一次ctf文件上传php代码审计

朋友发的一个ctf题，做了好久才做出来，记录一下。

0x01 源码

0x02 代码初步分析

1. 由于服务使用了php版本为5.6.40，且容器为Apache，所以00截断用不了，其他的解析漏洞也用不上。
2. 对上传文件的Content-Type做了白名单限制，限制为图片类型，由于没有对文件内容进行校验，所以只需要把shell写到一个文本文件再重命名为jpg就行。
3. 对文件后缀进行了白名单限制，限制只能为jpg、png、gif。
4. 对文件内容进行了检查，不允许文件内容中出现。

0x03 代码深入分析

由于是ctf，所以这里必然有漏洞，做不出来就是知道的东西太少了。
由于php是弱类型语言，在字符串与数字进行比较时，会将字符串强制转换为数字再进行比较，所以：

php -r "echo 0=='jpg';"
1

但是基于multipart/form-data的POST请求得到的数据只能是文件或者字符串或者数组，不可能是数字，所以这个思路是不行的。
考虑到如下内容：

$ext = end($file);
$file_name = reset($file) . '.' . $file[count($file) - 1];

在已经获得$ext作为后缀名的情况下，没必要再通过$file来获取后缀名进行拼接。
考虑到这里的$file必须是个数组的情况下，explode()函数不可控，那么可以通过更改input标签中name的方式来将save_name修改为一个数组：

image.png

由于需要对后缀名进行校验，那么数组长度必然大于或等于2，count($file) - 1的值只能为key是数组长度减1的值，但是此处不可控。
经过多次测试：

";
var_dump($a);
?>
//输出结果：
0
array(2) { [1]=> int(1) [0]=> int(0) } 

php中手动用数字来定义的key，并不会按照从小到大的顺序进行存储，所以end()函数只会提取到数组最后定义的key对应的值，而通过数组长度减一得到的值就不一定和end()函数得到的值一致了。

当使用$a=[0,1]的写法时，end()函数得到的值与数组长度减一得到的值就又一致了。
采用绕过的答案如下：

#直接修改burp数据包：
Content-Disposition: form-data; name="save_name[1]"

1.php
-----------------------------6027882332248
Content-Disposition: form-data; name="save_name[0]"

jpg

php文件标记可以采用如下三种格式：

// 1.

//2. 需要在php.ini中设置short_open_tag = On

//3.

//4. 需要在php.ini中配置asp_tags = On ，一般默认是Off，7.0以上版本已移除这个配置
<%
%>

针对文件内容检查可采用第三种格式。