一本修炼秘籍，带你打穿文件上传的21层妖塔(1)

目录

前言

引子

第一层：JS限制——你在玩一种很新的防御

第二层：Content-Type限制——我好像在哪见过你

第三层：黑名单绕过——让我康康！

---

前言

🍀作者简介：被吉师散养、喜欢前端、学过后端、练过CTF、玩过DOS、不喜欢java的不知名学生。

🍁个人主页：被吉师散养的职业混子

🍂相应专栏：CTF专栏

 小年快乐

引子

须臾百转，你重生在程序大陆

回望过往种种的背刺与欺压，若非通过秘宝轮回转生，怕是早已身死道消

想到这，怒火不由得燃上心头——你要去复仇

---

念头闪回，现在有一件好消息和一件坏消息摆在你的眼前：

• 好消息是：重生之后你的实力虽然大跌，但凭借前世的宝物：诸神之眼(说白了就是抓包软件)依旧可以傲视本片大陆 
• 坏消息则为：通过对外界的感知和前世对于典籍的阅读，你得知自己被困在了程序大陆大名鼎鼎的镇神塔内第一层，塔中到处都是针对于上传之力的封印之灵。而随着层数的递增，封印之灵的实力也会大大增强，尤其是最后几层的封印之灵，相传最后几层的妖物动辄毁天灭地，所以才被高人出手镇压于此

上传之力，是程序大陆中的一种精神力量，通过对目标精神的试探、攻击，找出其中的漏洞，并在目标的精神中注入属于自己的webshell

第一层：JS限制——你在玩一种很新的防御

你正在思考之际，忽然感觉到一股不弱的上传之力向你的精神世界袭来

伴随着冷哼一声，在你的精神世界，你见到了攻击者的面目：是一个类似于八卦盘的怪物

---

“以前的战斗中没见过，不过可以看出这镇神塔果然邪性得很。。。”

---

双方开启了试探，你先是通过上传之力向对方的精神体中传了一个简单的一句话木马shell.php

不出意料，攻击被一层水属性的蓝色护盾挡回

(以下是现场战况

 你开启诸神之眼观察了一番，并没有观察到清晰的上传之力波动

---

“呵呵，你觉得不使用上传之力就能打倒我？反犬+王是为狂，今天我就让你好好记住狂的下场”

---

对方的防御方法，你真是再清楚不过了：

不使用上传之力，也就是压根没有连接到精神世界中的网络，仅仅是通过本地的JS校验，这样的防御虽然方便，但是死板，至于打破它的方法嘛。。。

你看着面前的八卦盘，面色凝重，上传之力全部爆发，声势惊天，然后，然后。。。

然后你一路小跑到这哥们面前，抬手就往他八卦盘上一个叫做设置的部件上扇了个大比兜

(以下是当时战况

“哈哈哈哈哈哈哈哈，笑死我了，哪有这么傻的，我对你的攻击都不过脑子，只凭借自己本能的JS检测来防御，那我直接把你设置里的JS关了不就行了，真是太傻了。。。”

伴随着愉快的笑声，你来到了第二层

第二层：Content-Type限制——我好像在哪见过你

第二层的b格显然就要比第一层高多了，是一片优美的竹林，清风阵阵，带来竹叶的清香

---

“有人吗？不是。。。有妖吗？

。。。。。。

回应你的只有风扶细柳，流水潺潺

没人？可能是怕了本帝的飒爽英姿吧

算了

这风如此轻柔，当真舒服，不妨先睡一觉，反正才第二层，我堂堂一届大帝，应该出不了什么大事”

---

一阵自我催眠后，你在自己用上传之力编织的大床中缓缓睡了过去

殊不知，在你入眠的一刻，清风忽急，聚而成势，一个巴掌大小的微型龙卷风悬浮在你的眉心之上倏地，钻入眉心之中

这时候，你还在自己的梦里看妹子(不是

突然，原本晴空万里的精神世界狂风大作，黑云下垂似鲲鹏之翼

再定睛一看，那有什么黑云

那特么真的是鲲鹏！

你仔细想了想，自己上辈子没造过孽，招收贫穷子弟免费入山门，从未做过半点亏心事

什么情况？第二层给我安排鲲鹏？鲲鹏不是死了吗？玩呢？

应该不是真的，应该不是真的

你开启诸神之眼。。。。。。

了然

原来是鲲鹏残骸上的宝羽，虽说过去了这么多年，神采依旧如故啊

---

你不禁感慨，同时也有一丝庆幸，当年鲲鹏陨落一战，那些名门正派打着除妖物的幌子正大光明地抢劫，你不屑与其为伍，最后乔装一番，试图从他们手下救鲲鹏一命。

可惜最后，你身受重伤，鲲鹏无可奈何，也通过自爆的方式与宵小同归于尽。

临走之前 ，他赠予你一抹意志，正是因为这抹鲲鹏意志，你才能够到如今的地步。。。

---

慢慢的，你也冷静了下来

发动诸神之眼，将自己的攻击修改成shell.php.png格式，因为通过对典籍的阅读，你知道，这座塔里的妖魔都是通过吸收png来维持能量，也就是，他们的精神世界只能接收png格式的文件

