【渗透测试】--- upload-labs(1-19)闯关

通地塔

已于 2022-07-27 15:17:15 修改

阅读量827

点赞数 1

分类专栏：渗透测试文章标签：安全安全漏洞

于 2020-08-22 17:13:00 首次发布

本文链接：https://blog.csdn.net/qq_43168364/article/details/107360692

版权

本文详细介绍了在upload-labs的渗透测试关卡中，从第一关到第十九关的各种文件上传安全检测与绕过方法，包括前端JS验证、服务器端MIME类型检测、黑名单检测、apache解析漏洞、大小写绕过、特殊字符过滤等，并提供了具体的步骤和源码分析。

摘要由CSDN通过智能技术生成

第一关

1、检测方式
JS代码前端检测
2、绕过方式
Fn+F12删除前端代码的事件
3、具体步骤
上传.php文件之后给我们弹窗提示
在这里插入图片描述
由此猜测可能是用了js前端代码的验证，我们查看它的前端代码

这里果然有一个事件，我们将该事件删除，即可上传bug.php文件

上传解析成功

4、源码分析

第二关

1、检测方式
服务器端MIME类型检测
2、绕过方式
将我们的木马文件改名为xxx.jpg，开启bp拦截，点击上传，这样我们MIME类型就是图片的了，然后改文件名为xxx.php即可
3、具体步骤
上传重命名的木马文件
在这里插入图片描述
修改文件名

上传成功

4、源码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
    if (file_exists($UPLOAD_ADDR)) {
   
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
   
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
   
                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
                $is_upload = true;

            }
        } else {
   
            $msg = '文件类型不正确，请重新上传！';
        }
    } else {
   
        $msg = $UPLOAD_ADDR.'文件夹不存在,请手工创建！';
    }
}

这可以上传MIME为：image/jpeg；image/png；image/gif的文件。

第三关

1、检测方式
黑名单检测
2、绕过方式
使用黑名单没有过滤的文件后缀名
3、具体步骤
上传之后发现是使用了黑名单过滤
在这里插入图片描述
我们改文件的后缀名为.php3，上传成功

解析成功

这里上传.phtml后缀名也可以

4、源码分析
在这里插入图片描述
相关函数

trim(string,charlist) — 移除字符串两侧的空白字符或其他预定义字符。string：规定要检查的字符串。charlist：规定从字符串中删除哪些字符。如果被省略，则移除以下所有字符："\0" - NULL；"\t" - 制表符；"\n" - 换行；"\x0B" - 垂直制表符；"\r" - 回车；" " - 空格。
strrchr() — 查找字符串在另一个字符串中最后一次出现的位置，并返回从该位置到字符串结尾的所有字符。

第四关

1、检测方式
比上一关更加全面的黑名单检测
2、绕过方式
方法一
apache解析漏洞，上传文件bug.php.xxx
方法二
上传.htaccess文件，
3、具体步骤
方法一
试了很多文件都不行，查看提示，这里的黑名单设置的很多
在这里插入图片描述
但是它的web容器用的是apache，版本是2.4.23

我们知道apache1.x和apache2.x的版本存在着解析漏洞，我们上传一个，这样的文件bug.php.xxx

上传成功，访问看看

解析成功了，完成。
方法二
我们上传的.htaccess文件中的内容是AddType application/x-httpd-php png，这样我们上传的.png文件就可以被解析了。
在这里插入图片描述

然后我们上传bug.png文件

上传bug.png成功，解析成功

4、源码分析
这一关的源码和上一关的区别就是多了很多的黑名单，这里就不再分析了。

第五关

用第四关的方法一就可以解决，源码中黑名单中多了.htaccess文件，第四关的方法二是不能使用的。

第六关

1、源码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
    if (file_exists($UPLOAD_ADDR)) {
   
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
   
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
   
                $img_path = $UPLOAD_ADDR . '/' . $file_name;
                $is_upload = true;
            }
        } else {
   
            $msg = '此文件不允许上传';
        }
    } else {
   
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建！';