1、php版本 < 5.3.4
2、magic_quotes_gpc = Off
php我用的是upload-labs官方推荐的5.2.17,搭建平台用的是phpStudy2018。
magic_quotes_gpc的作用是对get请求、post请求、cookie…传入的数据进行转义处理,它只存在于php5.3.4版本及以下版本,比如当我们传入url编码%00时,%00就会被转义成0,也就是说当magic_quotes_gpc为On的状态下,url编码是不会被解析的,而我们又恰恰需要url编码被解析,所以我们得把magic_quotes_gpc的状态改为Off。
到php的根目录找到php.ini文件, 接着打开并修改为Off
F12直接定位到form表单处,我发现post请求里面携带了一个url参数,疑似是文件的上传路径
废话少说,咱先测试一下,随便输入个参数进去,看看能不能提交成功,如果提交成功则说明这个参数是可控的,即<文件上传路径可控>,反之,就是不可控。
可以看到,刚刚的图片文件已经上传成功了,如图
在url中%00表示ascii码中的0,而0作为特殊字符保留,表示字符结束,也就是说,在保存文件的时候,如果路径参数(例: $img_path)中出现了%00,就会认为路径到这里就已经结束了,从而忽略后面一系列的参数,比如$img_path = ../upload/test.php%00/test.jpg,此时,路径参数的后半部分就会被%00给截断,从而变成$img_path = ../upload/test.php
使用%00截断有两个要求:
1、php的版本 < 5.3.4
2、php.ini中的magic_quotes_gpc的状态为Off
补充:在保存文件的时候,如果路径结尾的文件名称和实际要保存的文件名称重名了的话,那么则会以路径结尾的文件名称为准。
例:…/upload/test.php # 保存路径
test.jpg # 文件名
实际保存以后的文件名:test.php
可以看到,图片已经上传成功了
通关方法和第11关差不多,只不过传递save_path参数的方式变成了POST,接收参数的方式也变成了POST
后端接收参数的方式变为了POST
这里提一点,因为第12关传递参数的方式为POST,POST是不会自动解码的,所以我们需要手动decode一下。
【认真做好当下的每一件事情,加油,奥利给!】