所以现在你通过上传之力发送的文件，一定会被他接受的。

就在鲲鹏宝羽接受的前一刻，你再一次发动了诸神之眼

这次，发动的是诸神之眼的另外一个功能：断点拦截、时间暂停

你在暂停的时间内，迅速入侵了鲲鹏宝羽的精神世界对shell.php.png开放的通道

 

 果然被骗了，死物终归还是死物

只要在上传的时候，通过拦截，将shell.php.png后的png删掉

它就会将我的攻击认为成是平时吸收的能量，毫无防备地被我入侵

结束了时间暂停，你并没有看向天空中不断爆炸的鲲鹏宝羽，而是低头看向地面

---

“死物终究是死物。。。

鲲鹏兄是为一代英才，可惜被小人所害，可叹，可悲，唉。。。

他人之物再好，终究本是自己无运所获，何必抢夺行窃，即丢了自己的尊严，也有伤天和

望诸君引以为戒，切勿动此邪念，也切记财不露白”

---

沉默

立足在原地

长久的沉默

你拾起已无宝气的鲲鹏宝羽

---

“终归是个念想”

---

第三层：黑名单绕过——让我康康！

来到第三层，诸神之眼突然开始震动

---

”你发什么癫？“

---

被你呵斥一句，诸神之眼通灵般地安静了下去

---

“算你懂事。

第三层，管事的出来！”

---

不同于前两层的寂静，这次居然有人回应你，那是一阵平静如水的女声

---

“您找我？

---

一名素衣女子缓缓走出，怎么去形容呢

这名女子不能从美丑去评价，她站在你的面前，只能让你感觉到

她很平静，平静到可怕，仿佛她有一定能杀掉你的决心与实力

不愧是大名鼎鼎的镇神台

你没有回应，多年战斗的经验让你感觉有点不对劲

你先是用打败鲲鹏宝羽的方法对面前女子如法炮制

可当你改完上传的文件名后，居然被她的精神世界排斥了出来！

？？？

---

“您只凭这点手段就想杀了我吗？

有点天真”

---

那女子说完，身形变换，忽然消失，

随后，你的精神世界如遭雷击，你定睛一看，那女子竟神不知鬼不觉出现在你的身后，右手已抚至你的头颅

---

“要不要这么猛啊，这家伙什么来头？”

---

诸神之眼又一次震动，你更加心烦，生死之际宝物也发癫，真是。。。。

正在抱怨间，一阵银光从诸神之眼散出

时间开始不断变慢

诸神之眼自己发动了时间暂停。

随后，一阵精神波动传入你的大脑中

---

“别抱怨了，刚才就想告诉你，此女子非常人，乃是传说中精卫的人形化身，估计是当年填海未遂，真身破败后四散的能量所汇聚，祸害四方，所以被大能抓入此镇神塔。

诶，别说话，我知道你想问什么。

怎么样才能干掉它，对吧？

其实也简单，用我去看它的过往今来，窥破其本质——源代码

还想说什么？刚才呵斥我道歉？算了，你一个小儿，我堂堂诸神之眼也不和你计较了，要不是你，估计我也孕育不出这器灵，虽然现在很微弱就是了。”

---

时间暂停的效果开始减退，你一边震惊于诸神之眼居然诞生出来了器灵，一边又想试试新学到的用法——轮回(查看源代码捏)

轮回发动

眼前的精卫突然定身，破碎开来，一张张彩色的图片从精卫的身体中逸出，你仔细地看着这些图片

突然

“找到了！”

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array('.asp','.aspx','.php','.jsp');        $file_name = trim($_FILES['upload_file']['name']);        $file_name = deldot($file_name);//删除文件名末尾的点        $file_ext = strrchr($file_name, '.');        $file_ext = strtolower($file_ext); //转换为小写        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA        $file_ext = trim($file_ext); //收尾去空        if(!in_array($file_ext, $deny_ext)) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;                        if (move_uploaded_file($temp_file,$img_path)) {                 $is_upload = true;            } else {                $msg = '上传出错！';            }        } else {            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件！';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';    }}

原来如此。。。

        $deny_ext = array('.asp','.aspx','.php','.jsp');

它的精神世界通过此处，构建出了一个黑名单

只要我的文件中存在

.php

就会被排除

同时，通过源代码中的注释，发现也不能用大小写、末尾空格等措施绕过。

真精

有办法了

如果在它的精神世界的配置文件中有.+.ph(p[345]?|t|tml)此类的正则表达式构成，或是在其中存在类似于：AddType application/x-httpd-php .php .phtml .php3这样的语句。就可以将php3、php4、php5、phtml后缀的文件解析为php运行。

那我们直接将shell.php改成shell.php3试试

成功了！

成功传进去了！

因为轮回所四散开的精卫的前世今生，随着轮回的结束重聚人身

她还是那么平静，即使意识到自己要死了，她就这样怔怔地看着你

突然，她的眼中大放异采

---

是你！！居然是你！你来了！！这一切都是假的，你要小心。。。。

---

忽然一道霹雳从天空直击而下，精卫化身瞬间烟消云散

。。。。。。。

话说半截，最吊人胃口

你抬头看了看天空

---

“好像有人不想让我知道什么东西啊，

’这一切都是假的‘

假的又如何，等我打穿镇神塔，我还有何所惧？”

---

未完待续

来源地址：https://blog.csdn.net/m0_55400802/article/details/128684646