当前位置:   article > 正文

【渗透测试】--- upload-labs(1-19)闯关_uploadlabs1-19

uploadlabs1-19

第一关

1、检测方式
JS代码前端检测
2、绕过方式
Fn+F12删除前端代码的事件
3、具体步骤
上传.php文件之后给我们弹窗提示
在这里插入图片描述
由此猜测可能是用了js前端代码的验证,我们查看它的前端代码
在这里插入图片描述
这里果然有一个事件,我们将该事件删除,即可上传bug.php文件
在这里插入图片描述
上传解析成功
在这里插入图片描述
4、源码分析
在这里插入图片描述


第二关

1、检测方式
服务器端MIME类型检测
2、绕过方式
将我们的木马文件改名为xxx.jpg,开启bp拦截,点击上传,这样我们MIME类型就是图片的了,然后改文件名为xxx.php即可
3、具体步骤
上传重命名的木马文件
在这里插入图片描述
修改文件名
在这里插入图片描述
在这里插入图片描述
上传成功
在这里插入图片描述
4、源码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
    if (file_exists($UPLOAD_ADDR)) {
   
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
   
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
   
                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
                $is_upload = true;

            }
        } else {
   
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
   
        $msg = $UPLOAD_ADDR.'文件夹不存在,请手工创建!';
    }
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23

这可以上传MIME为:image/jpeg;image/png;image/gif的文件。


第三关

1、检测方式
黑名单检测
2、绕过方式
使用黑名单没有过滤的文件后缀名
3、具体步骤
上传之后发现是使用了黑名单过滤
在这里插入图片描述
我们改文件的后缀名为.php3,上传成功
在这里插入图片描述
解析成功
在这里插入图片描述
这里上传.phtml后缀名也可以

4、源码分析
在这里插入图片描述
相关函数

  • trim(string,charlist) — 移除字符串两侧的空白字符或其他预定义字符。string:规定要检查的字符串。charlist:规定从字符串中删除哪些字符。如果被省略,则移除以下所有字符:"\0" - NULL;"\t" - 制表符;"\n" - 换行;"\x0B" - 垂直制表符;"\r" - 回车;" " - 空格
  • strrchr() — 查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。

第四关

1、检测方式
比上一关更加全面的黑名单检测
2、绕过方式
方法一
apache解析漏洞,上传文件bug.php.xxx
方法二
上传.htaccess文件,
3、具体步骤
方法一
试了很多文件都不行,查看提示,这里的黑名单设置的很多
在这里插入图片描述
但是它的web容器用的是apache,版本是2.4.23
在这里插入图片描述
我们知道apache1.x和apache2.x的版本存在着解析漏洞,我们上传一个,这样的文件bug.php.xxx
在这里插入图片描述
上传成功,访问看看
在这里插入图片描述
解析成功了,完成。
方法二
我们上传的.htaccess文件中的内容是AddType application/x-httpd-php png,这样我们上传的.png文件就可以被解析了。
在这里插入图片描述
在这里插入图片描述
然后我们上传bug.png文件
在这里插入图片描述
在这里插入图片描述
上传bug.png成功,解析成功
在这里插入图片描述
4、源码分析
这一关的源码和上一关的区别就是多了很多的黑名单,这里就不再分析了。


第五关

用第四关的方法一就可以解决,源码中黑名单中多了.htaccess文件,第四关的方法二是不能使用的。


第六关

1、源码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
    if (file_exists($UPLOAD_ADDR)) {
   
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
   
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
   
                $img_path = $UPLOAD_ADDR . '/' . $file_name;
                $is_upload = true;
            }
        } else {
   
            $msg = '此文件不允许上传';
        }
    } else {
   
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/酷酷是懒虫/article/detail/848498
推荐阅读
相关标签
  

闽ICP备14008679号