Upload-labs 文件上传靶场通关攻略(下)

Upload-Labs靶场攻略(下)

Pass-11

GET型传参，上传目录可设置，考虑00截断，在/upload/后添加1.php%00，即可上传

Pass-12

POST型传参，上传目录可设置，POST型会不会进行URL编码，所以在/upload/后添加1.php%00,并且将%00用URL进行编码。编码后为空白符号，即可上传

Pass-13

文件包含，上传图片码1.jpg，利用文件包含将JPG内容当作PHP进行解析

生成图片码命令

copy 1.jpg /b + 1.php /a 2.jpg
 
192.168.28.128/uploadlab/include.php?file=upload/1420210717064745.png

Pass-14

同第13关

Pass-15

同14关

Pass-16

二次渲染，依旧上传图片码，找到未被渲染的位置，用C32将一句话木马插入。依旧上传，采用文件包含即可。

Pass-17

条件竞争，服务器端将上传的文件进行先保存再判断，如果正确则重命名，否则删除。

通过爆破持续上传，然后通过访问，生成新的木马文件。

上传的木马如下：

<?php fputs(fopen('webshell.php','w'),'<?php @eval($_POST[123]) ?>’);
?>

上传后进行爆破访问，生成webshell.php即为后门文件

Pass-18

图片马加条件竞争，先上传图片马，然后通过文件包含访问图片马，生产Webshell文件

Pass-19

%00截断，方法同Pass-12

Pass-20

进行代码审计，类似CTF

MIME首先得是image/png、image/gif、image/jpg

   if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

会根据.将$file先转化为小写再打散成数组。

     $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }

会对数组中最后一个值进行判断是否是jpg,png,gif结尾

            $file_name = reset($file) . '.' . $file[count($file) - 1];

将数组的第一个值和倒数第二个值进行拼接。

所以我们考虑数组的最后一个值必须是jpg,第一个和第二个值还需要再考虑

   if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功！";
                $is_upload = true;
            }

这边可以看到将临时文件存储再img_path,所以img_path其实可以根据传入的save_name[]数组进行操控。

而move_uploaded_file在执行的时候会忽略末尾的/.，所以根据拼接

save_name[0]=web.php/

save_name[1]为空

save_name[2]=jpg

注意POST上传改包的数据包型式即可。

总结：文件上传的种类和手法：

1.前端JS验证:禁用JS，Burp抓包修改

2.只检查Content-type，修改MIME

3.黑名单绕过：爆破尾缀

4.系统配置文件重写，.htaccess,.nginx

5.大小写绕过、尾缀添加点，空格，下划线绕过，添加::$DATA

6.过滤敏感词汇使用双写绕过

7.上传目录可控可以使用00截断，GET传参不需要编码，POST需要进行编码成为空白

8.存在文件包含漏洞可上传图片马，进行包含

9.条件竞争是服务器处理上的逻辑漏洞，需要爆破上传和爆破访问

10.代码审计需要理清楚一步一步的上传逻辑