当前位置：首页 > news >正文

记一次由于整型参数错误导致的任意文件上传

news 2026/3/27 18:50:28

当时误打误撞发现的，觉得挺奇葩的，记录下

一个正常的图片上传的点，文件类型白名单

在这里插入图片描述

但是比较巧的是当时刚对上面的id进行过注入测试，有一些遗留的测试 payload 没删，然后在测试上传的时候就发现.php的后缀可以上传了，直接从白名单变成任意文件上传了。

id的正常格式是一串数字，但是如果将id出改成字符串，然后再修改上传的文件名为.php，就可以成功上传了，很奇怪的逻辑处理。当时的猜测是id处判断字符串错误进入了一个没有验证上传文件类型的代码段，导致直接任意文件上传了。

在这里插入图片描述

后面出于好奇，想验证下和我的猜测是否一致，去源码里面看了一眼，果然跟我的猜测一致，关键代码如下：

<?php public function upload(){.......$id = intval($this->post('id'));.......$real_file_type = [];       // 限制文件类型$real_file_size = 0;        // 限制文件大小if ($id) {$where = "id = {$id}";if ($menu_id) {$where .= " and menu_id = '{$menu_id}'";}$config = publics::getOne(ApplyExtraField::TABLE, 'type, options', $where);if (empty($config)) {return $this->returnJson(400, $this->language['parameter_error']);}if (!in_array($config['type'], [8, 11, 12])) {return $this->returnJson(400, $this->language['error_field']);}$options = json_decode($config['options'], true);$condition = $options['condition'] ?? [];$real_file_type = $condition['file_type'] ?? [];$real_file_size = isset($condition['file_size']) && $condition['file_size'] ? $condition['file_size'] * 1024 : 0;}.......// 上传文件只会上传一个foreach ($this->request->getUploadedFiles() as $file) {$file_size = $file->getSize();$file_name = $file->getName();$file_type = strtolower($file->getExtension());// 判断文件类型if ($real_file_type && !in_array($file_type, $real_file_type)) {// 删除 Redis 列表中值$this->redis->lRem($uploadFileKey, $uploadFileVal, 0);$this->redis->sRem($executionListKey, $fileJsonStr);return $this->returnJson(400, $this->language['file_format_error']);}$fileExt = $fileExt ?: $file_type;.......}.......return $this->returnJson(200, $this->language['upload_success'], ['name' => $file_name,'url' => $file['url'],'file' => $file]);}?>

首先这里的正常功能是接收到的id是一串数字，只要不是数字0，if ($id)就是True的，然后会根据menu_id去数据库中查询相关信息返回给，经过几层处理$real_file_type = $condition['file_type']，会得到数据库中查询出的文件白名单类型。

然后if ($real_file_type && !in_array($file_type, $real_file_type))会判断$file_type是否在白名单$real_file_type中，不在的话，就从Redis列表和集合中删除相应的值，并返回一个JSON格式的错误响应。

而当$id是字符串时，if ($id) 就是False

在这里插入图片描述

这样的话$real_file_type数组就没有接收到数据库查询出来的白名单，还是为空。而$real_file_type = []的话，if ($real_file_type && !in_array($file_type, $real_file_type)) == False，直接直接跳过判断文件类型，数组为空也没法做白名单校验。直接导致了任意文件上传。

记一次由于整型参数错误导致的任意文件上传

相关文章：

记一次由于整型参数错误导致的任意文件上传

spring之Spring Security - 实现身份验证与授权

【Unity3D赛车游戏】【二】如何制作一个真实模拟的汽车

【Linux】线程篇Ⅱ：

浅尝OpenResty

MySQL分页查询慢怎么办

mongodb集群

回归预测 | MATLAB实现WOA-BP鲸鱼优化算法优化BP神经网络多输入单输出回归预测（多指标，多图）

【前端从0开始】JavaSript——循环控制语句

【Elasticsearch】spring-boot-starter-data-elasticsearch的使用以及Elasticsearch集群的连接

Python学习笔记_进阶篇(四)_django知识(三)

指针(初阶）

Flink内核源码解析--Flink中重要的工作组件和机制

Linux 压缩解压（归档管理）：tar命令

spring boot集成mqtt协议发送和订阅数据

【数据库】详解数据库架构优化思路(两主架构、主从复制、冷热分离)

el-table 实现动态表头静态内容根据数据显示动态输入框

Reids 的整合 Spring Data Redis使用

3D数据转换工具HOOPS Exchange概览

【从零开始的rust web开发之路一】axum学习使用

Chrome密码提取终极指南：ChromePass工具完整使用教程

鸣潮帧率优化指南：用WaveTools工具箱实现高流畅度游戏体验

3大突破：重新定义Revit插件开发流程

从XMind到禅道：定制化脚本实现测试用例高效导入

3步构建智能无人机防御系统：从威胁识别到实时追踪的实践指南

深入剖析大数据领域数据分片的优缺点

告别Transformer？手把手复现SegNeXt语义分割模型（附PyTorch代码）

还在手工整理IT报表？这套自动化模板让你彻底解放双手

OpenClaw+nanobot技能开发：从零编写自定义文件处理器

CentOS 7下OnlyOffice离线部署全攻略：从依赖包下载到一键配置（避坑指南）