Pass-01（前端验证）因为是进行前端JS校验，因此可以直接在浏览器检查代码把checkFile()函数(即如下图红色框选中的函数)删了或者也可以把红色框改成true，并按回车，即可成功上传php文件复制图片地址并用蚁剑进行连接Pass-02（MIME验证）分析代码，可以看到，后端PHP代码只对content-type进行了检查使用bp抓包，修改上传的PHP的content-type为image

项目地址：https://github.com/c0ny1/upload-labs参考：https://blog.csdn.net/weixin_44426869/article/details/1042368541

目录Pass01（前端验证）Pass02（MIME验证）Pass03（黑名单验证，.htaccess）Pass04（黑名单验证，.htaccess）Pass05（黑名单验证，.user.ini.）Pass06（黑名单验证，大小写绕过）Pass07（黑名单验证，空格绕过）Pass08（黑名单验证，点号绕过）Pass09（黑名单验证，特殊字符::\$DATA绕过）Pass10（黑名单验证,构造文件后缀

目录Pass-01js检查Pass-02验证Content-typePass-03黑名单绕过Pass-04.htaccess绕过Pass-05点+空格+点绕过Pass-06大小写绕过Pass-07空格绕过Pass-08点绕过Pass-09::$DATA绕过Pass-10点+空格+点绕过Pass-11双写绕过Pass-1200截断Pass-1300截断Pass-14图片马绕过Pass-15getim

文章目录upload-labs所有绕过技巧什么是文件上传漏洞什么是webshell一句话木马产生文件上传漏洞的原因文件上传后导致的常见安全问题一般有:第一关JS绕过第二关文件类型绕过第三关其他可解析类型绕过第四关上传

Pass-01“js验证”根据源码我们可以看到本题是要绕过js验证，我们先将上传的文件格式从.php改为.jpg文件上传后，在burp中将文件格式改回为原来的.php就可以打开我们上传的文件了改为或者可以直接打开about:config在设置中直接禁用js我们上传的文件内容Pass-02“验证Content-type”根据源代码我们可以看到本题是要验证Content-type所以文件上传之后，在b

下载链接：https://github.com/c0ny1/upload-labs）首先，我们在桌面新建一个文档在里面输入以下代码：我们保存好它

每日学习每日持续更新ing~Upload-labs是一个总结了所有类型的上传漏洞的靶场以下为常见的文件上传漏洞类型：文章目录客户端验证（前端）Pass-01JS校验服务端验证（后端）Pass-02文件类型校验

运行：dockerinfo搜索upload-labs：dockersearchupload-labs建立镜像：dockerpullc0ny1/upload-labs查看镜像：dockerimages运行镜像

【upload-lab-Pass-01】–前端js绕过①验证是否能正常上传图片，成功②上传phpinfo.php文件不成功③使用burpsuit抓包，发现抓不到任何东西，查看源码，发现有一段js代码，只允许上传.jpg|.png|.gif文件，其他后缀的文件全都被过滤④在火狐浏览器中下载js插件并开启，可以禁用js代码功能⑤再次上传phpinfo.php文件，成功上传，右键点击复制图像地址，在浏览

一，起因：今天无意间发现github上有个上传漏洞靶场上传漏洞靶场地址：https://github.com/c0ny1/upload-labs二，开始写下他的wp吧：首先pass-01：审查元素发现：

写在前面这篇文章算是我自己做完upload-labs和DoraBox上传文件靶场的一个总结，方法都是很常见的，也没有什么高难度，所以也算是小白文。如果我写的有错误欢迎指正。

文章目录文件上传upload-labsPass-01（前端验证）Pass-02（MIME验证）Pass-03（黑名单验证，特殊后缀）Pass-04（黑名单验证，.htaccess）Pass-05（黑名单验证，.user.ini.）Pass-06（黑名单验证，大小写绕过）Pass-07（黑名单验证，空格绕过）Pass-08（黑名单验证，点号绕过）Pass-09（黑名单验证，特殊字符::\$DATA绕

前言：这几天在冲upload-labs靶场，了解到中国蚁剑。中国蚁剑是一款开源的跨平台网站管理工具，它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

使用到的工具中国菜刀；phpstudy；upload-labsupload-labs的下载地址：https://github.com/c0ny1/upload-labs首先下载下来upload-labs

upload-labs通关集环境第一题前端js检查第二题content-type类型绕过第三题黑名单绕过第四题.htaccess绕过第五题大小写绕过第六题空格绕过第七题点绕过第八题::$DATA绕过第九题只过滤了一次且对后缀没有重命名的绕过第十题双写绕过第十一题

0×00题目概述依然是上传路径可控0×01源代码$is_upload=false;$msg=null;if(isset($_POST['submit'])){$ext_arr=array('jpg','png','gif');$file_ext=substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],

