1 靶场创建
这里主要将用docker创建靶场,别问,问就是简单,命令如下:
docker search upload-labs
docker pull monstertsl/upload-labs
docker run --name upload-labs -p 81:80 --env HTTP_PROXY="http://172.27.6.57:8888" -d monstertsl/upload-labs
ps:因为需要用到burp,所以直接配置burp的代理 8888为代理端口
打开burp,设置代理,然后访问http://172.27.6.57:81
2 开始闯关
①upload-labs-1
1 因为是以学习为主,所以直接先丢一个php文件,发现是白名单,然后审查源码,发现是前端校验
2 前端校验=没有校验,因为可以随意更改
3 有的浏览器比较先进,会将源码嵌入内存,这时可以用burp抓响应包,改源码
4 结束
②upload-labs-2
1 观察源码,发现只过滤mime类型,可以通过抓包修改content-type来修改文件mime类型
2 抓包
ps:解决了之前burp抓包一直显示不是私密连接的问题:因为没有导入受信任的burp证书,导入到谷歌以及火狐浏览器,抓包成功,不会再出现之前那种情况
3 ps:这里设置火狐的代理,但是只能抓火狐的包,而不能抓靶场的包,我猜想是因为docker自成一个ip,抓包的ip跟docker容器的ip不一致,所以抓不到
4 解决了抓包问题以后,开始抓包修改content-type,修改mime类型为白名单的类型
5 成功,结束
③upload-labs-3
1 观察源码,使用deldot函数来去除文件末尾的点,而deldot函数只会去除一个点,不会去除两个,所以可以用连续的点来进行绕过
2 观察之后的源码,取后缀名的流程为:去点,首尾去空,删除末尾的点,以末尾的点截取后缀名,后缀名大小写转换,去除末尾的字符串::$DATA,首尾去空
3 所以,这里只需要给文件后缀加一个点空格点即可:1.php. .
4 上传成功
ps:这里还有第二种方法,就是黑名单不全,可以用.php3/.php5绕过,不过这个需要apache有相应的配置才可以挂马,也成功
④upload-labs-4
1 还是首先观察源码,发现黑名单少了.htaccess,并且deldot函数还是一致,所以可以考虑两种方法,这里尝试用第二种方法,因为第一种上关已经用过
2 因为没有过滤.htaccess,而.htaccess里面有一个作用是可以更改文件后缀,我们可以利用这一点去搞事情
3 准备一个.htaccess文件:AddType application/x-httpd-php .png 意思就是将php的后缀解析为png
4 上传,然后抓包改后缀为png,上传的.htaccess文件会自动将png解析为php
5 成功
⑤upload-labs-5
1 观察源代码,第五关好像貌似只能用点空格点的方式绕过了
2 抓包尝试,上传成功
ps:这里突然想起来了,linux系统不会自动去除文件后缀的. 而windows系统会自动去除,因为我这里用的是kali做的靶场,所以点击图片路径才会404,破案了
3 结束
⑥upload-labs-6
1 观察源码,发现少了大小写的转化,直接抓包修改
2 上传成功,结束
ps:每次上传成功的意思是上传并且6=phpinfo();显示成功,并不仅仅是上传文件成功,如果仅仅只能上传php文件,不能利用,等于没用上传
⑦upload-labs-7
1 观察源码,发现少了首尾去空,那么可以利用空格来搞事情
2 上传抓包,修改后缀为.php(空格)
3 成功
⑧upload-labs-8
1 观察源码,发现少了个deldot函数,这个函数的作用之前已经讲过,也讲过绕过的方法,这里少了个函数,那么绕过就更简单了
2 直接抓包在后缀加个点,成功
3 结束
⑨upload-labs-9
1 还是老样子,观察源码,发现好像只能用点空格点的形式,来绕过deldot函数
2 那就来实操,抓包修改文件名为.php. .
