1. 初探文件上传漏洞那天我正刷着CTF题目突然遇到一个标注为[极客大挑战 2019]Upload1的挑战。看到Upload这个关键词我立刻意识到这可能是个文件上传漏洞的实战场景。这类漏洞在Web安全中非常常见但每个网站的具体防御措施都不尽相同需要灵活应对。打开页面后果然看到一个文件上传的界面。我习惯性地先上传了一个普通的图片试试水发现能正常上传。这很正常接下来才是重头戏 - 我准备上传一个包含一句话木马的PHP文件。这个木马非常简单就是经典的?php eval($_POST[cmd]);?它能让我后续通过蚁剑等工具连接服务器。2. 绕过前端Content-Type检查第一次尝试上传demo.php文件时页面直接提示不是图片。这种情况很常见说明网站有基础的前端校验。我立即打开Burp Suite开始抓包把上传请求发送到Repeater模块进行详细分析。在Repeater里我注意到请求头中的Content-Type是text/php。这就是问题所在网站显然在检查这个字段。于是我把它改成image/jpeg这是最常见的图片类型之一。修改后重新发送请求果然跳过了这个检查。不过事情没那么简单服务器返回了新的错误php文件不被允许。这说明后端还有更严格的过滤机制。这时候就需要发挥创造力了 - 我尝试把文件后缀改为php5、txt最后试了phtml。phtml这个后缀在很多系统中仍然会被当作PHP文件解析但往往不在黑名单里。果然使用phtml后缀后文件成功上传了3. 处理PHP标签过滤本以为这样就大功告成了但访问上传的文件时我发现代码没有被执行而是直接显示在页面上。仔细检查后发现原来服务器还过滤了?这个PHP开标签。这种防御措施就是为了防止攻击者执行PHP代码。这时候就需要一些PHP的冷知识了。除了?php ?这种标准写法PHP还支持其他几种标签形式。我改用script languagephpeval($_POST[cmd]);/script这种写法完美绕过了过滤。这种写法在现代PHP中已经不推荐使用但很多系统为了兼容性仍然支持。为了确保文件看起来更像图片我还用010 Editor给文件添加了GIF文件头GIF89a。这样即使服务器检查文件内容也会认为这是个合法的GIF图片。这种技巧在实际渗透测试中经常使用能有效绕过内容检查。4. 使用蚁剑建立连接文件成功上传后就该祭出我们的神器 - 蚁剑了。这是一个功能强大的Webshell管理工具支持文件管理、数据库操作、虚拟终端等实用功能。在蚁剑中添加连接时需要特别注意URL的构造。我最初直接用了上传的phtml文件路径但连接失败。检查后发现需要确保URL指向正确的位置并且服务器确实解析了这个文件。经过几次尝试最终成功建立了连接。连接成功后我首先查看了网站的根目录。在Linux系统中flag经常放在/var/www/html或者直接放在/目录下。经过一番搜索果然在根目录找到了flag文件内容正是我们期待的flag{7a3e410d-5abb-4cf0-a0c6-2a48179519ea}。5. 漏洞原理深度分析这个CTF题目其实模拟了一个非常典型的文件上传漏洞场景。让我们深入分析一下其中的安全机制和绕过原理首先网站有三重防御前端检查Content-Type后端黑名单过滤php等后缀过滤PHP开标签?我们的绕过方法也对应这三个层面修改Content-Type为image/jpeg使用phtml这种不太常见的后缀改用script languagephp这种替代语法这种层层递进的防御在实际网站中很常见。很多开发人员认为只要做了多重检查就安全了但其实每层防御都可能被绕过。比如Content-Type完全可以伪造黑名单总会漏掉一些可执行后缀而PHP标签也有多种写法。6. 实战中的注意事项在实际渗透测试中有几点需要特别注意文件内容伪装很重要。除了添加GIF文件头还可以尝试将PHP代码嵌入到真实的图片文件中。有些系统会检查文件的实际内容而不仅仅是文件头。后缀名的选择也有讲究。除了phtml还可以尝试phps、pht、php7等不同系统支持的后缀可能不同。有时候甚至大小写变换也能绕过检查比如pHp。蚁剑连接时如果遇到问题可以尝试以下方法检查URL是否正确确认文件确实被上传到了指定位置尝试不同的连接编码方式查看服务器返回的具体错误信息7. 防御措施建议既然我们已经知道了攻击者的手法那么作为开发人员应该如何防御呢以下是一些有效的措施使用白名单而不是黑名单。只允许特定的文件类型如jpg、png等。对上传的文件进行重命名避免用户控制文件名。将上传的文件存储在非Web可访问的目录通过脚本间接访问。使用图像处理库重新生成图片消除潜在的恶意代码。设置严格的Content-Type检查同时验证文件的实际内容。文件上传功能看似简单但隐藏着巨大的安全风险。通过这个CTF题目的实战我们不仅学习到了具体的绕过技巧更重要的是理解了防御的思路。在真实的Web开发中一定要对用户上传的内容保持高度警惕。
从Upload到phtml:一次文件上传漏洞的实战绕过与蚁剑连接
