【文件上传漏洞-04】文件上传路径截断靶场实战

路径截断

00截断

在ASCII码中，00代表的是空(Null)字符，在URL中表现为%00。在文件截断攻击中，就是采用空字符来误导服务器截断字符串，以达到绕过攻击的目的。00截断会导致文件上传路径截断

原理：

服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置也就是文件另存，函数在执行的时候会有两个参数，第一个参数就是原文件的路径，第二个参数就是目标函数的路径，这两个路径都是作为字符串来出现的；该函数属于文件系统函数，涉及到文件操作，底层是采用C语言实现的，在C语言中，判断字符串是否结束是以空字符为标志的。因此，当上传的文件名中含有%00符号时，服务器会认为字符串到此结束，从而达到绕过的目的。

简单来说，在C语言中%00是字符串的结束标识符，而PHP就是C语言写的，所以继承了C语言的特性，所以判断为%00是结束符号不会继续往后执行。

利用前提条件：

• PHP<5.3.29，且GPC关闭

• 能够自定义上传路径

漏洞利用

1. PHPstudy切换到5.2.17版本

2. 关闭GPC，打开对应的php.ini文件将GPC关闭，然后重启服务器

实战前准备

准备好一个文件，该文件可能是木马，也可能是其他任意文件，本实验以php探针作为测试文件，来验证是否存在文件上传漏洞以及绕过漏洞检测的方法。

文件名为：phpinfo.php，文件内容：<?php phpinfo();?>。

靶场环境：upload-labs

less12

实战详细步骤

测试过程：可以先测试前端JS绕过→MIME绕过→服务端后缀名绕过→文件内容绕过等

访问upload-labs并点击进入第12关

1. 点击浏览，选择提前准备的探针文件phpinfo.php

1. 在页面点击上传按钮之前，打开burp，打开拦截请求

1. 打开拦截后，返回页面继续上传，之后发现burp成功拦截请求，这意味着浏览器端并没有检测文件后缀名。将拦截的请求，右键发送到repeater模块。

1. 在repeater模块中，点击send，查看响应结果，出现错误提示：只允许上传.jpg|.png|.gif类型文件

1. 在repeater模块中，将http请求中的文件后缀名由php修改为gif，点击send，可以看到响应中正常，出现文件上传路径，说明文件上传成功。（由此 我们可以断定服务器在文件上传进行验证的时候，未验证文件内容，也未验证Content-Type类型，但是服务器会把我们上传的文件进行重命名）

1. 返回Proxy模块中按照上一步操作，http请求中的文件后缀名由php修改为gif，点击forward，可以看到请求发送成功，并收到后端的响应显示如下，由于该文件不是真的图片，因此显示失败。

1. 点击图标右键选择新建标签页打开，可以看到无法执行（这是由于于所上传的文件无法按照php解析）

1. 在http请求中，我们发现了"save_path"，顾名思义就是文件上传的路径，也可以影响文件存储路径，而根据响应的文件路径，可以发现服务器对上传的文件进行了重命名。在Burp中的repeater模块，尝试是否可以在http请求的请求行中将上传文件另存为.php的文件呢？尝试之后发现，上传出错。

1. 由于我们只想保存到test.php后面路径都不需要了，因此我们只能在repeater模块中进行00截断。在http请求的路径参数中添加test.php%00来进行文件路径截断，由于C语言会将空字符认为是字符串终止符号，函数move_uploaded_file()在保存文件时会将%00后面的字符“截断”，导致服务器将文件以攻击者想要的后缀名存储在攻击者想要的位置。

1. 在Proxy模块中，http请求中的文件后缀名由php修改为gif，且在文件路径后添加test.php%00，点击forward。返回到浏览器，可以看到文件成功上传。

1. 点击图标右键选择新建标签页打开，发现打开页面404，此时我们只需删除test.php符号后的字段，可以看到文件的代码被成功执行。

注意：在http请求中，存储路径可控，是可以采用00截断的一个条件，且采用00阶段是为了使上传的文件可执行。