upload labs1-20通关手册
靶场搭建
| 配置项 | 配置 | 描述 |
|---|---|---|
| 操作系统 | Window or Linux | 推荐使用Windows,除了Pass-19必须在linux下,其余Pass都可以在Windows上运行 |
| PHP版本 | 推荐5.2.17 | 其他版本可能会导致部分Pass无法突破 |
| PHP组件 | php_gd2,php_exif | 部分Pass依赖这两个组件 |
| 中间件 | 设置Apache以moudel方式连接 |
第一关
核心代码:
<script type="text/javascript">
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name) == -1) {
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
}
</script>
绕过方法:
-
第一种控制台禁用JavaScript
-
第二种控制台表单去掉checkFile()函数
-
第三种本地修改文件名为
1.jpg,burp抓包后改成1.php
第二关
核心代码:
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif'))
//判断上传文件的 MIME 类型是否为:image/jpeg、image/png、image/gif
绕过方法:
抓包,将Content-Type: 改为 image/png
第三关
核心代码:
$deny_ext = array('.asp','.aspx','.php','.jsp'); //后缀黑名单
$file_name = trim($_FILES['upload_file']['name']);
$file_ext = strrchr($file_name, '.'); //搜索 .在字符串中的位置,并返回从该位置到字符串结尾的所有字符(获得后缀名)
/*实际上这些是后面几关的,放在第三关这里......
$file_name = deldot($file_name);//删除文件名末尾的点
*$file_ext = strtolower($file_ext); //将后缀名转换为小写
*$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除后缀中的::$DATA
*$file_ext = trim($file_ext); //首尾去除空白字符
*/
if(!in_array($file_ext, $deny_ext)) {
...(略)
}
绕过方法:
虽然.asp,.aspx,.php,.jsp后缀加入了黑名单,但.phtml .phps .pht .php2 .php3等并未严格过滤
第四关
核心代码:
$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
$file_name = trim($_FILES['upload_file']['name']); //获得上传的文件名称
$file_ext = strrchr($file_name, '.'); //搜索 .在字符串中的位置,并返回从该位置到字符串结尾的所有字符(获得后缀名)
if (!in_array($file_ext, $deny_ext)) { //判断我们获得的后缀在不在黑名单
if (move_uploaded_file($temp_file, $img_path)) { //保存文件
}}
绕过方法:
重写文件解析规则绕过。上传先上传一个名为.htaccess文件,内容如下:
<FilesMatch "4.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
然后再上传一个4.jpg,访问4.jpg查看解析规则是否生效
第五关
核心代码:
核心代码大体第四关类似,黑名单多了.htaccess
绕过方法:
那么我们直接变换大小写
第六关
核心代码:
核心代码大体与前面类似,可以看到$file_ext = trim($file_ext);没了,没有去掉首尾的空白字符
绕过方法:
利用Windows系统的文件名特性。抓包修改文件名在后缀增加空格,写成06.php
第七关
核心代码:
可以看到$file_name = deldot($file_name);没了,没有去掉后缀的点
绕过方法:
同理利用Windows系统的文件名特性,抓包后后缀加点,改成07.php.
第八关
核心代码:
同理,$file_ext = str_ireplace('::$DATA', '', $file_ext);没了,没有去掉后缀的::$DATA
绕过方法:
使用Windows文件流特性绕过,文件名改成8.php::$DATA,上传成功后保存的文件名其实是08.php
第九关
核心代码:
$file_name = deldot($file_name);//删除文件名末尾的点
绕过方法:
删除了文件末尾的点并去掉了::$DATA,所以末尾得变成9.php. .,这样他删除末尾的点后倒数第二个点还是会加载
第十关
核心代码:
$file_name = str_ireplace($deny_ext,"", $file_name); //使用正则表达式,去除黑名单中的关键字
...(略)
绕过方法:
所以可以像xss一样,双写、拼写、混写啊之类的
十一关
核心代码:
$ext_arr = array('jpg','png','gif'); //设置后缀名的白名单数组
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); //获取上传文件的后缀名
if(in_array($file_ext,$ext_arr)){ //检测上传文件的后缀名是否在白名单中
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext; //接受GET传入sava_path作为图片路径
...(略)
绕过方法:
虽然有白名单校验后缀名,但$img_path是接受GET参数直接拼接的,可以利用%00截断绕过。
%00截断如果懵的话,想一想SQL注入为啥要在后面加-- # --+
十二关
核心代码:
与11关相同,只不过接受方式变成了POST
绕过方法:
利用Burpsuite的Hex功能将save_path改成../upload/12.php【二进制00】形式
十三关
核心代码:
function getReailFileType($filename){
$file = fopen($filename, "rb");
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("C2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch($typeCode){
case 255216:
$fileType = 'jpg';
break;
case 13780:
$fileType = 'png';
break;
case 7173:
$fileType = 'gif';
break;
default:
$fileType = 'unknown';
}
return $fileType;
}
绕过方法:
使用o1o Editor等软件,修改文件的头两个字节
然后上传修改后的文件,利用文件包含图片马
当然操作方法还有很多啦~~
十四关
核心代码:
function isImage($filename){
$types = '.jpeg|.png|.gif';
if(file_exists($filename)){
$info = getimagesize($filename);
$ext = image_type_to_extension($info[2]);
if(stripos($types,$ext)>=0){
return $ext;
}else{
return false;
}
}else{
return false;
}
}
绕过方法:
和13关大体类似,可以修改文件头即可:GIF89a
十五关
这里用到php_exif模块来判断文件类型,同Pass-13
十六关
gif绕过
- 将添加到test.gif的尾部.
