前言
最近在EIS上遇到一道文件上傳的題,發(fā)現(xiàn)過濾了<,這樣基本很多姿勢都無效了,想了很久沒做出來這題,賽后才知道是利用數(shù)組來繞過, 這里分析了下原理,話不多說了,來一起看看詳細(xì)的介紹吧。
來看下file_put_contents函數(shù)第二個參數(shù)data的官網(wǎng)定義:
data
要寫入的數(shù)據(jù)。類型可以是 string,array 或者是 stream 資源(如上面所說的那樣)。
如果 data 指定為 stream 資源,這里 stream 中所保存的緩存數(shù)據(jù)將被寫入到指定文件中,這種用法就相似于使用 stream_copy_to_stream() 函數(shù)。
參數(shù) data 可以是數(shù)組(但不能為多維數(shù)組),這就相當(dāng)于 file_put_contents($filename, join('', $array))。
可以看到,data參數(shù)可以是數(shù)組, 會自動做join('',$array)轉(zhuǎn)換為字符串的
該函數(shù)訪問文件時,遵循以下規(guī)則:
- 如果設(shè)置了 FILE_USE_INCLUDE_PATH,那么將檢查 *filename* 副本的內(nèi)置路徑
- 如果文件不存在,將創(chuàng)建一個文件
- 打開文件
- 如果設(shè)置了 LOCK_EX,那么將鎖定文件
- 如果設(shè)置了 FILE_APPEND,那么將移至文件末尾。否則,將會清除文件的內(nèi)容
- 向文件中寫入數(shù)據(jù)
- 關(guān)閉文件并對所有文件解鎖
- 如果成功,該函數(shù)將返回寫入文件中的字符數(shù)。如果失敗,則返回 False。
但我們字符串過濾函數(shù)一般是用preg_match函數(shù)來過濾的,如:
if(preg_match('/\</',$data)){
die('hack');
}
我們知道,很多處理字符串的函數(shù)如果傳入數(shù)組會出錯返回NULL, 如strcmp,strlen,md5等, 但preg_match 函數(shù)出錯返回false, 這里我們可以通過var_dump(preg_match('/\</',$data)); 來驗證, 這樣的話,preg_match 的正則過濾就失效了
因此,猜測文件上傳的代碼是這樣寫的
<?php
if(isset($_POST['content']) && isset($_POST['ext'])){
$data = $_POST['content'];
$ext = $_POST['ext'];
//var_dump(preg_match('/\</',$data));
if(preg_match('/\</',$data)){
die('hack');
}
$filename = time();
file_put_contents($filename.$ext, $data);
}
?>
于是我么可以傳入content[]=<?php phpinfo();?>&ext=php 這樣來繞過
修復(fù)方法
修復(fù)方法是使用fwrite 函數(shù)來代替危險的file_put_contents函數(shù),fwrite函數(shù)只能傳入字符串,如果是數(shù)組會出錯返回false
<?php
if(isset($_POST['content']) && isset($_POST['ext'])){
$data = $_POST['content'];
$ext = $_POST['ext'];
//var_dump(preg_match('/\</',$data));
if(preg_match('/\</',$data)){
die('hack');
}
$filename = time();
// file_put_contents($filename.$ext, $data);
$f = fopen($filename.$ext);
var_dump(fwrite($f,$data));
}
?>
總結(jié)
以上就是這篇文章的全部內(nèi)容了,希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,如果有疑問大家可以留言交流,謝謝大家對的支持。
【網(wǎng)站聲明】本站除付費源碼經(jīng)過測試外,其他素材未做測試,不保證完整性,網(wǎng)站上部分源碼僅限學(xué)習(xí)交流,請勿用于商業(yè)用途。如損害你的權(quán)益請聯(lián)系客服QQ:2655101040 給予處理,謝謝支持。