文件上传之靶场upload-labs (1-10)

第一关 sj 绕过

源码如下:

文件上传之靶场upload-labs (1-10)_第1张图片

 

lasIndexOf是返回函数最后一次出现的地方(从右到左)

substring是用来截取函数的

indexOf是返回

表示从.出现的地方开始截取并判断是否在允许的字符串内

绕过方法:

直接burp捉包修改参数

把小马php文件后缀修改成jpg,在从burp修改php

文件上传之靶场upload-labs (1-10)_第2张图片

 

 文件上传之靶场upload-labs (1-10)_第3张图片

 

 文件上传之靶场upload-labs (1-10)_第4张图片

访问路径

文件上传之靶场upload-labs (1-10)_第5张图片

 

 

 第二关

文件上传之靶场upload-labs (1-10)_第6张图片

 

 判断文件类型是否为图片

绕过方法

通过burp捉包修改Content-Type:

上传php文件

 文件上传之靶场upload-labs (1-10)_第7张图片

 

 文件上传之靶场upload-labs (1-10)_第8张图片

 

第三关

采用黑名单限制

上传后文件保存为路径加时间加随机数加后缀

文件上传之靶场upload-labs (1-10)_第9张图片

 

 绕过方法

使用别名php3,php5,phtml进行绕过

首先打开phpstudy工具中的httpd.conf文件进行修改使他解析别名

文件上传之靶场upload-labs (1-10)_第10张图片

 

 上传php文件并修改后缀

文件上传之靶场upload-labs (1-10)_第11张图片

 

第四关

增加了对别名的过滤

文件保存为路径加上传文件名

文件上传之靶场upload-labs (1-10)_第12张图片

 

 绕过方法

上传.htaccess文件(注: .htaccess文件生效前提条件为1.mod_rewrite模块开启。2.AllowOverride All

.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在httpd.conf文件中配置。
文件内容为AddType application/x-httpd-php .jpg使jpg文件用解析成php
 
文件上传之靶场upload-labs (1-10)_第13张图片

 

 文件上传之靶场upload-labs (1-10)_第14张图片

 

 文件上传之靶场upload-labs (1-10)_第15张图片

 

 第二种方法:Apache解析漏洞

在Apache 2.x中存在一个解析漏洞,如果我们将 lyshark.php 修改为 lyshark.php.shtml这样的格式,正常情况下会弹出文件下载提示框,但是由于Apache 2.x存在解析漏洞所以,会默认将其当作PHP脚本文件进行展开并执行。 Apache在解析文件时有一个原则,当碰到不认识的扩展名时,会从后向前解析,直到碰到认识的扩展名为止,如果不认识则会爆露其源代码,此时我们如果上传 lyshark.php.shtml的话,很明显.rar 他不认识,则会先前递增,会看到.php 默认就会使用.php 解析啦

文件上传之靶场upload-labs (1-10)_第16张图片

 

 


 

 

第五关
与前面相比这一关的过滤代码缺少了将后缀转换成小写的代码
文件上传之靶场upload-labs (1-10)_第17张图片

 

 绕过方法

后缀使用大小写绕过

文件上传之靶场upload-labs (1-10)_第18张图片

文件上传之靶场upload-labs (1-10)_第19张图片

 

 文件上传之靶场upload-labs (1-10)_第20张图片

 

 第六关

这一关少了首位去空的代码

文件上传之靶场upload-labs (1-10)_第21张图片

 

绕过方法

在window下1.jpg[空格] 和1.jpg.是不允许存在的,会强制删除空格和.

 

文件上传之靶场upload-labs (1-10)_第22张图片

文件上传之靶场upload-labs (1-10)_第23张图片

 第七关

少了删除文件名末尾的点

 文件上传之靶场upload-labs (1-10)_第24张图片

 

 绕过方法

和第六关差不多不过这次换成了点

文件上传之靶场upload-labs (1-10)_第25张图片

 

 文件上传之靶场upload-labs (1-10)_第26张图片

 

 第八关

少了去除::$data的代码

文件上传之靶场upload-labs (1-10)_第27张图片

 

 绕过方法

这道题利用的是Windows下NTFS文件系统的一个特性,即NTFS文件系统的存储数据流的一个属性 a.asp::DATA 时,就是请求 a.asp 本身的数据,如果a.asp 还包含了其他的数据流,比如 a.asp:lake2.asp,请求 a.asp:lake2.asp::$DATA,则是请求a.asp中的流数据lake2.asp的流数据内容。
简单讲就是在php+windows的情况下:如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名。
文件上传之靶场upload-labs (1-10)_第28张图片

 

 文件上传之靶场upload-labs (1-10)_第29张图片

 

 第九关

这里的代码逻辑是先删除末尾点,在截取点后面的字符串,将字符串转换成小写并首尾去空

文件上传之靶场upload-labs (1-10)_第30张图片

 

 绕过方法

这里我们可以使用点空格点的形式,同样利用了window下的特性,如果我们是在window下的环境那么3-9都可以利用点空格点

burp修改后缀为1.php为1.php. .  过滤后为1.php.

文件上传之靶场upload-labs (1-10)_第31张图片

浏览器访问1.php.实际访问的是1.php可以直接访问1.php

文件上传之靶场upload-labs (1-10)_第32张图片

 

 第十关

代码中只是对敏感后缀进行了一次替换

文件上传之靶场upload-labs (1-10)_第33张图片

 

 绕过方法

对后缀进行双写如 pphphp

文件上传之靶场upload-labs (1-10)_第34张图片

 

 

 文件上传之靶场upload-labs (1-10)_第35张图片

 

 



 

 

 

 

 



 

 

 

 

 

你可能感兴趣的:(文件上传之靶场upload-labs (1-10))