- 上传编辑好的图片,然后下载下来,可以看到下载下来的文件名已经变化,所以这是经过二次渲染的图片.我们使用16进制编辑器将其打开.
可以发现,我们在gif末端添加的php代码已经被去除.对比一下就可以发现,开头部分是没有发生变化的
那么在没有变化的位置插入php代码进行测试
再次上传后下载查看,ok!没有被去除
访问一下,成功执行
十七关
核心代码:
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_name = $_FILES['upload_file']['name'];
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_ext = substr($file_name,strrpos($file_name,".")+1);
$upload_file = UPLOAD_PATH . '/' . $file_name;
if(move_uploaded_file($temp_file, $upload_file)){
if(in_array($file_ext,$ext_arr)){
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
rename($upload_file, $img_path);
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
unlink($upload_file);
}
}else{
$msg = '上传出错!';
}
}
可以看到文件先经过保存,然后判断后缀名是否在白名单中,不在的话才会删除。
绕过方法:
利用条件竞争重复上传文件,争取在文件保存后还没有删除之前来执行php,毕竟大力出奇迹。
重复发包,上传文件
重复请求上传的文件
可以看到有成功执行的数据包
十八关
核心代码:
$ret = $this->move();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// check if we need to rename the file
if( $this->cls_rename_file == 1 ){
$ret = $this->renameFile();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
绕过方法:
因为移动在改名之前,所以上传名字为18.php.7Z的文件,快速重复提交该数据包,会提示文件已经被上传,但没有被重命名。
理论上只要提交数据包的速度够快,就可以让文件名字不被重命名而保存成功。
然后利用文件包含或apache/nginx解析漏洞来利用
十九关
核心代码:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = $_POST['save_name'];
$file_ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!in_array($file_ext,$deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
}else{
$msg = '上传出错!';
}
}else{
$msg = '禁止保存为该类型文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
绕过方法:
这里move_uploaded_file会忽略掉文件末尾的/.,这里的路径用户可控。因此构造payload
二十关
核心代码:
$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
//检查MIME
$allow_type = array('image/jpeg','image/png','image/gif');
if(!in_array($_FILES['upload_file']['type'],$allow_type)){
$msg = "禁止上传该类型文件!";
}else{
//检查文件名
$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
/*这里用到了三目运算符
*对于条件表达式b?X:y,计算条件b,然后做出判断。如果b的值为真,则计算x的值,结果为x的值;否则,计算y的值,得到y的值。
*条件表达式永远不会同时求x和y的值。条件运算符是右结合的,也就是说,从右到左求值。
*/
if (!is_array($file)) {
$file = explode('.', strtolower($file)); //字符串转换为小写并并以点为分割打散成数组
}
$ext = end($file); //end函数用来取数组最后一个元素
$allow_suffix = array('jpg','png','gif');
if (!in_array($ext, $allow_suffix)) {
$msg = "禁止上传该后缀文件!";
}else{
$file_name = reset($file) . '.' . $file[count($file) - 1];
/*reset() 函数将内部指针指向数组中的第一个元素,并输出。
*count()统计个数
*/
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$msg = "文件上传成功!";
$is_upload = true;
} else {
$msg = "文件上传失败!";
}
}
}
}else{
$msg = "请选择要上传的文件!";
}
程序最开始会去检测Content-Type: 是否在白名单$allow_type中
然后判断$_POST['save_name']不为空时,$file的值为$_FILES['upload_file']['name'],反之为$_POST['save_name']
若$file不是数组,例如:BAIDU.JPG,则将他转换为baidu.jpg,然后拆成baidu,jpg放到$file里面
取$file的最后一个元素即jpg看是否在$allow_suffix中
然后取$file的第一个元素baidu拼接上.和$file的最后一个元素即jpg 得到baidu.jpg
最终使用move_uploaded_file将图片保存为baidu.jpg
第一种解法:
我们可以让$_POST['save_name']提前为一个数组,第一个元素为**.php/ 其实也可以使用00截断
最后一个元素为jpg或png或gif只要符合$allow_suffix即可(注意最后一个元素的前一个元素必须为空)
这样的话,我们只需要让Content-Type:符合白名单
save_name[0]为20.php/
save_name[n]为jpg (n大于等于2)
整个过程大概就是
$file_name="20.php/"+"."+"空"=20.php/.
最终使用move_uploaded_file将图片保存时会忽略后面的/.
访问查看是否执行
00截断
指定save_name[0]为2021.php%00 save_name[1]为jpg
第三种解法(取巧,严格来说不算)
抓包,让save_name为空,然后让将文件名改为**.jpg
浙公网安备 33010602011771号