题目首先，查看源码分析，该代码通过exif_imagetype判断文件类型通过图片马进行上传绕过制作图片马接着用bp上传文件新建简单的包含文件漏洞的页面测试文件绕过成功！

upload-labs一个帮你总结所有类型的上传漏洞的靶场文件上传靶机下载地址：https://github.com/c0ny1/upload-labs第17题，条件竞争删除文件绕过源码：$is_upload

项目地址https://github.com/c0ny1/upload-labs当我搭建好环境，准备开始第一关时，小z看了我屏幕一眼说你这样很危险啊。

首先列一下我认为的upload-labs学习要掌握的东西，不仅要有对工具的使用了解，还给有对文件上传的理解。

web安全基础系列之文件上传漏洞–学习输出目录1（前端验证）2（MIME验证）3（黑名单验证/特殊后缀）4（黑名单验证.htaccess）5（黑名单验证，.user.ini.）6（黑名单验证，大小写绕过）7（黑名单验证，空格绕过）8（黑名单验证，点号绕过）9（黑名单验证，特殊字符::$DATA绕过）10（黑名单验证，路径拼接绕过）11（黑名单验证，双写绕过）12（白名单验证，0x00截断）13（白

第9关这个是对上传的文件并没有进行重命名，只对原文件的名称进行了去除后面".“的处理，那把文件名为"1.php..”，注意倒数第二位是空格，依然只能在Windows上成功。第10关这一关的要求也是比较松的，只是进行了文本替换，利用文本替换的漏洞尝试一下，文本替换函数str_ireplace，只会遍历一次，所以后缀名为demo.pphphp这样，遍历一次，除去嵌套的php，正好只剩下外面的php。第

Pass11绕过方法：00截断因为截断条件是php版本小于5.3.4，php的magic_quotes_gpc为OFF状态，所以得先在相应的php版本目录下找到配置文件php.ini，然后把magic_quotes_gpc的状态修改为OFF，修改完之后重启一下服务就可以了。用BurpSuite代理构造sava_path=/upload/ok.php%00，然后再filename处修改文件拓展名为p

pass-06:查看提示：还是黑名单限制，通过查看源代码，知道删除了文件名后面的.,但是并没有删除空格，所以通过上传一个后缀名再添加一个空格的文件去绕过黑名单，windoes在创建文件时会自动删掉最后的空格。上传成功，访问图片链接成功！！！pass-07:查看提示：查看源代码可知，服务器端把文件名后面的空格给删除了Windows有个特性，就是如果文件名后缀以.或者空格结尾的，系统在保存文件时会自动

1-19关00x01JS检查方法一.修改javascript代码，将.php添加到允许上传的类型中3.上传成功方法二：绕过前端，通过burpsuit抓包，上传一张info.jpg图片，然后抓包之后，将后缀改为.php，发包上传成功00x02服务端对数据包的MIME进行检查1.burpsuite类型type绕过，上传.php文件，然后拦截,将类型改为image/jpeg，发包，上传成功00x03黑名

0x00前言upload-labsPass15的wp、ps全图马绕过0x01源码分析这里可以看到对image的属性等进行检测，所以就没有办法进行只对头部进行伪造，我们可以使用直接制作图马。我们在图片最后加上我们的payload上传成功之后利用文件读取进行利用

0x00前言upload-labsPass06的wpps大小写绕过0x01源码分析在源码中可以看到这里少了一行，也就是将后缀变为小写的操作这里查了下资料，win下后linux都可以进行利用这里直接上传上传成功

0x00前言upload-labsPass11的wpPS双写绕过0x01源码分析这里相当于是对黑名单内的文件后缀进行替换，那么这里就可以使用双写进行绕过这里上传成功

0x00前言upload-labsPass10的wpPS利用..0x01源码分析这里通过源码可以看到，我们最终使用的是file_name这个变量，所以中间部分对file_ext的操作不会影响到file_name这个变量的结果，所以可以使用..的方式进行绕过，其实就是利用去除.之后，文件后缀还是空的所以可以绕过访问生效

0x00前言upload-labsPass12的wpPS%00截断0x01源码分析这里可以看到file_ext是可以进行控制的，那么这里就可以尝试使用截断方法我这里由于环境的问题没有办法进行利用

Pass-11源码：$is_upload=false;$msg=null;if(isset($_POST['submit'])){$ext_arr=array('jpg','png','gif');$file_ext=substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);if(in_

upload-labs第十一关&&第十二关（截断漏洞）这是一个古老的漏洞，在php5.3.4以后就被修复了由于我配置环境没有成功，这里放上另一位博主的链接https://blog.csdn.net/u014029795

题目查看源码分析，在红线标线处，可以发现，该代码使用POST方式传参，并且最后对文件名重新拼接命名因此，可以通过%00进行截断将原本截断的内容，改成红线标记处添加+号，由于POST传参不会自动解码，需要在Hex处修改二进制，+对应的是2b,将其改为00即可验证文件上传成功！

