第一关
源码:
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
}
本关会检查上传文件后缀,如果不是白名单中的文件会禁止上传
前端的任何校验都是不安全的,因此我们可以对其进行抓包然后修改
访问第一关用burp进行抓包,拦截返回包
得到前端js进行校验的代码,直接在burp中将其删除
然后放包,此时页面就不会对上传文件进行后缀校验
尝试直接上传一句话木马
上传成功
此靶场需要在根目录下新建一个upload文件夹,每次文件都是上传到此文件夹
尝试对其进行访问
已经上传成功,直接用菜刀或者蚁剑连接即可
第二关
源码及提示:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
}
}
MIME类型,即Content-Type,互联网媒体类型
不同的文件对应不同的类型
HTML:text/html
JPEG图片标记:image/jpeg
GIF图片标记:image/gif
js文档标记:application/javascript
首先长传图片进行测试
可以看到content-type为image/jpeg类型,放包
上传成功,尝试上传一句话木马
content-type为application/octet-stream
显然,它对我们上传的文件类型进行了判断
绕过思路:使用burp转包对文件类型进行修改,修改为image/jpeg
放包
上传成功
同样可以使用菜刀或者蚁剑连接获得webshell
第三关
源码及提示:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
根据提示,这是一个黑名单过滤
尝试上传php文件,显然不行
绕过思路:
phtml,php3,php4,php5,pht没有禁止,这些文件在apache配置文件中定义为当做php文件进行解析
使用burp抓包,在.php后随便加一个数字,例如:.php3进行绕过
上传成功