upload-labs-靶场（1-19关详细解答 保姆级教程）

Pass-01

下载 upload-labs-mster靶场 创建一个upload目录 不然无法打开upload-labs 靶场

1.我们先上传一个 php后缀文件 显示我们该文件不允许上传 只能上传 jpg png gif的文件后缀

2.我们可以上传 自己写的php 后缀改成jpg上传 然后抓包 可以看到 数据上传了 我们可以在burpsuite里修改一下后缀 改成php后缀 这样我们自己写的php就上传成功了

我们发现 我们的php文件上传成功了 

然后在上传到的图片鼠标右键新建标签页打开图片 就上传成功了 

这里记得如果的php版本是5.6.9的话 记得改成php 7.3.4 就ok了

Pass-02

查看提示看到是在服务端对数据的MIME进行检查，MIME验证就是验证文件的类型。所以我们的思路就是用burp抓包然后修改文件的类型。

1.上传一个1.php文件 使用burpsuite抓包 抓到包以后修改一下我下面这个图圈住的那个红框框里的东西 

修改完成 然后放包 成功上传 然后就上传上去我们的1.php啦

Pass-03

查看页面源代码 发现禁止上传这四种文件后缀

2.这样我们就得想办法绕过一下 在网上搜索了一下 发现这种黑名单并不严谨 在某些特定的环境下    一些特殊后缀 仍然会被当成php文件 可以在1.php后面 加 1或者2 或者3 或者4 这里我选择的是

1.php3 上传这个文件 发现直接上传成功

Pass-04

1.这里跟第一关的的第一步 一样 查看页面源代码 发现这里禁止的黑名单比第三关多了很多 

这些后缀的都无法上传 

2.这里我们就要用到传说中的.htaccess文件上传了 首先：创建htaccess文件（文件名就为htaccess）就可以  文件内容如下

AddType application/x-httpd-php .png

这里给大家讲解一下 htaccess文件是是什么：

htaccess文件是 Apache 服务器中的一个配置文件，它负责相关目录下的网页配置。 通过htaccess文件，可以帮我们实现：网页 301重定向 、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能

2.1 上面的那个代码的意思就是里面有一个后缀为.png的文件 他就会被解析成.php 先上传一个1.png文件 然后在上传htaccess文件 再访问1.png  这里你做的都很正确 但是他就是不显示

这是因为环境的问题 我们可以用fofa 空间搜索引擎 去搜索 别人的靶机 

搜索语法是 

title="upload-labs"

Pass-05

查看页面源码 发现 并没有转换大小写的代码

这样我们就可以上传大小写混合的后缀名来进行绕过。上传一个1.Php文件，直接上传成功

直接上传成功

Pass-06

查看第六关源码，对比第四关，发现没有收尾去空。

我们接下来的思路就是在文件末尾添加空格 但是由于windows会自动删除空格 我们需要用burpsuite抓包 在burp里去添加空格 

这样我们就直接上传成功了

Pass-07

查看页面源码  对比一下 上面的第四关 发现 少了一个删除文件末尾的点

跟第六关大差不差 因为windows后面不能加.会自动删除 所以我们用burpsuite抓包 在burp里添加一个点

这里我们需要注意 上面的用的都是7.几的版本 第七关需要用 5.6.29的 就可以打开了 上传成功

Pass-08

查看页面源代码  对比一下第四关的页面源码 发现 少了去除字符串 

跟上面的关卡一样 使用burpsuite抓包 在burp里添加  文件后缀名为::$DATA

上传成功

Pass-09

查看源码 不能跟之前的那些思路绕过一样  仔细看了一个代码 发现没有循环验证  就是转换大小写 

去除空格的它只验证一次 所以就可以把后缀改成.php. . 然后上传1.php 抓包修改

上传成功

Pass-10

查看第十关源码，可以看出没有了前几关的验证方式，而且是一个黑名单验证，意思是如果上传了它这些后缀的文件，就会把后缀名删除，没了后缀名也就无法正常解析

这关同样只验证一次，所以我们只需要把后缀改成两次.php文件后缀，它删除掉中间的php后后缀仍然为php

然后上传成功

Pass-11

查看这关源码，很明显是一个白名单上传，只允许上传它给定的后缀名，最主要看到就是我红色框 圈住的代码

save_path是一个可控的变量，后面还有一个后缀名需要绕过，这个时候需要使用%00截断 我们上传一个 1.png图片 然后用burp抓包 在burp抓包里修改 

修改一下 红圈框住的地方 因为环境不行 

我们可以在ctfhub里做 

完成之后就上传成功了

图片我没截图 可以去ctfhub里 做 就可以成功

Pass-12

查看页面源代码 和第十一关做一下对比 发现接受值变成了post 思路和第十一关一样  但是post方式不会自行解码 所以要对%00进行编码 如下图 

然后就上传成功了

Pass-13

这一关会读取判断上传文件的前两个字节，判断上传文件类型，并且后端会根据判断得到的文件类型重命名上传文件 使用大佬的图片🐎 跟文件包含绕过

我们上传图片马因 为是文件包含漏洞，地址加上file

然后在upload靶场下创建一个1.txt 写<?php phpinfo;?>

因为是文件漏洞然后在网址后加上file参数 就拿下了

Pass-14

跟第十三关一样的原理

打开我们的include.php文件包含 ？file= 后面加上我们的图片地址  就上传成功了

也可以用中国菜刀 如下图

Pass-15

查看源码，看到这个函数，exif_imagetype() 读取一个图像的第一个字节并检查。过程和13,14关一样

成功登陆

Pass-16

图片马中的phpinfo会被删除,但一句话木马会被留下,可以使用蚁剑连接成功.

这一关使用了二次渲染

然后跟14关最后一步一样 用菜刀连接 

就ok了

Pass-17

和查看源代码发现,当我们上传php文件后,我们的php文件会在服务器先存在一段时间,然后再被代码给删掉.所以我们的思路就是利用这一段极短的时间来进行操作.利用BP的攻击模块,不断的去访问我们要上传的文件(把我们要上传的文件的包作为我们的playload.而该php代码写一个创建文件函数来创建一个php文件,该文件的内容写我们的木马).所以我们的整体思路就是不断的上传第一个文件,然后再写一个playload放到BP的攻击模块,该playload的作用是不断的去访问我们上传的文件,即通过去把握到该文存在的那极短的时间去访问,然后执行里面的代码,从而创建我们的木马文件,一定要使用工具辅助完成,人工点击不可能，这种技术叫做文件上传竞争、

访问该php的playload

用burp里的狙击手模式不断地和文件进行竞争

可以这样去做 去突破这个关卡 但是这种情况差一点的电脑应该可能会死机 电脑会起飞的

电脑差的宝宝们 可以看教程知道怎么做了 不要去尝试哦

Pass-18

这关这里有个错误 上传的图片放不到upload下 这里进行一个小小的改动。打开18关的myupload.php

修改这里在后面加上‘/’，然后重启靶场

查看代码，发现和第17关的区别是这关检测了后缀名不能直接上传php文件 所以这关要上传图片马，其他步骤和17关类似。访问图片时使用文件包含
上传22.gif然后抓包          和17关一样的过程 使用狙击手

Pass-19

查看第19关的页面源代码 可以看到区别 多了一个保存名称 没有对上传的文件做判断，只对用户输入的文件名做判断。查看源码，有move_uploaded_file()这样一个函数，它有一个特性，会忽略到文件末尾的/.
上传一个包含php语句的jpg文件，然后保存名称为2.php./

这样就成功了