手机网站Com,铜山区建设局局网站周保春,网站优化公司收费,企业在哪里查询当时误打误撞发现的#xff0c;觉得挺奇葩的#xff0c;记录下
一个正常的图片上传的点#xff0c;文件类型白名单 但是比较巧的是当时刚对上面的id进行过注入测试#xff0c;有一些遗留的测试 payload 没删#xff0c;然后在测试上传的时候就发现.php的后缀可以上传了觉得挺奇葩的记录下
一个正常的图片上传的点文件类型白名单 但是比较巧的是当时刚对上面的id进行过注入测试有一些遗留的测试 payload 没删然后在测试上传的时候就发现.php的后缀可以上传了直接从白名单变成任意文件上传了。
id的正常格式是一串数字但是如果将id出改成字符串然后再修改上传的文件名为.php就可以成功上传了很奇怪的逻辑处理。当时的猜测是id处判断字符串错误进入了一个没有验证上传文件类型的代码段导致直接任意文件上传了。 后面出于好奇想验证下和我的猜测是否一致去源码里面看了一眼果然跟我的猜测一致关键代码如下
?php public function upload(){.......$id intval($this-post(id));.......$real_file_type []; // 限制文件类型$real_file_size 0; // 限制文件大小if ($id) {$where id {$id};if ($menu_id) {$where . and menu_id {$menu_id};}$config publics::getOne(ApplyExtraField::TABLE, type, options, $where);if (empty($config)) {return $this-returnJson(400, $this-language[parameter_error]);}if (!in_array($config[type], [8, 11, 12])) {return $this-returnJson(400, $this-language[error_field]);}$options json_decode($config[options], true);$condition $options[condition] ?? [];$real_file_type $condition[file_type] ?? [];$real_file_size isset($condition[file_size]) $condition[file_size] ? $condition[file_size] * 1024 : 0;}.......// 上传文件只会上传一个foreach ($this-request-getUploadedFiles() as $file) {$file_size $file-getSize();$file_name $file-getName();$file_type strtolower($file-getExtension());// 判断文件类型if ($real_file_type !in_array($file_type, $real_file_type)) {// 删除 Redis 列表中值$this-redis-lRem($uploadFileKey, $uploadFileVal, 0);$this-redis-sRem($executionListKey, $fileJsonStr);return $this-returnJson(400, $this-language[file_format_error]);}$fileExt $fileExt ?: $file_type;.......}.......return $this-returnJson(200, $this-language[upload_success], [name $file_name,url $file[url],file $file]);}?首先这里的正常功能是接收到的id是一串数字只要不是数字0if ($id)就是True的然后会根据menu_id去数据库中查询相关信息返回给经过几层处理$real_file_type $condition[file_type]会得到数据库中查询出的文件白名单类型。
然后if ($real_file_type !in_array($file_type, $real_file_type))会判断$file_type是否在白名单$real_file_type中不在的话就从Redis列表和集合中删除相应的值并返回一个JSON格式的错误响应。
而当$id是字符串时if ($id) 就是False 这样的话$real_file_type数组就没有接收到数据库查询出来的白名单还是为空。而$real_file_type []的话if ($real_file_type !in_array($file_type, $real_file_type)) False直接直接跳过判断文件类型数组为空也没法做白名单校验。直接导致了任意文件上传。
