原文链接:记一次文件上传引发的 SQL 注入
在一次测试过程中,发现一个文件上传的入口,如图: 测试时,使用 burp 提交数据包时,将文件名处添加 XSS 的 Payload:("><img src=x onerror=alert(document.domain>.png): 然后,发现 xss 漏洞触发执行,算是一个 self-xss,危害有限: 关闭弹窗后,发现一些错误信息:
感觉文件是文件名在插入数据库时报的错,所以尝试将 xss 的 payload 修改为 SQL 注入的: 1、--sleep(15).png 2、--sleep(6*3).png 3、--sleep(25).png
4、 --sleep(5*7).png 从测试上来看,大概猜测了下后端代码的实现方式,如下: - <?php
- $target_dir = “uploads/”; #存放文件的目录
- $target_file = $target_dir . basename($_FILES[“fileToUpload”][“name”]); #上传之后的文件路径
- $uploadOk = 1;
- $imageFileType = strtolower(pathinfo($target_file,PATHINFO_EXTENSION)); #文件名扩展小写
- // 检查图片的格式是否是真实图片
- if(isset($_POST[“submit”])) {
- $check = getimagesize($_FILES[“fileToUpload”][“tmp_name”]);
- if($check !== false) {
- echo “File is an image - “ . $check[“mime”] . “.”;
- $uploadOk = 1;
- } else {
- echo “File is not an image.”;
- $uploadOk = 0;
- }
- }
- ?>
以上代码没有检测文件名是否有效,从而导致,任意构造文件名,进入后续文件写入、数据入库的环节,导致漏洞产生,应该增加如下代码来检测文件名是否有效: - $filename = ‘../../test.jpg’;
- if (preg_match(‘/^[\/\w\-. ]+$/’, $filename))
- echo ‘VALID FILENAME’;
- else
- echo ‘INVALID FILENAME’;
| 
发表于 2022-1-7 01:11:35
