实验环境:upload-labs靶场
靶场环境使用phpstudy和xampp搭建,因为两边都各有一部分上传机制无法正常运作。
这种机制的绕过需要大量的经验与时间,在不知道后台代码的情况下只能根据情况进行合理尝试。
Pass-01
一般的题目最开始的都是最简单的,考虑前端限制文件类型。
查看页面源码,果然在前端进行了限制。
那么我们把准备好的php文件后缀改为.jpg,这样就能绕过前端的检测。
然后上传的时候使用burp suite拦截,并把文件后缀改回.php,成功上传php文件。
上传成功的结果基本都一样,后面不再赘述。
Pass-02
猜测服务器校验content-type,因为要求上传的文件是图片,所以校验会要求这个参数的值是image/jpeg,image/png,image/gif等
尝试修改content-type,将其修改为gif,这样如果服务器校验了content-type,就会认为它是合法的。
成功上传php文件!
Pass-03
服务器采用黑名单判断(当然如果是黑盒测试我们是不知道的)
我们尝试使用如.php3,.php5,.phtml这样的文件后缀来绕过。
因为这样的后缀名依然可以被php解析,而且可以绕过一些简单的黑名单过滤。
上传成功!但是可能因为服务器配置原因,没有成功解析php文件。
所以为了说明问题,这里引入另一个实验环境:墨者学院平台题目
链接:https://www.mozhe.cn/bug/detail/UjV1cnhrbUxVdmw5VitBdmRyemNDZz09bW96aGUmozhe
在此题中上传一句话木马,并将后缀修改为.php3。成功上传!
然后我们打开中国菜刀,去连接我们上传的木马文件。
连接成功!说明后缀为.php3的文件确实被正确解析了。
Pass-04
此题需要使用xampp环境。
此题几乎过滤了所有有问题的后缀名,修改后缀变得不可用了。
但是还有一个后缀名可以用,就是.htaccess。
这属于Apache的一种配置文件,我们创建一个名为.htaccess的文件,在里面写入如下内容。
意思是令所有的文件后缀都以php进行解析。
比如我们上传一个图片文件,服务器也会把图片文件当成php文件进行解析。
所以我们先把写好的.htaccess上传。
没有问题,成功上传。
然后我们把php文件后缀修改成.jpg,然后上传。
上传成功,此时两个文件在同一目录下。
我们尝试解析jpg文件。
可以看到成功被解析为php文件!
Pass-05
此题使用xampp环境。
后台过滤了几乎所有有问题的后缀,包括.htaccess。
我们尝试用大小写绕过。
在上传文件的时候修改文件后缀名的大小写。
成功上传,我们尝试解析这个文件。
解析成功,没有问题!
Pass-06
依旧是黑名单机制,但是过滤更全面。
这里利用windows的机制:文件名中不能出现点,冒号,空格等符号的特性,否则会直接消除。
这样我们在上传文件过程中,在文件后缀名后面加上一个空格。
成功上传!而且可以看到上传后的文件名,后缀中自然是没有空格的,可以正常解析。
Pass-07
还是黑名单,但是这次变成了点。
与第六题相似,在文件后缀名后面加上一个.即可成功绕过限制上传。
Pass-08
依然是利用windows特性,在文件名后缀后面加上::$DATA。
感觉挺生僻的,先作为一种知识储备吧。
Pass-09
在这题里面删除了文件名末尾的点,而且去掉了空格。
那么我们可以构造一下,在文件名后缀末尾加上. .(点空格点)
这样去掉点,再去掉空格,剩下的部分就是filename.
又因为windows特性,最后剩下的就是filename了。
OK,成功上传!
Pass-10
本题会去除所有脚本后缀。
所以很容易想到双写绕过。
我们把文件名写成test.pphphp。
这样去除了中间的php之后,剩下的部分组合起来依然是php。
成功上传!
Pass-11
有php版本要求,所以使用phpstudy的环境(php5.2.17),高版本的php已经修复此问题。
还要注意有一个参数需要修改,否则无法上传成功。打开php目录下的php.ini文件。
将其中的magic_quotes_gpc修改为OFF状态即可。
我们在上传时发现文件的保存路径是可控的。
考虑使用%00截断文件后缀。
%00在处理时会被当成一种结束符,也就是说处理到这里碰到%00,后面的就不继续处理了。
我们可以利用这个原理来截断多余的后缀。
如图,我们修改一下保存路径,把上传文件名后缀修改为.jpg,这样可以绕过扩展名检测。
这样在保存文件的时候,%00后面的多余内容全部被截断,只剩下test.php。
这样就成功上传了php文件。
Pass-12
依然是00截断,但是我们观察数据包发现路径变成了post方式提交。
Get方式提交的路径会自动解码%00,但是post方式不会自动解码,所以不能直接修改路径。
因此我们要通过二进制的方式来修改路径。
如图,我们先将文件后缀修改为.jpg来绕过后缀检测。
然后在路径后面加上test.php+。
为什么加上一个+呢,因为我们要把+的二进制编码修改成00的编码,而+的编码(2b)比较方便查找。
我们点开Hex,在里面查找+的编码并将其修改为00。
然后将数据包放出,php文件成功上传!
Pass-13
要求上传一个图片马,并执行文件包含漏洞。
首先我们制作图片马:copy 2.jpg+2.php 3.jpg
制作完成之后将图片马上传。
注意站点本身必须要有文件包含漏洞,才能利用图片马。
我们找到站点下的include.php文件。使用这个文件包含漏洞打开图片马。
看文件底部,这里我们拼接了php语句,但是没有显示出来,说明已经被执行了。
但是用中国菜刀连接图片马的时候出了问题。
基本能确定木马是被执行了的,可能是服务器的一些配置或者权限原因,让菜刀连接失败。
我用了另一种方法证明php脚本确实被执行了。
重新制作一个图片马,这次将php脚本里的内容替换成一个js脚本。
如果这个脚本被执行,浏览器会弹窗显示一串1。
重新上传这个图片马,并且用文件包含漏洞打开。
可以看到脚本确实被执行了,图片马上传+文件包含漏洞利用成功。
之后的题目基本都是图片马或者00截断,不再赘述。