Upload-labs 1-20关靶场通关攻略(全网最全最完整)

12、Pass-12（post 00截断）

看源码：

我们可以看到和上一关的不同是上一关是get传参，而这一关是post传参

那么在这关受罚就要有点小小的不同了

因为上一关%00是经过url的编码，而post不会，所以在这一关我们就需要现在web.php后面加一个占位符，将其16进制改为00，这样孔子杰就出现了，最后在移动文件的时候就会触发\00截断

说也说了，我们直接试试，还是抓包进行修改

可以看到上传成功

13、Pass-13（图片马unpack）

这一关要让我们使用图片码来进行上传解析

那什么是图片吗呢？图片码就是在一张图片中写上我们的一句话，然后利用php的文件包含特性，可以将我们的图片以php进行解析

看源码：

function getReailFileType($filename){
$file=fopen($filename, “rb”);
$bin=fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack(“C2chars”, $bin);
$typeCode=intval($strInfo[‘chars1’].$strInfo[‘chars2’]);
$fileType{=}^{\prime \prime };switch($typeCode){
case 255216:
$fileType = ‘jpg’;
break;
case 13780:
$fileType = ‘png’;
break;
case 7173:
$fileType = ‘gif’;
break;
default:
$fileType = ‘unknown’;
}
return $fileType;
}

$is_upload = false;
$msg=null;if(isset($_POST[‘submit’])){
$temp_file = $_FILES[‘upload_file’][‘tmp_name’];
$fil{e}_{t}ype=getReailFileType($temp_file);

if($file_type == ‘unknown’){
$msg = “文件未知，上传失败！”;
}else{
$im{g}_{p}ath=UPLOA{D}_{P}ATH."/".rand(10,99).date("YmdHis").".".$file_type;
if(move_uploaded_file($tem{p}_{f}ile,$img_path)){
$is_upload = true;
} else {
$msg = “上传出错！”;
}
}
}

在getReailFileType()函数中，对图片的头部进行了判断，图片的头部对定义特定的图片类型，所以我们在制作图片码的时候不能再头部进行改动，

图片马的制作：首先找一张jpg图片和一句话木马，打开cmd，输入以下代码

copy web.jpg/b + web.php/a web1.jpg

---

web.jpg
web.php
已复制 1 个文件。

然后我们进行上传

上传成功，我们使用靶机给我们的文件包含漏洞进行解析

这个文件包含的特性是会将我们所有包含进来的文件都以php进行解析

14、Pass-14（getimagesize图片马）

源码：

这一关同理，将获取文件类型进行判断，直接上传上一关 的图马记性

15、Pass-15（exif_imagetype图片马）

知识补充： exif_imagetype()读取一个图像的第一个字节并检查其后缀名。
返回值与getimage()函数返回的索引2相同，但是速度比getimage快得多。需要开启php_exif模块。

所以还是可以用第十四关的图片马绕过，并使用文件包含漏洞解析图片马

16、Pass-16

源码：

$is_upload = false;
$msg=null;if(isset($_POST[‘submit’])){
// 获得上传文件的基本信息，文件名，类型，大小，临时文件路径
$filename = $_FILES[‘upload_file’][‘name’];
$filetype = $_FILES[‘upload_file’][‘type’];
$tmpname = $_FILES[‘upload_file’][‘tmp_name’];

$targe{t}_{p}ath=UPLOA{D}_{}$