upload-labs通关-文件上传靶场-详细

提示：记录自己的通关靶场

实验工具：蚁剑、便携版火狐，burpsuite，phpstudy2018。

靶场地址：https://github.com/c0ny1/upload-labs

一共21关，每关都有详细实验记录

---

1.绕过js-前端

写好php木马，直接上传

提示不允许上传php格式，先抓个包试试

没有历史记录，可能就只是js前段的限制

先把123.php重命名为123.png进行上传

发现123.php上传成功

开始执行上传的文件

可以利用一句话木马，使用一剑拿到webshell

2.MIME-Type白名单

上传php

主页提示文件错误，那可能就不是js页面限制了

抓个包试试看，改下格式

发现上传成功，执行试试

 

第二种方法：更改白名单MIME

抓包发现content-Type格式

上传成功。

3.改同意思后缀-黑名单

上传php文件，被过滤掉了。

发现是黑名单机制，这几个格式不能上传

思路：php格式还可以用.phtml .phps .php5 .pht代替

4.利用.htaccess文件-黑名单

不让上传php文件，而且限制了所有php可能的后缀格式

还有一些首尾去空等等的限制，就不能用一些常的绕过了

思路：利用 .htaccess文件，此文件可以自动解析其他文件运行的格式

编写.htaccess文件，并上传成功。只要文件名还有pass4的文件都会以php格式运行

将木马文件名修改，并上传成功

去执行该文件即可

5.非循环验证-黑名单

查看源码，发现只验证一次，不是循环验证

所以，可以利用 点--空格--点绕过

上传成功

6.没有大小写限制-黑名单

利用大小写绕过

php文件执行成功。

7.没有首尾空格限制-黑名单

没有首尾空格限制：

可以使用空格绕过

执行成功

8.没有点的限制-黑名单

没点限制

尾部加点绕过，点在文件名末尾会自动消除

执行成功

9.尾添::DATA-黑名单

发现没有限制：：DATA

上传成功

执行成功：

10.单次验证-黑名单

看的出来所有的格式都限制了，但只是一次验证

思路：利用 点--空格--点，最后还剩下 php. 可以跳过文件的限制

文件执行成功

11.双写拼接-黑名单

进行代码审计

思路：只是单次替换出现的违规后缀，可以拼接后缀名进行绕过，最后格式仍是 .php

不能单此识别两个php，否则会同时替换掉

这个可以让替换掉，仍是php格式

执行成功

12.get型传参截断-白名单

strrops检测字符串在另一字符串中最后一次出现的位置

白名单接受，先检测是否符合、再截取后缀名重命名

因为参数在url中是get型传参，参数可控，使用%00截断，让后面的全部丢弃，也就是不要tset.php文件

上传成功，可以执行。

13.post型传参截断-白名单

代码审计：发现跟12关一样的，抓个包试试看

这里是post型传参，post不能自动解码，所以要先进行url转化

最终上传的内容，且返回上传后的文件名

上传的文件执行成功

方法二、利用16进制找到php位置，修改为00

14.图片马-文件包含-白名单

通过读取字节来验证是否为图片，这里就不能进行php格式的上传

提示有文件包含漏洞，可以去执行图片马

去做个图片马，进行上传

/b 是ASCII形式打开，/a是以二进制打开

上传抓包

访问图片文件，图片马执行成功，注意要使用file协议去执行文件

15.图片马-文件包含-白名单

会对文件一个16进制的读取，获取图片的大小，像素等信息判断是否符合图片要求

bypass：利用图片马和文件包含漏洞进行绕过

再利用文件包漏洞执行图片

16.图片马-文件包含

这一关需要开启php_exif模块这一关需要开启php_exif模块

上传图片马即可，跟前两关一样，也需要利用文件包含执行

 

17.二次渲染-白名单

二次渲染，

先上传一个图片马，二次渲染过后再进行下载保存。16进制打开图片

对比上传前的图片，发现没有被修改的地方，进行插入木马语句

重新上传即可

18.条件竞争-白名单

 这里是条件竞争，先将文件上传到服务器，然后判断文件后缀是否在白名单里，如果在则重命名否则删除，利用在删除之前访问文件这样文件会被占用就不会被删除，可以利用burp的intruder模块不断上传，然后我们不断的访问刷新该地址即可。

1、先正常上传图片，找到上传文件的路径

2、直接上传php文件，抓包，无限快速的上传文件

在攻击时，一直刷新页面，php文件执行成功说明上传成功了

这php文件可以写入一句话，再用蚁剑链接了

这不就链接成功了吗

19.图片马-文件包含 -白名单

我这里是先上传一个图片马，可以上传

抓包，查看上传的文件是不是被重命名了

接下来去执行这个图片马，路径一定要对，我这个上传php文件是跟包含文件在同目录下的

20.文件夹命名/. -白名单

一般使用%00截断绕过，发现上传的文件格式不是php

绕过方法：img= upload/1.php/. 这里相当于访问这个路径下的.由于不存在，就以文件夹名方式保存的Php文件，发现上传成功。

成功执行php脚本

21.数组接受/目录命名-白名单

代码分析：

/upload/upload-20.jpg     正常上传

/upload/upload-20.php/ .jpg           绕过上传格式

save_name[0]='sss.php / '        检测的数组第一位

save_name[2]='jpg'        检测数组的最后一位

file={ 'sss.php/ ', ' ', 'jpg' }        组成的格式

sss.php/ .jpg        最后识别的格式，会识别sss.php文件

先借助post提交20.php/. 发现失败，因为.php/.不能被匹配，结尾必须是白名单要求的格式

尝试提交20.php/.jpg 这样后缀就符合了要求，上传不需要添加 /

执行成功

---

完结