Upload-Lab第六关：如何巧妙利用大小写绕过黑名单验证？

在第6关，关何过黑我们将面对一个黑名单验证机制，巧妙服务器通过检测文件扩展名来拒绝上传特定类型的利用文件（例如 .php 文件）。但由于验证逻辑不完善 ，写绕可以利用大小写绕过等技巧进行绕过。名单如下是验证第六关的亿华云关键源码：

复制$is_upload = false; $msg = null; if (isset($_POST[submit])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini"); $file_name = trim($_FILES[upload_file][name]); $file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, .); $file_ext = str_ireplace(::$DATA, , $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //首尾去空 if (!in_array($file_ext, $deny_ext)) { $temp_file = $_FILES[upload_file][tmp_name]; $img_path = UPLOAD_PATH./.date("YmdHis").rand(1000,9999).$file_ext; if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = 上传出错！; } } else { $msg = 此文件类型不允许上传 ！关何过黑; } } else { $msg = UPLOAD_PATH . 文件夹不存在,巧妙请手工创建！; } } ?利用>1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.

通过观察上述代码发现 ，同时过滤掉.htaccess和.ini
。写绕但是服务器租用名单没有使用strtolower()函数 ，可以使用大小写绕过黑名单把.php格式改为 .Php上传上去之后 ，验证就会自动解析为.php

解法步骤

(1) 准备webshell文件：

创建一个简单的关何过黑 PHP 文件 webshell.Php，内容如下：

复制<?巧妙php phpinfo(); ?>1.

(2) 上传文件：

在第6关的文件上传界面，选择webshell.Php文件并上传 。香港云服务器利用上传成功如下图所示：

(3) 验证上传结果

如果上传成功，你可以通过URL访问该文件，验证是否能够正常执行PHP代码。在本次复现过程中 ，通过访问这个文件的URL提示如下报错：

经过检查也没有发现任何问题，模板下载本关卡使用的环境如下：

nginx-1.24.0php-5.3

有知道的小伙伴
 ，麻烦评论区告诉我一声

在windows平台下也测试过一遍
，还是不能正常解析到Php后缀的文件
。免费模板如下图：

总结

第6关通过利用黑名单验证的缺陷和大小写绕过技巧 ，可以成功绕过服务器的文件上传限制
。这一关展示了在实际开发中简单黑名单验证的不足之处，强调了安全验证中细节的源码下载重要性。

推荐阅读 ：

《Upload-Lab第一关：轻松绕过前端验证的技巧！》

《Upload-Lab第二关：如何巧妙绕过MIME类型过滤？》

《Upload-Lab第三关：如何巧妙应对黑名单文件后缀检测 ？》

《Upload-Lab第四关：如何巧用.htaccess破解黑名单验证》

《Upload-Lab第5关 ：如何巧妙利用.user.ini配置文件绕过黑名单验证》