Pass-00
我们先把靶场环境安装上
https://pan.baidu.com/s/1NeZ-kcZEix3UNpTHRJdczA?pwd=doba
下载之后安装到小皮面板的www目录下面,访问网站
创建一个upload目录在靶场目录下,这个文件是用来存储我们上传的文件的
Pass-01
1.我们先上传一个 php后缀文件 显示我们该文件不允许上传 只能上传 jpg png gif的文件后缀
2.我们可以上传 自己写的php,将 后缀改成jpg上传, 然后抓包 可以看到 数据上传了 我们可以在burpsuite里修改一下后缀 改成php后缀 这样我们自己写的php就上传成功了
用中国菜刀连接
Pass-02
先上传一个自己的php文件
这次我们抓包查看一下具体情况是什么
查看提示看到是在服务端对数据的MIME进行检查,MIME验证就是验证文件的类型。所以我们的思路就是用burp抓包然后修改文件的类型。
将方框处修改成
image/png
然后将包放走,之后就能显示上传成功
右键新建标签页打开图像
会看到自己的php版本信息,因为我们的php语句是探针文件
Pass-03
继续上传php
显示不允许上传上面的后缀文件,那就查看源码
可以看到有这四种后缀禁止上传,我们就想办法把后缀名改一下,但是还能访问到
在网上搜索了一下 发现这种黑名单并不严谨 在某些特定的环境下 一些特殊后缀 仍然会被当成php文件 可以在1.php后面 加 1或者2 或者3 或者4
所以就尝试各种方式后缀名绕过就OK了
Pass-04
啥也不干先上传,传了再说
好家伙不给提示了,那我们就去看看源码
这么多的后缀都不行了,想想办法
这里我们就要用到传说中的.htaccess文件上传了
首先:创建htaccess文件(文件名就为htaccess)就可以 文件内容如下
AddType application/x-httpd-php .png
小贴士:.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
上面的那个代码的意思就是里面有一个后缀为.png的文件 他就会被解析成.php 先上传一个1.png文件 然后在上传htaccess文件 再访问1.png 这里你做的都很正确 但是他就是不显示,这里咱们必须要相信自己的技术,这是由于环境的原因
这是因为环境的问题 我们可以用fofa 空间搜索引擎 去搜索 别人的靶机
搜索语法是
title="upload-labs"
Pass-05
这里咱们就别传了,传也是失败,直接看源码
他少了对大小写绕过的检验,所以,换后缀名
可以将三个字母随便一个两个三个大写,上传
Pass-06
看源码,对比,好像少了首尾去空
我们接下来的思路就是在文件末尾添加空格 但是由于windows会自动删除空格 我们需要用burpsuite抓包 在burp里去添加空格
7版本的不行可以试试5版本的
Pass-07
查看页面源码,对比一下 ,发现 少了一个删除文件末尾的点
跟第六关大差不差 因为windows后面不能加.会自动删除 所以我们用burpsuite抓包 在burp里添加一个点
Pass-08
查看页面源代码,发现少了去除字符串
跟上面的关卡一样 使用burpsuite抓包 在burp里添加 文件后缀名为::$DATA
记得去掉后面的::$DATA
Pass-09
通过源码发现本关之前所有的绕过思路都被过滤了,但是通过源码发现,所有的过滤都是一次的,并未对其进行循环过滤。也就是说源码中提到的删除空格,删除点都是只删除一次,那么可以在数据包中将php后缀添加. .,形成.php. .,由于只验证一次,所以删除一个点和一个空格后就不在删除了。
Pass-10
查看第十关源码,可以看出没有了前几关的验证方式,只是一个黑名单验证,意思是如果上传了它这些后缀的文件,就会把后缀名删除,没了后缀名也就无法正常解析
这关同样只验证一次,所以我们只需要采用双写绕过就好
把后缀改成两次.php文件后缀,它删除掉中间的php后后缀仍然为php
Pass-11
用截断绕过,BP抓包,把后缀名改成jpg,在请求行,即图片的第一行upload/后面加2.php%00,然后发送,
访问文件时,再把从url地址栏中2.php后面的全删掉.
Pass-12
BP抓包,将后缀名改为jpg等白名单里面的后缀名,再类似于第十二关一样,在post当中的../upload/后面添加2.php%00,然后使用url解码将%00解码,然后发送,访问该文件,再把url地址当中php后面的所有代码
Pass-13
以通过文件包含漏洞去调用我们上传的文件,从而实现php代码,也可以使用蚁剑进行连接.
首先,上传一个png图片,在该png图片当中写入我们的php代码,上传成功后,使用文件包含漏洞去调用即可,
别忘了把引用文件的地址写对.其他类型的图片均可以按照此模式进行
需要有一个include.php配合使用
将此文件放在靶场目录下
接下来上传一个有木马的图片
然后通过include.php查看图片,用菜刀连接,网址
Pass-14
所有操作与第十四关一样
Pass-15
也是一样的操作
Pass-16
图片马中的phpinfo会被删除,但一句话木马会被留下,可以使用蚁剑连接成功.
这一关使用了二次渲染
下面的url为大佬的图片马,直接使用
文件上传之二次渲染(专用图).zip - 蓝奏云文件大小:12.3 K|https://wwe.lanzoui.com/iFSwwn53jaf
用菜刀连接
Pass-17
和查看源代码发现,当我们上传php文件后,我们的php文件会在服务器先存在一段时间,然后再被代码给删掉.所以我们的思路就是利用这一段极短的时间来进行操作.利用BP的攻击模块,不断的去访问我们要上传的文件(把我们要上传的文件的包作为我们的playload.而该php代码写一个创建文件函数来创建一个php文件,该文件的内容写我们的木马).所以我们的整体思路就是不断的上传第一个文件,然后再写一个playload放到BP的攻击模块,该playload的作用是不断的去访问我们上传的文件,即通过去把握到该文存在的那极短的时间去访问,然后执行里面的代码,从而创建我们的木马文件,一定要使用工具辅助完成,人工点击不可能,这种技术叫做文件上传竞争
访问该php的playload
用狙击手模式不断地和删除文件进行竞争
大家可以这样做,去突破此关,因为要一直不断发送数据包,可能你的电脑会起飞
Pass-18
这关不知道是作者的什么原因,导致这里有个错误。上传的图片放不到upload下,这里进行一个小小的改动。打开18关的myupload.php
修改这里成下图所示,重启靶场就可以了
继续来通关,查看代码,发现和第17关的差距是,这关还检测了后缀名,不能直接上传php文件,所以这关要上传图片马,其他步骤和17关类似。访问图片时使用文件包含。
上传22.gif然后抓包
和17关一样的过程,进行start attack。
Pass-19
看到19关的页面,明显比前面的多了点东西,多了一个保存名称,没有对上传的文件做判断,只对用户输入的文件名做判断。查看源码,有move_uploaded_file()这样一个函数,它有一个特性,会忽略到文件末尾的/.
上传一个包含php语句的jpg文件,然后保存名称为2.php./