准备阶段
upload-labs下载地址:https://github.com/c0ny1/upload-labs
推荐使用php-5.2.17版本,使用其他版本可能会导致页面报错。
提示: upload-labs目录下需要手动建一个名为upload的文件夹,用于存放以后上传的文件。
Pass-01
JS验证绕过
直接上传php文件,提示只能上传jpg,png,gif
可以直接右击网页查看到源码
绕过方法:
方法一:把源码复制下来,然后建一个.html文件,把代码粘贴进去,把最下面 js 验证的相关代码删掉,给 form 表单添加一个属性 action ,值为我们要上传到的网址,这样我们就可以用自己写的代码向目标网页上传文件了。
然后打开这个HTML文件(由于缺少css代码,所以界面可能不太美观,不过不影响功能)直接上传.php文件就可以了。
方法二:复制 js代码到控制台,然后修改上传文件的类型,然后执行,再上传 .php 文件就可以了。
不过这种方法是一次性的,下次上传前需要再次执行
方法三:以.jpg后缀上传,然后再抓包,修改后缀
Pass-02
content-type验证绕过
提示说只检查MIME
修改文件的MIME即可绕过
先把以.jpg后缀上传,然后抓包,修改后缀为.php,放包
最后访问
Pass-03
黑名单绕过
提示不能上传.asp,.aspx,.php,.jsp后缀文件,但我们可以上传php5(2,3,4),phtml,phps,pht都行
由于我搭建upload-labs时用的是phpstudy,所以无法解析以上后缀
其他扩展名的部分绕过方法:
Php: php5(2,3,4) phtml phps等
Asp: asa cer cdx
Aspx: ashx asmx ascx
Jsp: jspx jspf
Pass-04
.htaccess绕过
黑名单几乎过滤了所有能上传的后缀,但却没有过滤.htaccess文件
先上传一个.htaccess文件,内容如下:
SetHandler application/x-httpd-php
然后再上传我们的图片马,这时所有的图片都会服务器被当成php文件来解析
Pass-05
大小写绕过
这次的黑名单不仅过滤了几乎所有能上传的文件,还过滤了.htaccess,但是这次没有对后缀统一大小,我们可以把后缀改为.PHP,.pHP等进行绕过
Pass-06
空格绕过
还是之前的黑名单,而且这次还统一了大小写,但是没有对后缀名进行去空处理,因此可以利用windows的命名规则,在后缀名加空格进行绕过
Pass-07
点绕过
跟前几关一样,但是这次没有对后缀名的”.”进行处理,我们可以利用windows特性,让其自动去掉后缀名中最后的”.”,然后绕过:
最后访问eval.php
Pass-08
::$DATA
绕过
一样的黑名单,但这次没有过滤::$DATA
::$DATA
的有关知识:在windows+php的环境下,如果文件为:文件名+"::$DATA
",::$DATA
之后的数据会被当成文件流处理,不仅不会检测文件的后缀名,还会保持"::$DATA
"之前的文件名不变。
因此在文件名后加"::$DATA
"就可进行绕过
Pass-09
点+空格+点绕过
经过审计发现,代码先是删除了文件名末尾的点,又去除了文件名前后的空格。所以我们可以通过构造文件名+点+空格+点(eval.php. .
)的形式来进行绕过,经过程序过滤后变成eval.php.
