upload-labs
pass-01 (客户端验证-js 脚本绕过)
上传 phpinfo.php 浏览器弹框 提示格式不符合,一般弹框都是本地 JS 控制
本 pass 在客户端使用 js 对不合法图片进行检查
解题思路就是把本地的检查 js 修改或禁用
sources 里把对应脚本所在文件 overrides 到本地修改
修改思路就很多了可以直接返回 ture 也可以加允许的后缀等。这里加上.php
代码如下
function checkFile() {
var file = document.getElementsByName("upload_file")[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg =
"该文件不允许上传,请上传" +
allow_ext +
"类型的文件,当前文件类型为:" +
ext_name;
alert(errMsg);
return false;
}
}
Pass-02 (MIME 验证 Content-Type 绕过)
第二关提示服务器端对 MIME 做检查。
brupsuite 抓包 修改 为 Content-Type: image/jpeg
也可以直接找张图片文本编辑器打开末尾加入 playload 上传 brupsuit 抓包 content-Type 会识别为正常图片类型,修改文件名为.php 也能达到效果
代码如下
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
}
}
##Pass-03 (黑名单验证-文件名后缀 php3 等绕过)
php 换为 php3 phtml 有些服务器配置后缀也是可以做为 php 运行处理 php3 phtml
代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
Pass-04 (.htaccces)
提示
本 pass 禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf 后缀文件!
不过可以尝试利用.htaccess 文件进行攻击
创建一个.htaccess 文件(notepad++即可),写入代码(内容为将 4.jpg 当做 php 文件解析)
<FilesMatch “4.jpg”>
SetHandler application/x-httpd-php
上传.htaccess 文件,再上传 4.jpg 图片马文件
菜刀连接,jpg 文件能被当做 php 文件解析,成功绕过
代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
Pass-05 (.user.ini )未验证
这一关,先上传一个以 auto_prepend_file=1.gif 为内容的.user.ini 文件,然后再上传一个内容为 php 的一句话的脚本,命名为 1.gif,.user.ini 文件里面的意思是:所有的 php 文件都自动包含 1.gif 文件。.user.ini 相当于一个用户自定义的 php.ini。
代码
Pass-06 (黑名单验证,大小写绕过) windows
大小写绕过原理:
Windows 系统下,对于文件名中的大小写不敏感。例如:test.php 和 TeSt.PHP 是一样的。
Linux 系统下,对于文件名中的大小写敏感。例如:test.php 和 TesT.php 就是不一样的。
.php 换成 .Php
代码
Pass-07 (黑名单验证,空格绕过)
Windows 系统下,对于文件名中空格会被作为空处理,程序中的检测代码却不能自动删除空格。从而绕过黑名单。
针对这样的情况需要使用 Burpsuite 阶段 HTTP 请求之后,修改对应的文件名 添加空格。
.php 换成.php 空格
代码
Pass-08 (黑名单验证,点号绕过)windows
.号绕过原理:
Windows 系统下,文件后缀名最后一个点会被自动去除。
代码
Pass-09 (黑名单验证,::$DATA 绕过)windows
特殊符号绕过原理:
Windows 系统下,如果上传的文件名中 test.php::$DATA 会在服务器上生成一个 test.php 的文件,其中内容和所上传文件内容相同,并被解析。
代码
Pass-10 (黑名单验证,点号绕过拼接并绕过前面的两次过滤)
代码