0x00 判断文件上传限制

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

我们就直接阅读源码吧，直接从源码和提示里面判断一下是什么限制。

直接看源码和提示的话，我们会发现是一个黑名单限制的上传限制。（emmm，少了htaccess文件的限制，要不也试一下吧）再与前面的关卡的源码做对比，我们会发现少了一个函数，trim函数，即给文件名去除空格。那么我们可以考虑到空格上传绕过。当然，也正如前面提到的，既然没有htaccess文件限制，不如也尝试一下能不能使用htaccess文件重写绕过。

0x01 绕过限制上传文件

既然上面读完代码发现可以考虑空格上传绕过或者htaccess重写绕过，那么就全部尝试一下，说不定两种都能成功呢。

（1） 空格上传绕过

上传一个php文件并使用burp抓包拦截一下，在发送的响应包里面将后缀名加一个空格再进行发送。然后就能成功上传。之后就是，蚁剑连接一条龙服务。

（2）htaccess文件重写绕过

我们像第四关一样，先上传一个jpg的shell，成功之后上传htaccess文件，结果发现报错为不允许上传，再看看源码，发现，最后有一条不允许htaccess文件上传。[aru_39]（下次一定要完全阅读源码，要不然这种限制没在提示中显示出来还真的可能走错路）

0x02 结语

虽然过程中的一些思考是错误的，但是还是要多思考一些，因为实战的时候可能就因为多思考了这一点就找到了漏洞。