UPLOAD-LABS-靶场（1-19关详细解答 保姆级教程）

Pass-00

我们先把靶场环境安装上

https://pan.baidu.com/s/1NeZ-kcZEix3UNpTHRJdczA?pwd=doba 

下载之后安装到小皮面板的www目录下面，访问网站

 

 创建一个upload目录在靶场目录下，这个文件是用来存储我们上传的文件的 

---

Pass-01

1.我们先上传一个 php后缀文件 显示我们该文件不允许上传 只能上传 jpg png gif的文件后缀

 2.我们可以上传 自己写的php，将 后缀改成jpg上传， 然后抓包 可以看到 数据上传了 我们可以在burpsuite里修改一下后缀 改成php后缀 这样我们自己写的php就上传成功了

用中国菜刀连接

Pass-02 

先上传一个自己的php文件

这次我们抓包查看一下具体情况是什么

 查看提示看到是在服务端对数据的MIME进行检查，MIME验证就是验证文件的类型。所以我们的思路就是用burp抓包然后修改文件的类型。

将方框处修改成

image/png

 然后将包放走，之后就能显示上传成功

右键新建标签页打开图像

 会看到自己的php版本信息，因为我们的php语句是探针文件

Pass-03

继续上传php

显示不允许上传上面的后缀文件，那就查看源码

 可以看到有这四种后缀禁止上传，我们就想办法把后缀名改一下，但是还能访问到

在网上搜索了一下 发现这种黑名单并不严谨 在某些特定的环境下    一些特殊后缀 仍然会被当成php文件 可以在1.php后面 加 1或者2 或者3 或者4 

所以就尝试各种方式后缀名绕过就OK了

Pass-04 

啥也不干先上传，传了再说

好家伙不给提示了，那我们就去看看源码

这么多的后缀都不行了，想想办法

这里我们就要用到传说中的.htaccess文件上传了

首先：创建htaccess文件（文件名就为htaccess）就可以  文件内容如下

AddType application/x-httpd-php .png

 小贴士：.htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置.通过htaccess文件，可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

上面的那个代码的意思就是里面有一个后缀为.png的文件 他就会被解析成.php 先上传一个1.png文件 然后在上传htaccess文件 再访问1.png  这里你做的都很正确 但是他就是不显示，这里咱们必须要相信自己的技术，这是由于环境的原因

这是因为环境的问题 我们可以用fofa 空间搜索引擎 去搜索 别人的靶机 

搜索语法是 

title="upload-labs"

 

 Pass-05

这里咱们就别传了，传也是失败，直接看源码

他少了对大小写绕过的检验，所以，换后缀名

可以将三个字母随便一个两个三个大写，上传

Pass-06

看源码，对比，好像少了首尾去空

我们接下来的思路就是在文件末尾添加空格 但是由于windows会自动删除空格 我们需要用burpsuite抓包 在burp里去添加空格 

 7版本的不行可以试试5版本的

Pass-07

查看页面源码，对比一下 ，发现 少了一个删除文件末尾的点

跟第六关大差不差 因为windows后面不能加.会自动删除 所以我们用burpsuite抓包 在burp里添加一个点

 Pass-08

查看页面源代码，发现少了去除字符串

跟上面的关卡一样 使用burpsuite抓包 在burp里添加  文件后缀名为::$DATA

 记得去掉后面的：：$DATA

Pass-09

通过源码发现本关之前所有的绕过思路都被过滤了，但是通过源码发现，所有的过滤都是一次的，并未对其进行循环过滤。也就是说源码中提到的删除空格，删除点都是只删除一次，那么可以在数据包中将php后缀添加. .，形成.php.  .，由于只验证一次，所以删除一个点和一个空格后就不在删除了。

Pass-10

查看第十关源码，可以看出没有了前几关的验证方式，只是一个黑名单验证，意思是如果上传了它这些后缀的文件，就会把后缀名删除，没了后缀名也就无法正常解析

这关同样只验证一次，所以我们只需要采用双写绕过就好

把后缀改成两次.php文件后缀，它删除掉中间的php后后缀仍然为php

Pass-11

用截断绕过,BP抓包,把后缀名改成jpg,在请求行,即图片的第一行upload/后面加2.php%00,然后发送,

访问文件时,再把从url地址栏中2.php后面的全删掉.

 

  Pass-12

BP抓包,将后缀名改为jpg等白名单里面的后缀名,再类似于第十二关一样,在post当中的../upload/后面添加2.php%00,然后使用url解码将%00解码,然后发送,访问该文件,再把url地址当中php后面的所有代码

 Pass-13

以通过文件包含漏洞去调用我们上传的文件,从而实现php代码,也可以使用蚁剑进行连接.

首先,上传一个png图片,在该png图片当中写入我们的php代码,上传成功后,使用文件包含漏洞去调用即可,

别忘了把引用文件的地址写对.其他类型的图片均可以按照此模式进行

需要有一个include.php配合使用

将此文件放在靶场目录下

 接下来上传一个有木马的图片

然后通过include.php查看图片，用菜刀连接，网址

 Pass-14

所有操作与第十四关一样

 Pass-15

 也是一样的操作

 Pass-16

图片马中的phpinfo会被删除,但一句话木马会被留下,可以使用蚁剑连接成功.

这一关使用了二次渲染

下面的url为大佬的图片马,直接使用

文件上传之二次渲染(专用图).zip - 蓝奏云文件大小：12.3 K|https://wwe.lanzoui.com/iFSwwn53jaf

用菜刀连接

  Pass-17

和查看源代码发现,当我们上传php文件后,我们的php文件会在服务器先存在一段时间,然后再被代码给删掉.所以我们的思路就是利用这一段极短的时间来进行操作.利用BP的攻击模块,不断的去访问我们要上传的文件(把我们要上传的文件的包作为我们的playload.而该php代码写一个创建文件函数来创建一个php文件,该文件的内容写我们的木马).所以我们的整体思路就是不断的上传第一个文件,然后再写一个playload放到BP的攻击模块,该playload的作用是不断的去访问我们上传的文件,即通过去把握到该文存在的那极短的时间去访问,然后执行里面的代码,从而创建我们的木马文件,一定要使用工具辅助完成,人工点击不可能，这种技术叫做文件上传竞争

访问该php的playload

用狙击手模式不断地和删除文件进行竞争

大家可以这样做，去突破此关，因为要一直不断发送数据包，可能你的电脑会起飞

  Pass-18

这关不知道是作者的什么原因，导致这里有个错误。上传的图片放不到upload下，这里进行一个小小的改动。打开18关的myupload.php

修改这里成下图所示，重启靶场就可以了 

继续来通关，查看代码，发现和第17关的差距是，这关还检测了后缀名，不能直接上传php文件，所以这关要上传图片马，其他步骤和17关类似。访问图片时使用文件包含。
上传22.gif然后抓包
和17关一样的过程，进行start attack。

Pass-19

看到19关的页面，明显比前面的多了点东西，多了一个保存名称，没有对上传的文件做判断，只对用户输入的文件名做判断。查看源码，有move_uploaded_file()这样一个函数，它有一个特性，会忽略到文件末尾的/.
上传一个包含php语句的jpg文件，然后保存名称为2.php./