pass01
打开upload网站,点击第一关,看到上传图片,我们把写好的一句话木马即PHP文件上传,发现无法上传,且拦截迅速,则第一关为前端拦截,我们可以通过抓包改包来通关
1.点击浏览,将PHP文件的后缀改为.jpg,然后打开
2.开启burp拦截,开启火狐代理,然后点击上传,看到页面无法打开,即抓到包了,点开burp,将
filename那一栏的后缀改为.php,改后点击左上角forward放包,连续点击直到放完(放包过程中若未关闭病毒拦截软件,则请求可能会被拦截,要提前关闭防病毒软件),完成后关掉burp拦截,关闭火狐代理
3.再次点击浏览,将刚刚改过的文件后缀改为.php,再次打开不用上传,右键点击上传好的图片,选择新建标签页打开图像
4.打开后复制地址,再打开蚁剑
5.打开后右键单击,选择添加数据,出现下面窗口后,在前两栏分别填入复制好的地址和密码(密码就是编写一句话木马时传递的参数),然后选择编码器
下面是我的一句话木马,post传参中引号里的内容即为密码
6.填写好后点击上方测试连接,右下角出现成功字样后,点击窗口上方添加,双击新增加的一栏,即可看见电脑中的信息,即通关
pass02
先把代理和拦截打开,上传一张.jpg照片,在burp中看到允许上传的文件的content-type,并复制下来
然后上传一个PHP文件,同样使用抓包,把php文件的不允许上传的content-type改为刚刚复制的允许上传的content-type
然后放包,即可看到PHP文件上传成功,后续操作同第一关
pass03
查看源码,因为代码对转换大小写等有限制,所以尝试等价扩展名
上传成功。
pass04
查看源码,仍然对各种绕过有限制,然后可以尝试.htaccess文件
打开记事本,输入如图
上传图片时改文件后缀名为.htaccess,上传成功
pass05
这一关只需要将文件后缀改为. . 即可
pass06
查看源码,发现不限制大小写绕过,那么将文件后缀大小写改一下即可
pass07
查看源码发现不限制空格绕过,将文件后缀改为“. php”即可上传成功
pass08
查看源码发现不限制加点绕过,在文件后缀加点即可上传成功,".p.hp"
pass09
查看源码发现少了去除字符串,即可在后缀名中加” ::$DATA”绕过,上传成功
pass10
查看源码发现,先首尾去空,再去除::$DATA,再转为小写,再去除点,只需要构造文件名使得过滤后为php文件即可。如“. php. . ”
pass11
这一关可以不断通过抓包发送文件,分析解决方法
查看源码发现其将违规后缀名替换为空,只替换一次,所以可以采用双写绕过
pass12和pass13
用%00截断来绕过验证,有条件:
1.php版本低于5.2.6
2.magic_quotes_gpc为OFF状态(在php.ini中设置)
pass14
查看源码,发现其是通过读取两个字节确定文件类型,制作图片马即可
准备一张图片和一个一句话木马,打开cmd命令行输入“copy 1.png/b + 1.php 3.png”然后用记事本打开,内容中输入一句话木马,配合文件包含漏洞直接访问上传的文件,记得退出杀毒软件,否则会被拦截
pass15
查看源码,用getimagesize函数来验证接受的文件是否为图片信息,跟上一关一样,使用图片马绕过即可
pass16
还是一样,制作图片马上传配合文件包含漏洞,但是需要再php中打开php_exif,重启即可
pass17
这一关使用了二次渲染可以直接使用下面的url文件上传之二次渲染(专用图).zip - 蓝奏云文件大小:12.3 K|https://wwe.lanzoui.com/iFSwwn53jafpass18
这是一个条件竞争,先抓包,访问payload
pass19
上传php文件进行抓包,在内容的.php之后加上.7z,然后放包即可上传成功