文件上传漏洞之勇闯20层地狱

文件上传漏洞之勇闯20层地狱

---

• 有些喜欢，就是麦田里曾降临过的风，只有当事人明了，而这的世界假装没发生。

---

简介:

upload-labs是一个使用php语言编写的，专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。
项目地址：https://github.com/c0ny1/upload-labs

pass-01：

• 源代码关键点
  客户端js验证
  
• 主要在客户端使用js对不合法图片进行检查，可以通过burp以及禁用js进行绕过！

pass-02：

• 源代码关键点
  判断content-type是否为图片格式
  
• 主要在服务端对数据包的MIME进行检查，修改content-type:image/jpeg即可。

pass-03：

• 源代码关键点
  禁止上传以下后缀文件。
  
• 主要在服务端禁止上传.asp|.aspx|.php|.jsp后缀文件，上传同类即可。
  

pass-04：

• 源代码关键点
  禁止所有类型文件文件
• 主要在服务端禁止上传基本上所有类型文件文件，可以利用.htaccess。
  首先上传.htaccess
  然后上传图片码即可。
  

pass-05：

• 源代码关键点
  跟之前一样，少了这个函数
  
• 主要在服务端禁止上传基本上所有类型文件文件（包括htlaccess）,模糊测试发现phP可以绕过。
  

pass-06：

• 源代码关键点

缺少该语句过滤

• 主要在服务端禁止上传基本上所有类型文件文件（包括htlaccess）,可以在后缀加空格。
• 

pass-07：

• 源代码关键点

缺少该语句过滤
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200309224053459.png)

• 主要在服务端禁止上传基本上所有可执行文件,可以在后缀加<.>，利用window特性绕过。
  

pass-08：

• 源代码关键点

缺少该语句过滤

• 主要在服务端禁止上传基本上所有可执行文件,可以在后缀加<::$DATA>，利用window特性绕过。
  

pass-09：

• 源代码关键点

路径拼接新加的，多组合利用
![在这里插入图片描述](https://img-blog.csdnimg.cn/2020030923092692.png)

• 主要在服务端禁止上传基本上所有可执行文件,可以在后缀加< . .>，组合利用。
  

pass-10：

• 源代码关键点

把不符合的后缀给替换空，以及推进。
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200309231215940.png)

• 主要在服务端禁止上传基本上所有可执行文件,可以在利用双文件绕过。
  

pass-11：

• 源代码关键点

  保存文件时是将get得到的路径与随机数年月日和上传文件名拼接到一起，所以上传文件路径可控，我们将get的路径最后改为1.php0x00那么拼接到后面的内容就会被丢弃。
  

• 主要在服务端白名单,get请求，因此可以利用%00截断绕过。
  

pass-12：

• 源代码关键点

  跟11一样，只不过这回是POST请求
  

  • 主要在服务端白名单postt请求，因此可以利用00截断，这次需要在二进制中进行修改，post不会像get对%00进行解码。
    

pass-13/14/15：

• 源代码关键点
  对文件内容进行过滤，判断文件相关信息以及文件幻数检测。

  
  

  • 上传图片马即可绕过。
    
    

pass-16：

• 源代码关键点大部分过滤，以及二次渲染，重新生成图片
  - 上传图片马即可绕过其他，针对于imagecreatefromjpeg函数，原理是上传一个图片，然后找二次渲染之后图片相同代码部分，然后写脚本在该处插入恶意代码。
  上传修改相同部分的图片码，当上传上去二次渲染之后，还是存在恶意代码，包含即可

pass-17：

• 源代码关键点
  文件先通过move_uploaded_file进行保存，然后用in_array判断文件是否为图片类型，如果是就用rename进行重命名，如果不是，则使用unlink删除文件。所以可以利用这个时间差，当文件保存后，就不断访问该文件，执行恶意代码。
  
• 先将恶意文件上传到服务器，服务器通过rename修改名称，再通过unlink删除文件，因此可以通过条件竞争的方式在unlink之前不断请求该文件，即可生成shell

');
?>

pass-18：

• 源代码关键点
  跟17相同也是利用条件竞争，但是这回限制白名单，不断上传图片马，包含即可。
  -

pass-19：

• 源代码关键点
  考的是CVE-2015-2348 move_uploaded_file() 00截断
  
• 00截断即可
  

pass-20：

• 源代码关键点
  -通过$fil{e}_{n}ame=reset($file) . ‘.’ . $file[count($file) - 1];可以知道最终的文件名是由数组的第一个和最后一个元素拼接而成，如果上传不是不是数组，就自己拆成数组，就提供了绕过条件

  

  • 上传数组前面可以利用php，后面jpg绕过
    

  余生很长，请多指教。