3 成功
ps:哦,对,源码里面少了个过滤::$DATA
那这里说一下第二种方法:
1 ::$DATA,在windows操作系统中,如果文件名后面加::$DATA,那么系统会将之后的所有后缀都当作是文件流处理,不会检测后缀名,所以这里直接加::$DATA
2 抓包修改文件名为1.php::$DATA
3 成功
ps:这个操作仅仅支持windows系统,不支持linux系统
⑩upload-labs-10
1 观察源码,ok,这个确实目前只能通过deldot函数来绕过,前面几个都是有好几种方法,这个目前来说就这种,开干
2 抓包修改后缀,成功
3 结束
Ⅹ①upload-labs-11
1 观察源码,他这里跟前面的不一样,没有用到deldot函数,而是通过将黑名单里的后缀名替换成空格,那么这里可以用到在sql注入以及xss注入用到的双写技巧
2 双写就是像这样pphphp,ok,抓包改后缀
ps:注意,这里也是只适合于windows系统,因为linux会将空格留下来,而windows会自动将其去除
3 成功,结束
Ⅹ②upload-labs-12
1 审查源码,ok,这里终于换成了白名单了,那么之前那些所有的操作在这里都挂掉了,因为之前的操作都是去对文件后缀名进行的操作,这里是白名单,无论如何
也无法进行绕过
2 所以想想别的办法,既然无法在文件名上面做手脚,那么可不可以在文件上传路径做手脚,这里想到一个漏洞叫%00截断
3 %00截断是windows操作系统上的一个漏洞,当操作系统识别到字符串是/0的时候就会认为字符串结束(相信学过c语言的同学应该都知道),这个漏洞需要满足两
个条件:1 php版本小于5.3.29 2 magic_quotes_gpc=off
4 抓包修改文件路径为../upload/1.php%00,修改文件名为1.png
5上传成功,结束
Ⅹ③upload-labs-13
1 观察源码,13关与12关并无本质区别,只是一个是get传输一个是post传输
2 这里需要注意一个点就是,get传输的时候会自动解码,而post不会,所以这里需要对%00进行一次url解码
3 抓包修改,并且对%00进行解码(利用burp就可以解码)
4 上传成功,结束
Ⅹ④upload-labs-14
1 还是老样子,审查源码,寄,直接对文件头进行校验,那么之前的所有操作,不管是你改文件名也好,改路径也好,你的内容是不可能变的,所以之前的所以操作在这
里也挂掉了
2 这里可以尝试一种全新的方法-图片马,然后结合文件包含漏洞去搞事情
ps:什么是图片马,顾名思义,就是把木马放到图片的里面,这里可以用到一个十六进制编码器来制作简单的图片马,HxD(后面绕过也会用到)
3 先用windows比较简单的一种方式来创建图片马:copy 1.jgp /b +shell.php 2.jap ,相信很多同学看参数也能大致明白是什么意思,就是在第一张图片的二进制文
件中添加shell.php的内容,然后组成一个图片马
ps:注意,这里生成图片马的时候,要注意cmd的命令路径,用到dir,cd等命令,如果不注意路径的话会显示找不到文件 emmmm,不知道为什么windows一直显
示系统找不到指定的文件,算了,去linux制作吧,破windows
4 linux制作图片马相对来说很简单,因为linux本身操作起来就是命令形式,比较熟悉,直接上命令:cat shell.php >> 1.jpg
5 上传1.jpg,成功
ps:这里利用的话需要用到文件包含漏洞,就不在这做赘述了,明天学到会加
Ⅹ⑤upload-labs-15,16
1 15,16关观察源码,上传14关的图片马即可
2 这两关的主要目的是为了告诉我们会有不同的方法去过滤
3 上传成功,结束
Ⅹ⑥upload-labs-17
1 17关主要是利用图片的二次渲染,意思就是服务器会将上传的图片马进行二次的二进制编码,虽然外观没用区别,但是实际上你注入的马已经被替换了
2 这个时候就用到前面的那个工具,就是HxD,手动修改二进制编码,这里不能替换前面的,因为观察源码,他会对图片头进行过滤,所以考虑替换后面的,参考被替
换的图片的二进制,与没有进行替换的图片马做对比,修改没有替换的部分进行尝试上传
3 成功,之后也是要用到文件包含漏洞来搞事情,就不做赘述
4 结束
Ⅹ⑦upload-labs-18
1 观察源代码,发现这里是白名单并且先进行文件上传,然后再进行校验,那么这里可以用一个新的方法:条件竞争
2 条件竞争我的理解就是利用进程的阻塞,连续上传文件,来达到浑水摸鱼的效果,不过我不建议这种方法,而且这种代码是一般人可以写出来的吗,太消耗资源了,
传完了再判断,然后再删除。。。。
3 好了,言归正传,这里可以利用burp来进行条件竞争,抓包,然后intruder,然后一直点点点
4 成功,结束,这种文件上传的方法不建议,但是条件竞争的思路可以学一学,以后说不定可以用到
Ⅹ⑧upload-labs-19
1 观察源码,发现这里使用了面向对象(不清楚的可以去网上搜php面向对象),然后没啥办法,目前只能用图片马绕过
2 上传成功,结束
Ⅹ⑨upload-labs-20
1 观察源码,发现是黑名单,并且没有做大小写,去空格,::$_DATA等等过滤操作,那么就很简单了,先来个大小写的文件上传
2 上传shell.php,然后下面可以改路径shell.Php,成功,easy,这个放到20关我是不能理解的,应该放在第二关
ps:这里还有一个新的方法来绕过move_upload_file()
1 这个函数会忽略掉/. 那么抓包,在文件路径后面加上/.就ok了
2 上传成功,结束
ⅩⅩupload-labs-21
1 观察源码,发现是白名单绕过,并且分两层绕过,第一层是mime类型,第二层是文件名后缀的绕过
2 发现源码里是有一些数组的操作,然后也有move_upload_file()函数,可以构造/.来进行绕过 例:1.php/.png
3 png用来绕过文件名后缀,mime类型抓包修改,然后抓包开始操作,save_name[0]=1.php/ save_name[2]=png (代码里会自动加一个点)
4 上传成功,结束
ⅩⅩ①upload-labs-总结
靶场到这就结束了,总结一下:
其实对于任何漏洞而言,最简单也是最难的方法就是观察源码,这些关卡的所有核心点都离不开代码,函数,操作系统本身的漏洞等等,所以我觉得对于大部分的漏洞
而言,审查源码总是相对来是很简单的方法,等以后做渗透测试,可以将源码下载下来,然后搜关键的函数等等去挖相应的漏洞,结束
218
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
