[代码审计]php上传漏洞总结

背景：
这两天在网上瞎看，看到别人总结的一个上传漏洞靶场，觉得很不错，就是自己测试了下，
感觉对代码审计能力提高还是有帮助的，下面简单介绍靶场的解题思路(当然，每一题可能存在多种上传方式)。
靶场地址：https://github.com/c0ny1/upload-labs
一、环境搭建
建议使用靶场提供的测试环境。
二、解题思路
Pass-01:
检查代码：

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name;
        alert(errMsg);
        return false;
    }
}

由代码可知程序仅用js在前端做了简单的后缀名检查，很容易绕过。

本地目录放两个文件，一个phpinfo.png,一个phpinfo.php。 上传phpinfo.png抓包，在这将png改成php即可。

Pass-02:
检查代码：

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
                $is_upload = true;

            }
        } else {
            $msg = '文件类型不正确，请重新上传！';
        }
    } else {
        $msg = $UPLOAD_ADDR.'文件夹不存在,请手工创建！';
    }
}

这里仅对上传type类型做了判断。

这里将Content-Type: application/octet-stream修改成Content-Type: image/png即可。

Pass-03:
检查代码：

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) {
                 $img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name'];
                 $is_upload = true;
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件！';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建！';
    }
}

这里只对基本类型做了简单的判断，可以上传php3,php5等类型的文件，由于我的环境配的不能解析php3等类似的文件，所以这里我们上传.htaccess文件，内容如下
AddType application/x-httpd-php .jpg
意思让服务器将.jpg文件当做php解析。
然后在上传phpinfo.jpg即可。

=======================================
*后面的请参考（欢迎订阅我的专栏）：
https://xiaozhuanlan.com/topic/7036829451*