文件上传靶场 upload-labs搭建 Pass 1-4
upload-labs是一个练习文件上传的靶场
我们需要先安装中间件和PHP,推荐使用小皮面板,如何安装使用见sqli-labs搭建前部分
upload-labs下载:https://gitcode.net/mirrors/c0ny1/upload-labs/-/archive/master/upload-labs-master.zip
解压拷贝到WWW目录即可使用
Pass-1 javascript检测
审计源代码
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
// 获取完整为文件名
if (file == null || file == "") {
// 如果上传文件为空
alert("请选择要上传的文件!");
return false;
// 弹出 请选择上传的文件,并终止退出代码执行
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name + "|") == -1) {
// indexOf函数会查找 上传文件后缀 + | 是否存在 allow_ext 变量中,如果不存在,indexOf 返回 -1 文件上传失败
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
}
1.创建一个info.php内容为phpinfo();
上传info.php
必须使用后缀名为.jpg|.png|.gif图片才可以上传,猜测是javascript禁用,我们使用浏览器自带的javascript禁用功能
F12打开控制台,右上角的三个小点,设置,往下拉就可以看到禁用javascript
禁用后直接上传文件,上传成功
这里由于我们不是真正的图片,所以显示不出来,上传成功后,文件上传到了upload根目录下:http://192.168.84.232/upload-labs-master/upload/info.php
2.可以使用burpusite抓包更改后缀名
我们先更改文件名为图片jpg/png后缀
上传图片使用burpusite抓包,将jpg/png后缀改为php,修改后 Forward 转发即上传成功
这里已经上传成功,因为我们上传的本来就不是图片,可以访问文件测试
3.将页面保存,删除javascript内容,将action提交地址改为目标地址
首先我们 Ctrl + s保存名为Pass3.html文件,这里我们保存到root目录
修改Pass3.html将javascript内容删除,命令vim Pass3.html
找到上传区,在form标签中加入action提交地址
修改前:
修改后:
那么提交地址如何获取到呢?我们真正上传一个图片,在上传的同时浏览器控制台,网络(Network),上传得到提交地址
修改后,使用浏览器打开Pass3.htm,命令firefox Pass3.html
会看到使用的是file协议打开,直接上传我们的info.php,即可上传成功
上传成功,访问测试http://192.168.84.232/upload-labs-master/upload/info.php
Pass-2 MIME绕过
这一关是文件类型验证,验证MIME信息
源代码如下:
$is_upload = false;
// 定义 is_upload函数 为 false
$msg = null;
// 定义 msg函数 为 null
if (isset($_POST['submit'])) {
// 查询 POST 传参中 submit 是否为空
if (file_exists(UPLOAD_PATH)) {
// 检查文件上传目录是否存在
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
// 获取 上传文件名 和 上传文件类型 ,并判断 文件类型 是否为 'image/jpeg' 或者 'image/png' 或者 'image/gif'
$temp_file = $_FILES['upload_file']['tmp_name'];
// 获取文件临时上传位置
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']
// 定义文件上传位置为 ../upload/上传文件名
if (move_uploaded_file($temp_file, $img_path)) {
// 将临时文件移动到,当前目录的上一级目录中upload目录中去,文件名为上传文件名
$is_upload = true;
// 移动文件成功, is_upload = true 文件上传成功
} else {
$msg = '上传出错!';
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
}
}
使用$_FILES全局变量type属性 通过获取请求头 Content-type 判断文件类型是否为 image/jpeg、image/png或者image/gif
那么使用burpsuite抓包上传php文件将,Content-type改为图片image/jpeg即可文件上传成功。
更改后,点击Forward提交
文件上传成功,访问测试
成功执行phpinfo(),漏洞利用成功
Pass-3 黑名单不完全
查看源代码,这一关为黑名单验证
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
// 获取上传文件名,trim删除执行的字符串,在没有指定值得情况下是删除左右两边的空格
$file_name = deldot($file_name);
// 这里deldot为作者自定义的函数,删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
// 获取文件后缀名
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
// 检测后缀名是否在 deny_ext 数组中,默认存在为 Ture 这里使用 ! 进行了取反,所以找到为 False
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
// 将临时文件移动到 ../upload/当前时间 + 上传后缀名
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
验证文件后缀名如果为.asp、.aspx、.php、.jsp则无法上传,这里黑名单并不完整,可以使用.php5 .phtml .phps .php5 .pht进行绕过上传
这里我们上传一个.php5后缀的文件
上传成功,访问验证,访问文件时,名称为服务器上传文件的时间,访问
这里如果配置不当会照成下载文件或者访问空白页,在apache配置文件httpd.conf加入AddType application/x-httpd-php .php5即可
这里我在位置文件中添加了AddType application/x-httpd-php .php5了还是无法正常解析php5为php文件,访问会下载文件
可能是phpstudy的问题,我将upload-labs靶场在复制到了Centos-7中使用apache进行测试,执行成功
Pass-4 .htaccess
观察源代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
这次还是黑名单,增加了好多后缀名,但是还有漏网之鱼,例如上次的php5也禁止了
通过观察,并没有禁止.htaccess,.htaccess是apache的配置文件,apache在运行的时候会读取每个目录的的.htaccess文件对其所在目录进行配置
可以写上配置文件,让.png .jpg .jpeg当做为php文件执行
首先我们上传.htaccess文件,内容为
AddType application/x-httpd-php .png
注意,文件名必须是.htaccess
上传png文件,图片内容为<?php phpinfo();?>,执行phpinfo
上传p.png
访问p.png查看
成功执行
