upload-labs打关详解

1-19关

 

00x01 JS检查

方法一.修改javascript代码,将.php添加到允许上传的类型中

 

3.上传成功

 

方法二:绕过前端,通过burpsuit抓包,上传一张info.jpg图片,然后抓包之后,将后缀改为.php,发包上传成功

 

 

00x02 服务端对数据包的MIME进行检查

1. burpsuite类型type绕过,上传.php文件,然后拦截,将类型改为image/jpeg

,发包,上传成功

 

00x03 黑名单,禁止上传.asp|.aspx|.php|.jsp后缀文件

1.尝试通过phtml,php3,php4,php5,pht后缀名绕过

 

上传成功

 

2.第二种方法是直接上传.htaccess,实现重写文件解析,可以直接上传图片自动解析成php文件。

00x04 黑名单,.htaccess上传解析

1.过滤了很多后缀文件,但是没有过滤.htaccess文件,可以重写文件解析规则绕过,上传一个.htaccess

 

2.然后再上传一个含有phpinfo()的jpg文件,就可以解析为php文件执行

00x05 黑名单

1.还是黑名单,且加上了.htaccess,但是没有将后缀进行大小写统一,于是大小写绕过:

 

2.访问成功

 

00x06 黑名单,空绕过

1.还是黑名单,但是没有对后缀名进行去空处理,可在后缀名中加空绕过:

 

2.上传成功

 

00x07 黑名单,点绕过

1.还是黑名单,但是没有对后缀名进行去“.”处理,因此可在后缀名中加“.”绕过(php代码中少了$file_name = deldot($file_name);/删除文件名末尾的点)利用windows特性,会自动去掉最后的”.”

 

00x08 黑名单,::$DATA绕过

1.还是黑名单,但是少了这一行代码$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

因此可以在后缀名加”::$DATA”绕过(利用windows特性)。

 

上传成功

 

00x09 黑名单,配合解析漏洞

1. 这一关像是前几关的组合拳,虽然把最后的点给删掉,但是仍然可以绕过,因为这里的过滤并没有递归下去,只是一步,这样就相当于SQL注入里面用str_replace只过滤一次关键字一样

2. 可以遵循着他的步骤去实现自己的payload,可以这样设置(点+空格+点),经过处理后,文件名变成info.php.,即可绕过。

 

3.然后就可以访问info.php了。

00x10 黑名单,双后缀名绕过

1. 依旧是黑名单过滤,注意到,这里是将问题后缀名替换为空,于是可以利用双写绕过:$file_name = trim($_FILES['upload_file']['name']);

    $file_name = str_ireplace($deny_ext,"", $file_name);

 

00x11 白名单,%00截断(需要两个条件:php版本小于5.3.4;php的magic_quotes_gpc为OFF状态)

1. 另save_path等于下面的值:../upload/4.php%00

 

00x12 白名单,00截断

1. 和十一关不同的是这次的save_path是通过post传进来的,还是利用00截断,但这次需要在二进制中进行修改,因为post不会像get对%00进行自动解码。

 

 

 

00x13 白名单,图片马

从这一关开始要求上传图片马,但是没有办法直接执行图片马,需要另外的方法去实现一般是加上php伪协议去getshell,常见的有phar,zip等等

如果想要看到详细的效果可以写一下简单的脚本放在upload目录下即可,

 

<?php

       @include $_GET[file];

?>

最最最简单的图片马直接一条命令即可生成

copy normal.jpg /b + shell.php /a webshell.jpg

上传一个图片马,内容如下,可以看到里面有脚本语言

 

把该图片上传上去,尝试文件包含,成功回显

00x14 白名单,图片马

类似上一个题目,获取了图片的相关的大小及类型,并验证是否时刻上传的图片,同样可以使用文件头的方式绕过

 

$info = getimagesize($filename);

$ext = image_type_to_extension($info[2]);

 

说明info[2]是一个文件的类型,同样的方法也是可以绕过的

00x15 白名单,图片马

换了一个获取图片信息的函数

//需要开启php_exif模块

    $image_type = exif_imagetype($filename);

 

跟pass-13一样的绕过方法

00x16 白名单,图片马

这一关对后缀名和文件类型啥的都进行了很严格的控制,而且在后面还对图片进行了二次编译

//使用上传的图片生成新的图片

$im = imagecreatefromjpeg($target_path);

这一个题目跟上次校赛的题目思路一致,寻找图片被渲染后与原始图片部分对比仍然相同的数据块部分,将Webshell代码插在该部分,然后上传,下载下来后发现这一部分插入代码的没变但是其他部分都变了

 

尝试文件包含,后面怎么利用就不多说了

 

00x17条件竞争

 代码审计一波,发现有unlink() 函数,此函数是删除文件的作用,

这里先将文件保存在服务器中,再判断后缀名,若后缀名不合法则删除文件

通过条件竞争的方式在unlink之前,访问上传文件。

利用条件竞争删除文件时间差绕过。

上传一个含有phpinfo()函数的php文件试试,然后burp抓包

 

 放到inruder里面,然后清除掉所有被选则的值,因为这里不是爆破,而是让其大量重放包

 

 发送大量的包,然后start attack,之后浏览器一直刷新访问我们上传的这个php文件

 

 刷新访问成功

00x18 条件竞争2

解题思路

  • 对文件后缀名做了白名单判断,然后检查文件大小、文件是否存在等等。
  • 将文件上传后,对文件重新命名,同样存在条件竞争的漏洞。

初始文件命名规则$this->cls_upload_dir . $this->cls_filename,重命名规则$this->cls_upload_dir . $this->cls_file_rename_to,当大量文件需要被重命名时就会出现条件竞争

  • move在rename之前,move操作进行了一次文件保存, 然后rename进行了一次更改文件名。
  • 利用burp不间断地发送上传图片马的数据包,由于条件竞争,程序会出现来不及rename的问题,从而上传成功。
  • 查看配置mime.types,这里记录着可被Apache服务器所识别的文件属性:
    #application/x-7z-compressed 7z

    7z后缀并不被Apache服务器所识别,却在上传文件名后缀的白名单中,可以利用Apache的解析漏洞将上传的7z后缀文件当做php文件解析。

  • Apache的解析漏洞

    Apache服务器在解析多后缀文件名的文件时,会从后往前辨别后缀,一直辨别到可以解析的后缀。

利用burp不停发包方法同上题

浏览器一直刷新访问上传的文件名

或者上传的图片马

00x19黑名单策略,文件名用户可控

提示与查看源码

本pass的取文件名通过$_POST来获取。

名单策略,文件名用户可控,文件命名info.php.绕过

上传info.php文件,保存名称改为info.php.绕过黑名单

 

 

 

 上传成功

 

参考:https://segmentfault.com/a/1190000019450720#articleHeader77

posted @ 2019-09-12 10:59  ctrl_TT豆  阅读(2117)  评论(0编辑  收藏  举报