发布时间:2026/5/19 12:22:16
1. 初探文件上传漏洞那天我正刷着CTF题目突然遇到一个标注为[极客大挑战 2019]Upload1的挑战。看到Upload这个关键词我立刻意识到这可能是个文件上传漏洞的实战场景。这类漏洞在Web安全中非常常见但每个网站的具体防御措施都不尽相同需要灵活应对。打开页面后果然看到一个文件上传的界面。我习惯性地先上传了一个普通的图片试试水发现能正常上传。这很正常接下来才是重头戏 - 我准备上传一个包含一句话木马的PHP文件。这个木马非常简单就是经典的?php eval($_POST[cmd]);?它能让我后续通过蚁剑等工具连接服务器。2. 绕过前端Content-Type检查第一次尝试上传demo.php文件时页面直接提示不是图片。这种情况很常见说明网站有基础的前端校验。我立即打开Burp Suite开始抓包把上传请求发送到Repeater模块进行详细分析。在Repeater里我注意到请求头中的Content-Type是text/php。这就是问题所在网站显然在检查这个字段。于是我把它改成image/jpeg这是最常见的图片类型之一。修改后重新发送请求果然跳过了这个检查。不过事情没那么简单服务器返回了新的错误php文件不被允许。这说明后端还有更严格的过滤机制。这时候就需要发挥创造力了 - 我尝试把文件后缀改为php5、txt最后试了phtml。phtml这个后缀在很多系统中仍然会被当作PHP文件解析但往往不在黑名单里。果然使用phtml后缀后文件成功上传了3. 处理PHP标签过滤本以为这样就大功告成了但访问上传的文件时我发现代码没有被执行而是直接显示在页面上。仔细检查后发现原来服务器还过滤了?这个PHP开标签。这种防御措施就是为了防止攻击者执行PHP代码。这时候就需要一些PHP的冷知识了。除了?php ?这种标准写法PHP还支持其他几种标签形式。我改用script languagephpeval($_POST[cmd]);/script这种写法完美绕过了过滤。这种写法在现代PHP中已经不推荐使用但很多系统为了兼容性仍然支持。为了确保文件看起来更像图片我还用010 Editor给文件添加了GIF文件头GIF89a。这样即使服务器检查文件内容也会认为这是个合法的GIF图片。这种技巧在实际渗透测试中经常使用能有效绕过内容检查。4. 使用蚁剑建立连接文件成功上传后就该祭出我们的神器 - 蚁剑了。这是一个功能强大的Webshell管理工具支持文件管理、数据库操作、虚拟终端等实用功能。在蚁剑中添加连接时需要特别注意URL的构造。我最初直接用了上传的phtml文件路径但连接失败。检查后发现需要确保URL指向正确的位置并且服务器确实解析了这个文件。经过几次尝试最终成功建立了连接。连接成功后我首先查看了网站的根目录。在Linux系统中flag经常放在/var/www/html或者直接放在/目录下。经过一番搜索果然在根目录找到了flag文件内容正是我们期待的flag{7a3e410d-5abb-4cf0-a0c6-2a48179519ea}。5. 漏洞原理深度分析这个CTF题目其实模拟了一个非常典型的文件上传漏洞场景。让我们深入分析一下其中的安全机制和绕过原理首先网站有三重防御前端检查Content-Type后端黑名单过滤php等后缀过滤PHP开标签?我们的绕过方法也对应这三个层面修改Content-Type为image/jpeg使用phtml这种不太常见的后缀改用script languagephp这种替代语法这种层层递进的防御在实际网站中很常见。很多开发人员认为只要做了多重检查就安全了但其实每层防御都可能被绕过。比如Content-Type完全可以伪造黑名单总会漏掉一些可执行后缀而PHP标签也有多种写法。6. 实战中的注意事项在实际渗透测试中有几点需要特别注意文件内容伪装很重要。除了添加GIF文件头还可以尝试将PHP代码嵌入到真实的图片文件中。有些系统会检查文件的实际内容而不仅仅是文件头。后缀名的选择也有讲究。除了phtml还可以尝试phps、pht、php7等不同系统支持的后缀可能不同。有时候甚至大小写变换也能绕过检查比如pHp。蚁剑连接时如果遇到问题可以尝试以下方法检查URL是否正确确认文件确实被上传到了指定位置尝试不同的连接编码方式查看服务器返回的具体错误信息7. 防御措施建议既然我们已经知道了攻击者的手法那么作为开发人员应该如何防御呢以下是一些有效的措施使用白名单而不是黑名单。只允许特定的文件类型如jpg、png等。对上传的文件进行重命名避免用户控制文件名。将上传的文件存储在非Web可访问的目录通过脚本间接访问。使用图像处理库重新生成图片消除潜在的恶意代码。设置严格的Content-Type检查同时验证文件的实际内容。文件上传功能看似简单但隐藏着巨大的安全风险。通过这个CTF题目的实战我们不仅学习到了具体的绕过技巧更重要的是理解了防御的思路。在真实的Web开发中一定要对用户上传的内容保持高度警惕。
)
)
)
)
