_uploaded_file保存$_FILES["file"]["tmp_name"]使用截断绕过避免生成生成静态文件123.php%00.jpg。https://img2023.cnblogs.com/blog/2859604/202306/2859604-20230612115636604-214321497.png
结果:
https://img2023.cnblogs.com/blog/2859604/202306/2859604-20230612115635921-1923278878.png
参考:
http://www.admintony.com/关于上传中的00截断分析.html
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]