upload-labs学习笔记

项目地址： https://github.com/c0ny1/upload-labs

 

运行环境

 

操作系统：windows、Linux

php版本：推荐5.2.17(其他版本可能会导致部分Pass无法突破)

php组件：php_gd2,php_exif（部分Pass需要开启这两个组件）

apache：以moudel方式连接

 

前言：

靶机包含漏洞类型分类：

如何判断上传漏洞类型：

 

 

 

第一关

前端JS检查，只允许上传.jpg|.png|.gif文件，上传jpg文件，然后burp抓包，修改为.php即可

 

第二关

服务端对数据包的MIME进行检查，只需burp抓包，修改content-type即可

 

 

第三关

1.  黑名单禁止 上传.asp|.aspx|.php|.jsp后缀文件，  可以使用php3 php4 php5 pht phtml绕过
2.  文件上传后被重命名，可以在报文中找到上传后的文件名

 

 

第四关

黑名单 禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件！。  但是 .htaccess没有被禁止， 可以上传如下 .htaccess文件，重写文件解析规则，是1.jpg被解析为php，然后上传1.jpg即可

 

 

第五关

对比与第四关，黑名单加上了 .htaccess，但是忘记将后缀名进行大小写统一

即不存在如下代码：

这样我们上传 .PhP文件即可

 

第六关

在第五关的基础上，加上了将后缀全部转换为小写。 但是没有对后缀名进行去空处理，可在后缀名中加空格绕过：

第七关

与第六关相比，进行了首尾去空，但是没有删除文件名末尾的点， 利用windows特性，会自动去掉后缀名中最后的”.”，可在后缀名中加”.”绕过

 

 

 

 

 

第八关

黑名单、.htaccess、转换为小写、首尾去空 都做了， 但是没有对后缀名进行去”::$DATA”处理，利用windows特性，可在后缀名中加” ::$DATA”绕过：

【 必须是windows, 必须是php, 必须是那个源文件 php在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名 他的目的就是不检查后缀名】