文件上传 upload-labs Pass-17 二次渲染
Pass-17
审计源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
// 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
$filename = $_FILES['upload_file']['name'];
$filetype = $_FILES['upload_file']['type'];
$tmpname = $_FILES['upload_file']['tmp_name'];
$target_path=UPLOAD_PATH.'/'.basename($filename);
// 获得上传文件的扩展名
$fileext= substr(strrchr($filename,"."),1);
//判断文件后缀与类型,合法才进行上传操作
if(($fileext == "jpg") && ($filetype=="image/jpeg")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefromjpeg($target_path);
if($im == false){
$msg = "该文件不是jpg格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".jpg";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagejpeg($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "png") && ($filetype=="image/png")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefrompng($target_path);
if($im == false){
$msg = "该文件不是png格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".png";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagepng($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "gif") && ($filetype=="image/gif")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefromgif($target_path);
if($im == false){
$msg = "该文件不是gif格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".gif";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagegif($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else{
$msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
}
}
首先检查我们的图片是否为jpg png gif
图片,否者无法上传成功,然后使用move_uploaded_file
将我们上传的文件进行移动
移动后使用imagecreatefromjpeg
函数对我们的图片进行修改,将修改的图片上传到靶机
所以,我们需要进行图片合成木马,进行合成上传测试,步骤请见Pass-14
合成后进行上传测试,文件上传成功,上传图片马的php代码
为<?php phpinfo();?>
执行phpinfo();
文件包含测试
http://172.16.1.101/upload-labs/include.php?file=upload/17008.png
并没有执行我们的php代码phpinfo()函数
,这里是二次渲染的将我们的php代码去除了,所以无法执行
将上传到靶机的图片下载
和上传源文件
使用Winhex
进行对比分析数据
观察倒这里我们上传图片马的phpinfo
被去除
继续使用Winhex
分析文件,观察imagecreatefromjpeg
函数修改了那些内容
观察发现在文件都信息
中的数据比没有被修改,所以我们在这里加入<?php phpinfo();?>
是不会被二次渲染
所过滤
Ctrl + V
粘贴<?php phpinfo();?>
上传文件phpinfo.gif
文件,上传成功
并且变为了紫色,哈哈
文件包含测试,执行phpinfo
成功
这里我使用的gif
上传的文件,需要上传jpg png
才可以过关,我在做jpg
后缀的时候出了些问题
后续再去解决