考点:Thinkphp错误使用Upload类导致getshell
1.基本常识:thinkphp默认上传路径是/home/index/upload
2.$upload->allowExts并不是Think\Upload类的正确用法,所以allowexts后缀名限制是无效的。熟悉thinkphp的应该知道,upload()函数不传参时为多文件上传,整个$_FILES数组的文件都会上传保存。
3.题目中只限制了$_FILES[file]的上传后缀,也只给出$_FILES[file]上传后的路径,那我们上传多文件就可以绕过php后缀限制。
4.下一步就是要知道上传后的php文件名。看一下 think\upload 类是怎么生成文件名的
5.可以看到使用的是uniqid来生成文件名,同时上传txt文件跟php文件,txt上传后的文件名跟php的文件名非常接近。我们只需要构造Burp包,遍历爆破txt文件名后三位0-9 a-f的文件名,就能猜出php的文件名。