upload-labs writeup

其它的writeup

https://github.com/LandGrey/upload-labs-writeup

https://cloud.tencent.com/developer/article/1377897

https://www.360zhijia.com/anquan/442566.html

upload-labs安装

下载地址：https://github.com/c0ny1/upload-labs

准备

• 下载后将整个文件放入phpstudy目录下即可

• 在项目的更目录下新建文件夹upload

• 上传的文件名不要是中文名，否则会出现上传错误

pass-1

操作

• 准备一句话木马为

• 上传一句话木马出现1.php弹出

• 查看javascript存在前端过滤，也能看到相应代码

• 直接删除，上传，上传成功

• 如果我们知道上传文件的完整路径（这里可以直接查看图片获得路径），就可以通过蚁剑或菜刀连接

原理

• 只是通过前端js来验证文件类型，将js禁用即可绕过

pass-2

操作

• 同一，把过滤函数删除，用bp截断，上传php,将content-type值改为image/png,上传成功

原理

• 从源代码可以看到通过MIME-TYPE进行过滤，首先通过$_FILES['upload_file']['type']得到上传的MIME-TYPE，然后和image/png,image/jpeg进行比较

• mime是多用途互联网邮件扩展类型，用于设定某扩展名文件的打开方式，如.png在数据包的中的content-type为image/png

• $_FILES是一个全局变量数组，各个值的含义为

$_FILES['myFile']['name']	上传文件的原名称
$_FILES['myFile']['type']	文件的 MIME 类型
$_FILES['myFile']['size']	已上传文件的大小，单位为字节
$_FILES['myFile']['tmp_name']	文件被上传后在服务端储存的临时文件名，一般是系统默认。可以在php.ini的upload_tmp_dir 指定
$_FILES['myFile']['error']	和该文件上传相关的错误代码

pass-3

操作

将后缀名改为.php5，成功

原理

• 从源代码看，系统利用trim()删除了文件两侧空格，利用deldot()删除文件名末尾的点，利用strtolower()将文件名转换为小写，利用str_ireplace()去除字符串::$DATA。

• 但是只是利用黑名单$deny_ext = array('.asp','.aspx','.php','.jsp');禁止上传后缀为php等的文件

• 所以可以利用apache的解析特性：它将.php3,.php5,.phtml等都可以解析为php

pass-4

操作

• 首先上传文件.htaccess，内容为stehandler application/x-httpd-php

• 接着上传将先前的文件1.php改为1.jpg，上传成功，并可以使用蚁剑连接

原理

• 查看源码，和三类似，但它的黑名单为 $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");但是并没有禁止.htaccess

• .htaccess是apache服务器中的一个配置文件，可以实现301重定向，自定义404错误页面，改变文件扩展名，阻止或允许用户访问特定目录或文件等

• 该文件可以使得目录下的所有文件都以php执行，不过前提是服务器的httpd.conf文件中的allowoverride设置为all

pass-5

操作

• 采用大小写绕过，上传1.PHP

原理

• 查看源码，发现它的黑名单没有过滤大小写，或利用strtolower()将文件名转换为小写，所以可以利用大小写绕过

pass-6

操作

• 采用空格绕过，利用bp截断，在文件名后添加空格

原理

• 查看源码，没有对文件名的空格去除

• windows中文件扩展名后的空格会做空处理，但是文件名后加空格使得本来的扩展名改变，绕过黑名单

pass-7

操作

• 采用.绕过，利用bp截断，在文件名后加.

原理

• 查看源码，没有去除文件名后的点

• windows下最后一个.会被自动剔除

pass-8

操作

• 采用::$DATA，利用bp截断，在文件名后加 ::$DATA

原理

• windows下，如果上传的文件名后缀为php::$DATA会在服务器生成后缀为Php的文件，内容和上传内容相同，并被解析

pass-9

操作

• 利用bp截断，在文件名后加. .(点，空格，点)

原理

• 查看源码，首先利用trim去除末尾空格，又l利用deldot去除末尾点，又去除空格，所以组合点空格点，去除点去除空格，最后剩下点自动剔除

pass-10

操作

• 利用bp截断，将文件后缀改为.phphpp

原理

• 查看源码，其中出现了$file_name = str_ireplace($deny_ext,"", $file_name);这一函数，它将上传文件与黑名单的后缀名相同的都用空替换，所以可以双写绕过phphpp中的php被替换为空后剩下php

pass-11

操作

• 利用00截断，首先将phpstudy的php版本切换到php5.3以下

• 再将php.ini的magic_quotes_gpc改为off

• 利用bp截断，在保存文件路径处添加11.php%00

原理

• 截断漏洞，在系统对文件名读取时，如果遇到0x00会认为读取结束，如：1.php0x00.jpg在上传时认为是jpg,但在新建该文件文件时保存为1.php 。但在php5.3之后的版本已经修复，并且受gpc,addslashes函数影响

