文章讲述了如何通过禁用JavaScript、修改文件后缀、使用.htaccess绕过、伪静态重定向等方法,逐步突破网络安全设置,绕过图片上传限制的挑战。每个环节都涉及到了前端检测、后端过滤策略和黑客常用的渗透测试工具的运用。
第一关:
在第一关中,我们可以看到界面上让上传一个图片,在尝试上传一句话木马后,界面出现如图弹窗,可以猜测是前端界面做了检测,但是后端有没有规则并不清楚。
我们在此界面右键后查看源码可以发现检测后缀的js函数。
解决办法1.在浏览器中直接禁用js此时检测的js脚本就失效了,但是禁用js会导致正常界面变得奇怪因此在使用过后建议及时开启。
2.修改或者删除那个检测的js函数。
3.在上传时先将.php改成.jpg格式,在Burp Suite中抓包并修改后缀。
可以看到上传成功
复制图片链接地址输入phpinfo()
第二关:
本关在尝试上传脚本文件时,界面出现提示:提示:文件类型不正确,请重新上传!
我们查看源码出现了这样一句代码:
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif'))
这句代码的意思是:检查上传的文件类型是否为JPEG、PNG或GIF格式。如果是则继续执行上传
接下来用burp工具抓包,之后修改content-type的类型为允许上传的图片类型即可绕过
修改后可以看到php脚本上传成功。
第三关:
在上传文件后提示:
源码:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
查看源码后可以看到是黑名单过滤,可以看到过滤还是挺全面的,这时候我们可以考虑用别的可解析的php后缀绕过。
我们可以尝试用:php3、php4、php5、phtml等后缀进行绕过
可以看到成功绕过
第四关:
在本关有着比上一关更多的黑名单,过滤的更加充分了,所以一般的修改后缀的绕过一般不可行了。
我们可以考虑用.htaccess来绕过
介绍一下什么是.htaccess:主要的作用:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。
.htaccess的用途范围主要针对当前目录。
详细内容可以参考这篇博客:文件上传漏洞之.htaccess文件解析漏洞_.htaccess 漏洞-CSDN博客
所以我们接下来创建一个.htaccess文件
SetHandler application/x-httpd-php
并将php后缀的文件修改为.Jpg格式上传上去
最后访问照片时会自动变为php格式运行。
第五关:在提示中依旧可以看到是有非常多的黑名单过滤,且过滤了htaccess,查看源码
源码:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
从源码中可以看出他把大小写忽略了,因为php不区分大小写,所以我们可以将后缀改为大写绕过。
第六关:
本关依旧是以上的黑名单过滤,但是此关没有了删除空格的过滤,在windows中空格在存储时会自动清除。所以我们在后缀最后加一个空格就可以绕过。
我们在上传时抓包并在文件后添加一个空格,可以看到上传成功。
第七关:
本关与第六关类似,只是此关没有了删除.的代码,在Windows中文件存储时会自动删除后缀后面的“.”,同样抓包修改后缀,可以看到上传成功
第八关:
与前两关类似,这关少了::$DATA的删除。
当php在windows环境的时候,如果文件名+ “::$DATA" 会 把 "::$DATA" 之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名
所以跟前两关一样的步骤
第九关:
本关于之前几关类似,都是通过丰富的黑名单来过滤,但是我们查看源码后可以发现:
源码:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
它先是将文件后的“.”依次删除后再进行下一步,但是deldot函数在遇到空格时会停住
所以我们将脚本文件后缀添加“. .”的形式绕过
同样抓包修改
第十关:
本关依旧是黑名单验证,但是在代码中存在这样一句:$file_name = str_ireplace($deny_ext,"", $file_name);他的意思是将与黑名单相同的后缀修改为空,所以我们可以考虑用双写绕过
将文件后缀修改为“.pphphp”
可以看到上传成功
第十一与十二关:
都是采用一样的原理:00截断
但是使用00截断是有要求的:
(1)php版本要小于5.3.4。
(3)在php.ini中magic_quotes_gpc需要为OFF状态。
(2)文件路径要可控。
在源码中:
源码:
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
}
}
我们可以看到它是将源文件复制到新路径下的文件中,所以我们可以通过抓包自定义上传文件名称,并通过00截断控制上传路径里的文件名称及后缀,并将上传的php文件格式改为图片并将其里面的内容复制进去。
操作如下:
3855
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
