文件上传漏洞原理与实战——upload-labs靶场

文件上传漏洞原理与实战——upload-labs靶场

Pass-01 前端校验

题目让上传一个webshell到服务器，先上传一个正常图片1.png看看

可以正常上传，在上传一个a.php试一试

可以看到弹窗提醒只能上传jpg，png，gif类型的文件，不能直接上传a.php。

a.php文件是一个一句话木马。

弹窗应该是前端js写的一个弹窗，我们可以绕过。F12打开开发者模式。

选择上传功能点区域，查看网页源代码，删除return checkFile()函数，就可以上传了。

上传成功：

因为我们上传的不是正常的图片，所以显示的是裂开的图片。

右击复制图片链接，在新标签页中打开。

测试时先看看phpinfo能否执行，如果能显示说明这个木马是没有问题的，再用蚁剑去连接。不要上传完就急着用蚁剑去连接。

**echo “

”;**表示的是格式化输出，能够使看出来方便很多。

可以在F12设置里禁用JavaScript

源代码：前端js校验

Pass-02 MIME类型检测绕过

先看源代码

采用burp来抓包

抓包后改为允许的文件类型。因为检测的不是我们的后缀，所以我们需要把type改掉

将type修改为jpeg，png或者gif都可以，记得image/jpeg和冒号中间有一个空格要保留

然后放掉包，上传成功

剩余步骤与01相同，右击复制图片路径，在新页面打开然后查看phpinfo和ipconfig。然后可以用蚁剑去连接。

Pass-03 黑名单

一般情况下，代码文件里会有一个数组或者列表，该数组或者列表里会包含一些非法的字符或者字符串，当数据包中含有符合该数组或列表的字符串时，即认定该数据包是非法的。

无法直接上传：

我们可以用**.phtml和.php3**文件上传

也可以用burp去进行拦截，并修改后缀

想要.php3和.phtml文件生效必须修改phpstudy配置文件，在httpd-conf文件中

添加后缀名，并且将开头的#删除。

在Windows的时候如果文件名 +“::$DATA”会把::$DATA之后的数据当初文件流处理，不会检测后缀名，且保持::$DATA之前的文件名，他的目的就是不检查后缀名

例如：“phpinfo.php::$DATA”Windows会自动去掉末尾的::$DATA变成“phpinfo.php”

上传失败这是因为源代码中有去除::$DATA的操作

我们可以通过双写来解决这个问题

上传成功：

::$DATA

::$D::$DATAATA

源代码的意思是碰到::$DATA就将他变成空，我们按照第二个将他双写后，他会查找::$DATA，并将其变为空之后还会剩下一个::$DATA，这样就可以绕过。

复制链接进入后，url里有::$DATA，所以还是被禁止访问的，这时我们可以将::$DATA删除

我们就又可以进行连接了。

Pass-04 htaccess文件绕过黑名单

第四关将黑名单加多了。

Apache的.htaccess是一个配置文件，用来控制所在目录的访问权限以及解析设置。

在配置文件中将AllowOverride的none改为all，保存后重启phpstudy就可以了。

必须用.htaccess不能用1.htaccess之类的，无法解析。

通过命令行修改文件名，将1.htaccess修改为.htaccess

ren 1.htaccess .htaccess

不能直接把.htaccess放在网站根目录下，否则会报错

先上传.htaccess文件，再上传shell.txt（一句话木马）

然后继续上传shell.txt

上传完成，右击复制图片连接，并打开，连接成功。

“zoom:50%;” />

上传完成，右击复制图片连接，并打开，连接成功。

后缀为htaccess的文件，其中文件内容为SetHandler application/x-httpd-php，意思是把所有文件都解析为php文件来执行。