最近在EIS上遇到一道文件上傳的題�����,發現過濾了<,這樣基本很多姿勢都無效了,想了很久沒做出來這題�����,賽后才知道是利用數組來繞過, 這里分析了下原理,話不多說了�,來一起看看詳細的介紹吧�����。
來看下file_put_contents函數第二個參數data的官網定義:
- data
- 要寫入的數據���。類型可以是 string���,array 或者是 stream 資源(如上面所說的那樣)。
-
- 如果 data 指定為 stream 資源�,這里 stream 中所保存的緩存數據將被寫入到指定文件中�,這種用法就相似于使用 stream_copy_to_stream() 函數。
-
- 參數 data 可以是數組(但不能為多維數組)��,這就相當于 file_put_contents($filename, join('', $array))�����。
可以看到�,data參數可以是數組, 會自動做join('',$array)轉換為字符串的
該函數訪問文件時,遵循以下規則:
如果設置了 FILE_USE_INCLUDE_PATH�����,那么將檢查 *filename* 副本的內置路徑
如果文件不存在���,將創建一個文件
打開文件
如果設置了 LOCK_EX,那么將鎖定文件
如果設置了 FILE_APPEND�,那么將移至文件末尾。否則���,將會清除文件的內容
向文件中寫入數據
關閉文件并對所有文件解鎖
如果成功�����,該函數將返回寫入文件中的字符數�。如果失敗���,則返回 False���。
但我們字符串過濾函數一般是用preg_match函數來過濾的,如:
- if(preg_match('//</',$data)){
- die('hack');
- }
我們知道,很多處理字符串的函數如果傳入數組會出錯返回NULL, 如strcmp,strlen,md5等�, 但preg_match 函數出錯返回false, 這里我們可以通過var_dump(preg_match('/</',$data)); 來驗證����, 這樣的話����,preg_match 的正則過濾就失效了
因此�����,猜測文件上傳的代碼是這樣寫的:
- <?php
-
- if(isset($_POST['content']) && isset($_POST['ext'])){
- $data = $_POST['content'];
- $ext = $_POST['ext'];
-
-
- if(preg_match('//</',$data)){
- die('hack');
- }
- $filename = time();
- file_put_contents($filename.$ext, $data);
- }
-
- ?>
于是我么可以傳入content[]=<?php phpinfo();?>&ext=php 這樣來繞過
修復方法
修復方法是使用fwrite 函數來代替危險的file_put_contents函數,fwrite函數只能傳入字符串�,如果是數組會出錯返回false
- <?php
-
- if(isset($_POST['content']) && isset($_POST['ext'])){
- $data = $_POST['content'];
- $ext = $_POST['ext'];
-
-
- if(preg_match('//</',$data)){
- die('hack');
- }
- $filename = time();
-
- $f = fopen($filename.$ext);
- var_dump(fwrite($f,$data));
- }
-
- ?>
