这题对环境有要求,如果你是自建的靶场,或是使用docker 版的靶场需要自己开启 php 其他文件名后缀的解析,不是你的方法出错 (ಥ _ ಥ) 我在这卡了一天(我一直觉得不应该是我们手动改,那样的话算什么漏洞,结果是我环境没对,不够这个漏洞确实是运气成分比较大的,除非你能看到 php3 之类的文件)
分析过程
初步判断,源码应该是在服务端检测文件名后缀,并在检测通过后以时间+文件名后缀重命名。
根据提示可以猜想它可能是基于黑名单来判断的 ,黑名单最大的缺点就是任意因为排除不彻底而出现漏洞,因此我们尝试使用不同的文件名来扫描。
具体解法
解法一 —— 通过版本兼容性的不同后缀名来绕过检测
此处列出部分常见情况(后续会进行更新,我也没找全)
| PHP | ASP | JSP | HTML |
|---|---|---|---|
| .php | .asp | .jsp | .htm |
| .php1 | .aspx | .html | |
| .php2 | .asa | .jspx | .phtml |
| .php3 | .asax | .jspf | |
| .php4 | .ascx | ||
| .php5 | .ashx | ||
| .phtml | .a |
当然也可以根据一些操作系统不区分大小写的特性来混淆(本题不行,后面看源码的时候可以看到它都改成了小写字母)
下面的思路是在网上收集来的,我仅作简要评价
解法二——修改.htaccess
一般是不会开启这么高的权限的,这个思路不适合作为一个通用的破解方法。
而且这个解法的缺点在于,.htaccess 不能被改名,在最新的upload-lab中,加入重命名机制,从而使本方法失效。
修补思路
- 不使用黑名单,而使用白名单
- 实时补充拦截类型(注意使用转小写)