• 查看源码发现，最后保存文件时是将get得到的路径与随机数年月日和上传文件名拼接到一起，所以上传文件路径可控，我们将get的路径最后改为1.php0x00那么拼接到后面的内容就会被丢弃，从而保存为1.php

pass-12

操作

• 利用00截断，现在此处文件名后面添加一个空格，为了便于寻找，然后打开hex,将此处的20改为00

原理

• 与十一相同

pass-13

操作

方法一

• 上传图片webshell，利用文件包含漏洞

• 编写文件13.jpg，内容为GIF98A上传

• 点击图片查看上传后图片的位置名字

• 点击此处，利用文件上传漏洞

• 但是我这出现了个问题

• 所以我回到phpstudy把这个include.php拷贝到文件上传的目录upload,然后找到这个页面

• 我们查看这个代码，发现他是利用get得到文件参数，然后利用include进行文件包含，所以url处构造?file=刚才查看上传的文件名

原理

• 查看源码，它是通过判断文件的前两个字节，来判断是否是png等图片，所以在上传的php文件前加入GIF98A即会被判断为Gif文件

• 文件包含：在php中使用include,include_once,require,require_once函数包含的文件无论文件名称是什么都会被当做php代码执行

方法二

• 利用图片隐写的方式，将木马拼接到图片图片结束符FFD9之后，通常会忽略文件结束符之后的数据。

• 可以利用命令copy /b 1.jpg +1.php 2.jpg得到，其中1.jpg为载体文件，1.php为包含木马的文件，2.jpg为得到的文件

pass-14

• 同上

pass-15

• 需要打开配置php.ini中的php_exif模块

• 同上

pass-16

• 这一关图片被上传后被重新渲染，利用隐写将木马隐写到FFD9后会被去除，所以该方法不可以。下面的方法都有随机性，需要多尝试几次

• 采用网上的方法一https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromjpeg尝试了了几次都没有成功。

• 采用网上的方法二https://github.com/LandGrey/upload-labs-writeup尝试了几次最终成功

• 在此处写入了phpinfo()

• 查看上传处的图片，该语句保持不变

pass-17

操作

• 利用竞争条件上传,上传文件，文件内容为

');
?>

• 上传文件的同时，利用脚本不断访问该文件

import requests 
while 1:    
    requests.get("http://192.168.89.130/upload-labs/upload/15.php")

• 最后上传目录下会生成shell.php文件，内容为

原理

• 查看源码，文件先通过move_uploaded_file进行保存，然后用in_array判断文件是否为图片类型，如果是就用rename进行重命名，如果不是，则使用unlink删除文件。所以可以利用这个时间差，当文件保存后，就不断访问该文件，使得它又生成一个shell.php，之后即使上传文件已经删除，shell.php仍然存在。

pass-18

不知为啥，这一关总是无法成功

pass-19

• 可以将保存名称后缀设置为. .，同六

• 可以设置为.

• 可以大写绕过

pass-20

操作

• 利用bp截断，上传20.jpg

• 将post提交的数据包改为

原理

• 将源码复制到下面，利用注释进行分析

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){//这一步是检查上传的文件是否为规定的类型
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];//如果通过post传递的参数save_name为空，$file就为上传文件本来的名字的值，否则为post传递的save_name的值
        if (!is_array($file)) {//因为我们都是填写了保存名称，即用post传递了save_name的值，所以这里判断我们填写的保存名称是否为一个数组
            $file = explode('.', strtolower($file));//不是一个数组就利用.对文件名进行分割
        }

        $ext = end($file);//数组最后一个值即文件后缀名给$ext
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {//再一次进行判断是否为允许上传的类型
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];//将数组count($file)-1的值给了$file_name,最后拼接到数组第一个元素后后，reset()为将读取数组第一个元素
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功！";
                $is_upload = true;
            } else {
                $msg = "文件上传失败！";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件！";
}

• 通过以上分析，可以知道，它用end()读取最后数组最后一个值来进行过滤，又将\(file[count(\)file) - 1]的值拼接到数组第一个元素后后，所以可以上传save_name为一个数组，数组第一个元素为*.php，第二个元素为空，第三个元素为jpg。此时利用jpg通过判断，将空拼接到.php后文件仍为.php

最后

• 终于写完了，其中可能有很多错误不足的地方，还请指正

• https://github.com/c0ny1/upload-labs里有两张很清晰的导图，详细地总结了靶机包含漏洞类型和如何对上传漏洞进行判断

• 也欢迎查看个人写的文件上传的一个小总结https://www.cnblogs.com/Qi-Lin/p/11297452.html

转载于:https://www.cnblogs.com/Qi-Lin/p/11296761.html