,又利用windows的特性自动去除后缀中最后的点即可绕过。
Pass-10
双写后缀名绕过
先上传一个正常的php文件,发现后缀名被替换为空
查看源码
可以看出str_ireplace()方法把文件后缀替换成了空,直接双写后缀名(eval.pphphp)即可绕过
Pass-11
%00截断上传(get型)
这次是白名单,而且是用$img_path
函数进行拼接的,所以可以使用%00进行截断上传
然后访问eval.php
提示
使用%00截断的条件
(1)php版本要小于5.3.4
(2)要将php-ini配置文件中的magic_quotes_gpc的值设置为Off
Pass-12
%00截断上传(post型)
这关也是%00截断上传,但与11不同的是这里传送save_path时用的是post方法,由于post不会像get对%00进行自动解码,所以需要我们对其进行手动解码。
(1)第一种方法是对%00进行urldecode的操作,选中%00然后右击,然后依次选择/convert selection/URL/URL-decode
解码后貌似什么都没有,但截断的效果还是有的,直接发包即可绕过
(2)第二种方法是在eval.php后面打一个空格,别的字符也行,主要是为了占位,然后再在hex里找到eval.php后面的的那个字符的16进制码(20)然后改成%00对应的16进制码00
最后访问eval.php
Pass-13
图片马(1)
代码会根据文件的前两个字节来判断文件的类型,先制作图片马,新建文件eval.gif,内容如下:
GIF89a //gif文件标识头
<?php phpinfo();?>
然后抓包上传修改后缀
虽然上传成功,但文件名已被更改,不过好在内容没有被感染
接下来要想利用的话就需要结合文件包含漏洞了,为了展示效果,我在/upload/目录下简单建一个有包含漏洞的文件include.php,内容如下:
<?php
$filein = $_GET['file'];
include($filein);
?>
访问/upload/include.php?file=文件名
Pass-14
图片马(2)
这里用getimagesize函数来获取文件类型,不过还可以用刚才的方法进行绕过
getimagesize函数:
getimagesize() 函数用于获取图像大小及相关信息,成功返回一个数组,失败则返回 FALSE并产生一条 E_WARNING 级的错误信息。
其实构造完图片马后不用抓包直接上传也行,内容也不会被感染
访问
Pass-15
图片马(3)
这里用了exif_imagetype()来判断上传的文件是否为图片,不过还可以用上面的eval.gif进行绕过
Pass-16
图片马(4)
这次虽然检测了后缀名,content-type,并且还用imagecreatefromgif判断文件是否为图片,但是还可以用前几关的方法直接上传eval.gif进行绕过
eval.gif内容如下:
GIF89a
<?php phpinfo();?>
直接上传即可
访问
Pass-17
条件竞争(1)
文件上传到服务器后先被rename重命名,再被unlink删除,因此需要通过条件竞争的方式在文件被unlink删除之前,访问到我们的马。
我们先把eval.php的内容改为:
<?php fputs(fopen('shell.php','w'),'<?php phpinfo();?>'); ?>
然后用burp不断的向其发包,只要eval.php被访问到,就会在目录下写入木马shell.php
具体做法:
先抓包
然后Send to lntruder,并且进行以下的设置:
最后start attack,然后不停地刷新http://127.0.0.1/upload-labs/upload/eval.php
只要eval.php被访问到,目录下就会有shell.php
Pass-18
条件竞争(2)
//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
require_once("./myupload.php");
$imgFileName =time();
$u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
$status_code = $u->upload($UPLOAD_ADDR);
switch ($status_code) {
case 1:
$is_upload = true;
$img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
break;
case 2:
$msg = '文件已经被上传,但没有重命名。';
break;
case -1:
$msg = '这个文件不能上传到服务器的临时文件存储目录。';
break;
case -2:
$msg = '上传失败,上传目录不可写。';
break;
case -3:
$msg = '上传失败,无法上传该类型文件。';
break;
case -4:
$msg = '上传失败,上传的文件过大。';
break;
case -5:
$msg = '上传失败,服务器已经存在相同名称文件。';
break;
case -6:
$msg = '文件无法上传,文件不能复制到目标目录。';
break;
default:
$msg = '未知错误!';
break;
}
}
//myupload.php
class MyUpload{
......
......
......
var $cls_arr_ext_accepted = array(
".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
".html", ".xml", ".tiff", ".jpeg", ".png" );
......
......
......
function upload( $dir ){
$ret = $this->isUploadedFile();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->setDir( $dir );
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkExtension();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkSize();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// if flag to check if the file exists is set to 1
if( $this->cls_file_exists == 1 ){
$ret = $this->checkFileExists();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
// if we are here, we are ready to move the file to destination
$ret = $this->move();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// check if we need to rename the file
if( $this->cls_rename_file == 1 ){
$ret = $this->renameFile();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
return $this->resultUpload( "SUCCESS" );
}
......
......
......
};
文件在上传时会先检查后缀名,然后重新命名,这里也有条件竞争,也可以用刚才的方法用burp不断的向服务器进行发包,这样会由于条件竞争,会使程序来不及重命名而上传成功。
Pass-19
%00截断上传
上传文件时可自定义文件名,move_uploaded_file()函数中有个img_path,并且还是由post参数的save_name控制的,因此可以进行上传截断
这里由于是post传参,%00需要手动解码,解码可以用前面的/convert selection/URL/URL-decode,或者修改hex里的编码
最后访问