[PHP知识库]upload笔记

第一关 前端JS绕过
lasIndexOf是返回函数最后一次出现的地方（从右到左）； substring是用来截取函数的； indexOf是返回 表示从.出现的地方开始截取并判断是否在允许的字符串内
上传一句话木马，对我进行了弹窗，判断是前端js验证。
绕过方法：
1.按F12打开调控台，删除下面这个验证js代码。
οnsubmit="return checkFile()
2.上传成功，返回图片信息即路径地址
/upload/1.php
第二关 MIME-TYPE验证绕过
($_FILES[‘upload_file’][‘type’] == ‘image/jpeg’)
判断文件类型是否为图片
绕过方法：
通过burp捉包修改Content-Disposition:上传php文件
第三题 黑名单检测（特殊16进制后缀绕过）
绕过方法：
1.用特殊16进制后缀截断尝试，例如0xf7，将插入的字节填为f7
p+
0x00截断的思路即为将+之后的内容忽略掉
%00是被服务器解码为0x00发挥了截断作用
…/upload/202108050019484083.php
第四关 黑名单检测 （.htaccess文件绕过）
添加可以执行php的文件类型：
AddType application/x-httpd-php .php

<FilesMatch .jpg$>SetHandlerapplication/x?httpd?php</FilesMatch>//这个会覆盖前面的copy1.jpg/b+1.php/a2.jpg我只能用.txt服务器不支持第五题黑名单过滤（后缀名特殊字符多写）绕过方法：1.php..（两个点中间加个空格）windows在创建文件的时候，末尾的点会被去掉第六题黑名单过滤（大小写绕过）对后缀名进行大小写，例如1.pHPwindows在创建文件的时候，忽略大小写,实际保存的文件名后缀即为php第七题黑名单过滤（空格绕过）空格可以绕过windows在创建文件的时候，空格会被忽略第八题黑名单过滤（点绕过）点可以绕过windows在创建文件的时候，点会被忽略第九题黑名单过滤（流文件绕过）::$DATA可以绕过
windows在创建文件的时候，结尾流文件后缀会被忽略
第十一题 黑名单过滤（后缀名双写绕过）
绕过方法：
直接上传一个php文件，发现可以上传，但是查看返回路径发现，只有文件名，没有文件后缀名。则认
为他是将php替换为空了。
那么我们抓包将后缀名改成双写即可绕过，即11.pphphp
返回成功11.php
第十二题 白名单 get型%00截断
%00截断的概念和原理：
在url中%00表示ASCll码中的0，而0作为特殊字符保留，表示字符结束； 当url中出现%00时就认为读取已结束，而忽略后面上传的文件或者图片，只上传截断前的文件或图片。
要求：php版本小于5.3.4，且php中的magic.quotes.gpc为OFF状态
文件保存的方式是上传路径+随机时间+截取的文件后缀
先上传一个php文件，返回信息发现只允许上传.jpg|.png|.gif类型文件！认定为白名单验证。
通过抓包修改get 参数，然后通过file_ext无效，这样就可以上传php文件因此可以利用%00截断绕过。
上传jpg文档发现可以上传，则我们抓包，发现是GET型将路径信息暴露出来，我们尝试用00截
断，直接在save_path接收的值后面加上，1.php%00 并且将文件名改为1.jpg。成功上传，返回路
径信息
因为网站的原因GET提交参数到服务器系统中，系统在对文件名的读取时，如果遇到0x00，就
会认为读取已结束。
第十三题 白名单 POST型%00截断
上传jpg文档，发现是POST型将路径信息暴露出来，我们尝试用00截断，然后将save_path接收的值改为…/upload/1.php （有个空格），然后调整到hex中，将空格改为00，发包，发现上传成功，返回路径信息
第十四题 文件头检测
unpack() 函数从二进制字符串对数据进行解包返回数组一个字节为一个值）
intval() 函数通过使用指定的进制 base 转换（默认是十进制），返回变量 var 的 integer 数值
getimagesize() 函数用于获取图像大小及相关信息，成功返回一个数组
copy 8.png/b + 1.php/a 9.png
上传一句话图片木马<?php phpinfo();?>，将文件后缀改为php上传成功，但返回的为jpg格式文件
根据页面提示点开文件包含漏洞页面
根据页面提示通过GET请求的file参数填写我们的图片地址。
第十五题 文件头检测 代码函数用的是getimagesize()类型验证
本关一样使用图片马，和第十四题一样
第十六题 文件头检测代码函数用的是exif_imagetype()类型验证
exif_imagetype() — 判断一个图像的类型
开启文章开头环境说明中的extension=php_exif.dll
参考这个文章：https://www.freesion.com/article/48421366176/
第十七题 二次渲染绕过
先尝试上传一个gif格式的一句话图片木马，上传成功，右击图片查看图像
用文件包含漏洞解析发现是并没有成功。
用010editor把木马插入到图片中。
再对新修改的一句话图片木马上传，上传成功。
我没做出来
第二十题 保存名称可控，00截断
上传一句话木马，并且修改文件名php后缀，发现并不能上传上去
抓包修改上传名为2.php ，有个空格，我们再进入hex将空格的20修改为00进行截断，发现上传成功。
第二十一题 数组拼接后缀名
php修改后缀jpg上传抓包