PHP文件上传 getshell 练习,upload_labs 过关笔记(持续更新)
今天断断续续做了下 github 上面的一个文件上传实验,有些关卡是通杀的,感觉我的思路没顺着作者的本意走
项目源地址:https://github.com/c0ny1/upload-labs
贴下过关记录
Pass-01:
00截断
Pass-02:
MIME 类型替换
Pass-03:
其他后缀
Pass-04:
上传 .htaccess 后上传图片格式 shell
Pass-05:
大写绕过黑名单
Pass-06:
空格绕过黑名单
Pass-07:
.后缀绕过黑名单
Pass-08:
::$DATA 配合 Windows下绕过
Pass-09:
Windows NTFS 数据流 trick 。
这里是知识盲区,发现网上也有不少人混淆了这里的概念,末尾单独讲吧
Pass-10:
双写绕过str_ireplace过滤
Pass-11:
get请求控制目录名,%00截断
Pass-12:
POST 参数控制目录名 00 截断
13-16,18 没有来得及做,还要研究一下。
Pass-17:
竞争上传,开两个不断请求就可以。
一个负责访问上传的文件,另一个负责执行写 shell
Pass-19:
这个做完才看到作者在 Readme 里说必须在Linux下才能绕过,为啥我在windows 下也成功了
可能这种做法是抖机灵吧
Pass-20:
审计代码,最终 POST 数组进行 Bypass,利用了数组可更改下标,PHP 果然是世界上最好的语言!
还有几个图片马的题目没有写,这里有一份上一个版本的 writeup,明天图片马关卡照着这个学习一下!
老版本的Writeup地址: https://github.com/LandGrey/upload-labs-writeup
接下来我们谈一下关卡9的很有意思的一个冷门知识点(反正我以前是没听过)
1 . 什么是 NTFS ?
NTFS 是微软Windows NT内核的系列操作系统支持的,是为了解决网络和磁盘配额,文件加密等安全特性所设计的磁盘格式,比FAT文件系统更加稳定,也更加安全。
NTFS-ADS,又称为 NTFS 交换数据流,是NTFS磁盘格式的一个特性。
在NTFS文件系统下,每个文件都可以存在多个数据流,也就是说,除了主文件流之外,还可以有很多非主文件流寄宿在主文件流中。虽然我们无法看到数据流文件,但是它是真实存在于我们系统之中的。
2 . ADS 与 文件上传
本题 payload :
shell.php:jpg
流类型以$开头,默认流类型为data,如上payload的完整形式其实是:
shell.php:jpg:$data
这个格式是创建一个与宿主文件关联的数据流文件。上传后会在目录下生成 shell.php 的空文件。
Why?
文件内容在数据流文件中,我们当初上传的就是一个[文件流]文件,它找不到自己的宿主文件,所以就创建了一个空文件。
我们再看看 MSDN 上的介绍:
便可以知道其原理。
另外利用 PHP 和 WINDOWS系统特性,以下符号在正则匹配时是相等的:
双引号" = 点号.
大于符号> = 问号?
小于符号< = 星号*这道题就是这样,我们先传数据流文件关联一个空的宿主文件,这样系统就会生成一个空文件。
然后再次上传 shell.<<< ,即可覆盖空文件的内容。
下面是整理的一些文件流姿势:
| 文件名 | 服务器反应 | 生成的文件内容 |
| Test.php:a.jpg | 生成Test.php | 空 |
| Test.php::$DATA | 生成test.php | |
| Test.php::$INDEX_ALLOCATION | 生成test.php文件夹 | |
| Test.php::$DATA.jpg | 生成0.jpg | |
| Test.php::$DATA\aaa.jpg | 生成aaa.jpg |
另外利用 NTFS 的特性,还可以做到很多事情:
1.绕过黑名单验证上传
2.绕过IIS目录权限认证
3.系统隐藏文件(木马,webshell)
4.MySql UDF提权利用
5.更多值得探索
这里推荐2个参考地址自己去理解吧,看了下文章日期,原来是很老的知识点了:
http://www.myhack58.com/Article/60/61/2013/38285.htm
https://www.waitalone.cn/php-windows-upload.html
本文首发公众号: 不一定Rock , 转载请保留二维码或原文链接!