题目查看源码从代码中可以发现红线处，对上传的文件名进行重新拼接，使用$_GET传参可以通过%00进行截断上传小提示：%00截断的条件（1）php版本必须小于5.3.4（2）打开php的配置文件php-ini，将magic_quotes_gpc设置为Off验证文件成功上传！

Pass-11%00截断0x01过程直接传php得到提示，又是白名单了，扔到burpsutie里面看。发现了好东西，保存的路径出现在了url中，可以直接采用%00截断。改好了文件后缀名和URL中的路径后，仍然提示上传出错，这里应该就是php版本的问题了。目录的版本是5.3.4，而00截断在5.3.4以后就修复了，同时magic_quotes_gpc需要为Off状态，所以我手动的将5.3.4回退到5

前言0x：16进制表示00：表示00x00：就是代表16进制的0，在ASCII码里代表null。有的函数在处理这个字符时，会当做结束符%00和00是一样的，只是在get提交时，经过url编码后，00就成了%00前提条件：php版本save_path=../upload/filename.php%00HTTP/1.1第十二关同样利用%00进行截断利用ASCII：AmericanStandardCod

upload-labslevel-1  首先下载安装了一个蚁剑。  然后这一关是要用burpsuite抓包，然后修改filename，开始把一句话木马的后缀名改为.gif,在burpsuite里修改后缀名为.php  实现原理：因为这个文件名的审查是在前端。  使用蚁剑登录，发现我的文件已经上传到服务器了。level-2  打开第二关。  这一关对content-type进行了审查，并且只对进行了

之前的文章中，在upload-labs的第十六题中考察了二次渲染的绕过，这对我们理解三种图片结构有很大的帮助，所以我就根据之前的那篇文章中的链接文章进行复现，后面的两个都有脚本可直接实现，所以不做复现了

Pass-01拦截方式：前端JS验证，拦截非.jpg|.png|.gif类型的所有文件绕过方式：1.浏览器禁用js2.直接把过滤的函数cheakfile()在上传前删掉3.上传图片马，然后Burp抓包改后缀漏洞原因：前端JS可以被禁用Pass-02拦截方式：在服务端对数据包的MIME进行检查，只让Content-Type为image/jpeg|image/png|image/gif的文件通过绕过方

文件上传的目的是通过上传.php文件，从而植入木马，然后通过菜刀进行连接，最终getshell0x01Pass-01functioncheckFile(){varfile=document.getElementsByName('upload_file')[0].value;if(file==null||file==""){alert("请选择要上传的文件!");returnfalse;}//定义允

本文转自圈子社区原文章地址点击大佬勿喷~玩了一下upload-labs靶机，有很多方法在我个人日常用过，所以总结一下文件上传漏洞的姿势1.前端校验，发送包里修改文件后缀2.文件类型校验，修改为image

服务器端校验（Content-Type检验）3、服务端校验（黑名单）4、服务端校验：%00截断（0x00），也就是空字符5、服务端校验（白名单）6、服务端校验（文件内容头校验）7、竞争上传8、可以参考我写的upload-labs

文章目录pass03pass04pass05pass06pass07-09pass03if(isset($_POST['submit'])){if(file_exists(UPLOAD_PATH)){$deny_ext=array('.asp','.aspx','.php','.jsp');$file_name=trim($_FILES['upload_file']['name']);$file_

pass-13:查看提示：这个只要上传图片码到服务器即可先绕过文件头检查，添加GIF图片的文件头GIF89a，绕过图片检查发现上传成功，但是查看图片信息发现被重命名了而且后缀改为了jpg格式的那么制作图片码上传,将php一句话追加到jpg图片末尾copyxx.jpg/b+shell.php/awebshell.jpg用文本打开图片码，在最后发现一句话木马已经被添加到图片末尾了直接上传即可pass-

0x00前言upload-labsPass13的wppspost%00绕过0x01源码分析看了源码之后，发现和12关一直，只不过是对参数传递进行了修改。这里因为环境问题，没有办法进行完成

0x00前言第三课的文件上传，其实本来想放弃，但是还是坚持记录一下小结后缀黑名单绕过0x01源码分析$is_upload=false;$msg=null;if(isset($_POST['submit'])){if(file_exists(UPLOAD_PATH)){$deny_ext=array('.asp','.aspx','.php','.jsp');$file_name=trim($_FI

闯关界面前后端检测判断查看源代码：这里采用了白名单判断，但是$img_path直接拼接，所以可以先上传一个符合白名单检测的jpg文件，之后再burpsuite中使用%00截断保存路径即可：截断保存路径：浏览器中访问~

闯关界面前端检测还是后端检测判断查看源代码：从代码层面来看应该是检测的文件的幻数，那么我们在文件内容的开头增加幻数就OK：该文件的利用还需要结合“文件包含”来利用~

靶机搭建推荐使用Windows系统搭建，我最先使用dockerpullc0ny1/upload-labs的镜像在Pass-03遇到问题，初步判断是该镜像内的php.conf文件配置错误导致。