iwebsec-文件上传 03 Content-Type过滤绕过

合集 - iwebsec(34)

1.iwebsec-sql注入 01 数字型注入2023-08-182.iwebsec-sql注入 02 字符型注入2023-08-183.iwebsec-sql注入 03 bool型注入2023-08-184.iwebsec-sql注入 04 时间延迟型注入2023-08-185.iwebsec-sql注入 05 报错型注入2023-08-186.iwebsec-sql注入 06 宽字节字符型注入2023-08-187.iwebsec-sql注入 07 空格过滤2023-08-188.iwebsec-sql注入 08 大小写过滤注入2023-08-189.iwebsec-sql注入 09 双写关键字绕过2023-08-1810.iwebsec-sql注入 10 双重url编码绕过2023-08-1811.iwebsec-sql注入 11 十六进制编码绕过2023-08-1812.iwebsec-sql注入 12 等价函数替换过滤2023-08-1813.iwebsec-sql注入 13 二次注入2023-08-1914.iwebsec-文件上传 01 前端JS过滤绕过2023-08-1915.iwebsec-文件上传 02 文件名过滤绕过2023-08-19

16.iwebsec-文件上传 03 Content-Type过滤绕过2023-08-19

17.iwebsec-文件上传 04 文件头过滤绕过2023-08-1918.iwebsec-文件上传 05 .htaccess2023-08-1919.iwebsec-文件上传 06 文件截断上传2023-08-1920.iwebsec-文件上传 07 条件竞争2023-08-1921.iwebsec-文件包含 01 本地文件包含2023-08-2022.iwebsec-文件包含 02 本地文件包含绕过2023-08-2023.iwebsec-文件包含 03 session本地文件包含2023-08-2024.iwebsec-文件包含 04 文件头过滤绕过2023-08-2025.iwebsec-文件包含 05 远程文件包含绕过2023-08-2026.iwebsec-文件包含 06 php://filter伪协议2023-08-2027.iwebsec-文件包含 07 php://input伪协议2023-08-2028.iwebsec-文件包含 08 php://input伪协议利用2023-08-2029.iwebsec-文件包含 09 file://伪协议利用2023-08-2030.iwebsec-文件包含 10 data://伪协议利用2023-08-2031.iwebsec-xss 01 反射型xss2023-08-2132.iwebsec-xss 02 存储型xss2023-08-2133.iwebsec-xss 03 DOM型xss2023-08-2134.iwebsec-xss 04 xss修复示例2023-08-21

收起

01、题目分析

文件上传的文件类型过滤，题目中已经告诉我们了，我们已经知道了过滤类型，但是出于学习和判断的目的，那么我们还是得判断一下文件上传的过滤类型

02、文件上传

先用哥斯拉创建一个一句话木马

命名为1.php

然后尝试上传木马

依旧是被拦截，但是这次burp抓到了数据包，说明是后端过滤

分析数据包可以发现，不仅仅是过滤了文件名，还有可能过滤了文件类型，那我们可以先上传一个正常的图片文件，然后抓包分析下正常的数据包是什么样的

-----WebKitFormBoundaryQRZRLsAeHLY4BFQD
Content-Disposition: form-data; name="upfile"; filename="kongbai.png"
Content-Type: image/png

通过分析数据包，我们可以得出猜出有可能有三种过滤方式，第一种是针对文件名过滤，第二种是针对文件类型过滤，第三种是针对文件名和文件类型的双重过滤，因为题目已经告诉我们什么情况了，没啥可说的，直接试试第二种修改数据包中的Content-Type

那就没什么好说的了，复制图片地址，哥斯拉连接，拿到webshell

03、源码分析

<?php 
//print_r($_FILES["upfile"]); 
if(is_uploaded_file($_FILES['upfile']['tmp_name'])){ 
$upfile=$_FILES["upfile"]; 
//获取数组里面的值 
$name=$upfile["name"];//上传文件的文件名 
$type=$upfile["type"];//上传文件的类型 
$size=$upfile["size"];//上传文件的大小 
$tmp_name=$upfile["tmp_name"];//上传文件的临时存放路径 
//判断是否为图片 
switch ($type){ 
case 'image/pjpeg':$okType=true; 
break; 
case 'image/jpeg':$okType=true; 
break; 
case 'image/gif':$okType=true; 
break; 
case 'image/png':$okType=true; 
break; 
} 
 
if($okType){ 
/** 
* 0:文件上传成功<br/> 
* 1：超过了文件大小，在php.ini文件中设置<br/> 
* 2：超过了文件的大小MAX_FILE_SIZE选项指定的值<br/> 
* 3：文件只有部分被上传<br/> 
* 4：没有文件被上传<br/> 
* 5：上传文件大小为0 
*/ 
$error=$upfile["error"];//上传后系统返回的值 
echo "================<br/>"; 
echo "上传文件名称是：".$name."<br/>"; 
echo "上传文件类型是：".$type."<br/>"; 
echo "上传文件大小是：".$size."<br/>"; 
echo "上传后系统返回的值是：".$error."<br/>"; 
echo "上传文件的临时存放路径是：".$tmp_name."<br/>"; 
 
echo "开始移动上传文件<br/>"; 
//把上传的临时文件移动到up目录下面 
move_uploaded_file($tmp_name,'up/'.$name); 
$destination="up/".$name; 
echo "================<br/>"; 
echo "上传信息：<br/>"; 
if($error==0){ 
echo "文件上传成功啦！"; 
echo "<br>图片预览:<br>"; 
echo "<img src=".$destination.">"; 
//echo " alt=\"图片预览:\r文件名:".$destination."\r上传时间:\">"; 
}elseif ($error==1){ 
echo "超过了文件大小，在php.ini文件中设置"; 
}elseif ($error==2){ 
echo "超过了文件的大小MAX_FILE_SIZE选项指定的值"; 
}elseif ($error==3){ 
echo "文件只有部分被上传"; 
}elseif ($error==4){ 
echo "没有文件被上传"; 
}else{ 
echo "上传文件大小为0"; 
} 
}else{ 
echo "请上传jpg,gif,png等格式的图片！"; 
} 
} 
 
?>