PHP漏洞挖掘-详解PHP文件上传漏洞(一).pdf

EXPLOIT ATTACK DEFENCE 〉栏目编辑 〉脚本小子 〉scriptsboy@ 漏 洞 攻 防 适合读者：入侵爱好者 前置知识：PHP、Linux PHP漏洞挖掘之旅—— 详解PHP文件上传漏洞（一） 文/图 cnbird[H.U.C]河北泊头杨宁 这次我要给大家讲解地是上传漏洞，但这个上 Accept-Language: zh-cn 传漏洞和ASP的不同，因为它是在PHP中的上传漏洞。 Content-Type: multipart/form-data; boundary= 7d718341001a2 比较经典，在很多场合都能用得上，希望对大家的学 UA-CPU: x86 习之路能有所帮助。 Accept-Encoding: gzip, deflate 开始之前我先罗嗦一下ASP的上传原理，就以动 User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Win- 网曾经存在的上传漏洞为例吧。对于特殊字符chr(0)， dows NT 5.1; .NET CLR 2.0.50727) 学过C的人都知道，它其实就是“/0”，也就是结束了。 Host: Content-Length: 337365 当我们上传一个“aaa.asp .jpg”（中间的空格表示chr Connection: Keep-Alive (0)）文件时，用right(file,4)看的时候，确实显示的是. Cache-Control: no-cache jpg，但当实际读取filename=aaa.asp .jpg并生成文 Cookie: phpbb2mysql_data=a%3A2%3A%7Bs%3A11%3A% 件的时候，系统读到chr(0)就以为结束了，所以后面 22autologinid%22%3Bs%3A0%3A%22%22%3Bs%3A6%3A%22us erid%22%3Bi%3A-1%3B%7D; 的.jpg就被截断了，这样就可以执行我们的aaa.asp文 这个数据包的第一行“POST /upload/upload.php 件了。但是对于PHP来说，上传漏洞的种类就非常多 HTTP/1.1 ”是利用HTTP的Post方法向“/upload/ 了，利用也很广泛。也许是我对ASP的研究不够深才 这么说的，希望大家看完这篇文章以后，能帮我找到 upload.php”文件打包传递数据。Accept是定义客户端 我不足的地方。 可以处理的媒体类型，按优先级排序；在一个以逗号 基础知识 为分隔的列表中，可以定义多种类型和使用通配符。 Referer头域允许客户端指定请求URL的源资源地址， 首先我们要了解的是HTTP协议，要是详细讲解 可以允许服务器生成回退链表，可用来登录、优化 的话够写一本书了，这里就概要的讲解一些我们用 Cache等，也允许废除的或错误