- 1iOS崩溃解析&原理_ios 崩溃 原理
- 2Sora问世25天:有人月入300W+,有人加速被淘汰
- 3华为HarmonyOS-Stage模型-Ability开发满分考试
- 4ESMFold conda安装、使用及与AlphaFold的简单比较_esm fold
- 5单编报错:fatal error: runtime: out of memory
- 6如何查看postgresql中的数据库大小?_pg 获取数据文件大小
- 7快应用的用法和常见问题解答(上)
- 8生产者-消费者C++实现(一)_c++ 生产者消费者代码实现
- 9DevEco Studio 运行项目有时会自动出现.js和.map文件_deveco studio 删除.js .map
- 10修改并保存hosts文件_群晖hosts文件怎么修改保存
upload-labs靶机学习
赞
踩
第一关:
在第一关中,我们可以看到界面上让上传一个图片,在尝试上传一句话木马后,界面出现如图弹窗,可以猜测是前端界面做了检测,但是后端有没有规则并不清楚。
我们在此界面右键后查看源码可以发现检测后缀的js函数。
解决办法1.在浏览器中直接禁用js此时检测的js脚本就失效了,但是禁用js会导致正常界面变得奇怪因此在使用过后建议及时开启。
2.修改或者删除那个检测的js函数。
3.在上传时先将.php改成.jpg格式,在Burp Suite中抓包并修改后缀。
可以看到上传成功
复制图片链接地址输入phpinfo()
第二关:
本关在尝试上传脚本文件时,界面出现提示:提示:文件类型不正确,请重新上传!
我们查看源码出现了这样一句代码:
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif'))
这句代码的意思是:检查上传的文件类型是否为JPEG、PNG或GIF格式。如果是则继续执行上传
接下来用burp工具抓包,之后修改content-type的类型为允许上传的图片类型即可绕过
修改后可以看到php脚本上传成功。
第三关:
在上传文件后提示:
源码:
- $is_upload = false;
- $msg = null;
- if (isset($_POST['submit'])) {
- if (file_exists(UPLOAD_PATH)) {
- $deny_ext = array('.asp','.aspx','.php','.jsp');
- $file_name = trim($_FILES['upload_file']['name']);
- $file_name = deldot($file_name);//删除文件名末尾的点
- $file_ext = strrchr($file_name, '.');
- $file_ext = strtolower($file_ext); //转换为小写
- $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
- $file_ext = trim($file_ext); //收尾去空
-
- if(!in_array($file_ext, $deny_ext)) {
- $temp_file = $_FILES['upload_file']['tmp_name'];
- $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
- if (move_uploaded_file($temp_file,$img_path)) {
- $is_upload = true;
- } else {
- $msg = '上传出错!';
- }
- } else {
- $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
- }
- } else {
- $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
- }
- }
查看源码后可以看到是黑名单过滤,可以看到过滤还是挺全面的,这时候我们可以考虑用别的可解析的php后缀绕过。
我们可以尝试用:php3、php4、php5、phtml等后缀进行绕过
可以看到成功绕过
第四关:
在本关有着比上一关更多的黑名单,过滤的更加充分了,所以一般的修改后缀的绕过一般不可行了。
我们可以考虑用.htaccess来绕过
介绍一下什么是.htaccess:主要的作用:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。
.htaccess的用途范围主要针对当前目录。
详细内容可以参考这篇博客:文件上传漏洞之.htaccess文件解析漏洞_.htaccess 漏洞-CSDN博客
所以我们接下来创建一个.htaccess文件
SetHandler application/x-httpd-php
并将php后缀的文件修改为.Jpg格式上传上去
最后访问照片时会自动变为php格式运行。
第五关:在提示中依旧可以看到是有非常多的黑名单过滤,且过滤了htaccess,查看源码
源码:
- $is_upload = false;
- $msg = null;
- if (isset($_POST['submit'])) {
- if (file_exists(UPLOAD_PATH)) {
- $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
- $file_name = trim($_FILES['upload_file']['name']);
- $file_name = deldot($file_name);//删除文件名末尾的点
- $file_ext = strrchr($file_name, '.');
- $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
- $file_ext = trim($file_ext); //首尾去空
-
- if (!in_array($file_ext, $deny_ext)) {
- $temp_file = $_FILES['upload_file']['tmp_name'];
- $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
- if (move_uploaded_file($temp_file, $img_path)) {
- $is_upload = true;
- } else {
- $msg = '上传出错!';
- }
- } else {
- $msg = '此文件类型不允许上传!';
- }
- } else {
- $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
- }
- }
从源码中可以看出他把大小写忽略了,因为php不区分大小写,所以我们可以将后缀改为大写绕过。
第六关:
本关依旧是以上的黑名单过滤,但是此关没有了删除空格的过滤,在windows中空格在存储时会自动清除。所以我们在后缀最后加一个空格就可以绕过。
我们在上传时抓包并在文件后添加一个空格,可以看到上传成功。
第七关:
本关与第六关类似,只是此关没有了删除.的代码,在Windows中文件存储时会自动删除后缀后面的“.”,同样抓包修改后缀,可以看到上传成功
第八关:
与前两关类似,这关少了::$DATA的删除。
当php在windows环境的时候,如果文件名+ “::$DATA" 会 把 "::$DATA" 之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名
所以跟前两关一样的步骤
第九关:
本关于之前几关类似,都是通过丰富的黑名单来过滤,但是我们查看源码后可以发现:
源码:
- $is_upload = false;
- $msg = null;
- if (isset($_POST['submit'])) {
- if (file_exists(UPLOAD_PATH)) {
- $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
- $file_name = trim($_FILES['upload_file']['name']);
- $file_name = deldot($file_name);//删除文件名末尾的点
- $file_ext = strrchr($file_name, '.');
- $file_ext = strtolower($file_ext); //转换为小写
- $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
- $file_ext = trim($file_ext); //首尾去空
-
- if (!in_array($file_ext, $deny_ext)) {
- $temp_file = $_FILES['upload_file']['tmp_name'];
- $img_path = UPLOAD_PATH.'/'.$file_name;
- if (move_uploaded_file($temp_file, $img_path)) {
- $is_upload = true;
- } else {
- $msg = '上传出错!';
- }
- } else {
- $msg = '此文件类型不允许上传!';
- }
- } else {
- $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
- }
- }
它先是将文件后的“.”依次删除后再进行下一步,但是deldot函数在遇到空格时会停住
所以我们将脚本文件后缀添加“. .”的形式绕过
同样抓包修改
第十关:
本关依旧是黑名单验证,但是在代码中存在这样一句:$file_name = str_ireplace($deny_ext,"", $file_name);他的意思是将与黑名单相同的后缀修改为空,所以我们可以考虑用双写绕过
将文件后缀修改为“.pphphp”
可以看到上传成功
第十一与十二关:
都是采用一样的原理:00截断
但是使用00截断是有要求的:
(1)php版本要小于5.3.4。
(3)在php.ini中magic_quotes_gpc需要为OFF状态。
(2)文件路径要可控。
在源码中:
源码:
- $is_upload = false;
- $msg = null;
- if(isset($_POST['submit'])){
- $ext_arr = array('jpg','png','gif');
- $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
- if(in_array($file_ext,$ext_arr)){
- $temp_file = $_FILES['upload_file']['tmp_name'];
- $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
-
- if(move_uploaded_file($temp_file,$img_path)){
- $is_upload = true;
- } else {
- $msg = '上传出错!';
- }
- } else{
- $msg = "只允许上传.jpg|.png|.gif类型文件!";
- }
- }
我们可以看到它是将源文件复制到新路径下的文件中,所以我们可以通过抓包自定义上传文件名称,并通过00截断控制上传路径里的文件名称及后缀,并将上传的php文件格式改为图片并将其里面的内容复制进去。
操作如下:
- 代码html><html lang="en"> [详细] -->
赞
踩
![Unity文字转语音(使用RT-Voice PRO [2023.1.0])_rtvoicepro添加](https://img-blog.csdnimg.cn/2020122118260934.png?x-oss-process=image/resize,m_fixed,h_300,image/format,png)
