upload-labs靶机学习-编程知识

第一关：

在第一关中，我们可以看到界面上让上传一个图片，在尝试上传一句话木马后，界面出现如图弹窗，可以猜测是前端界面做了检测，但是后端有没有规则并不清楚。

我们在此界面右键后查看源码可以发现检测后缀的js函数。

解决办法1.在浏览器中直接禁用js此时检测的js脚本就失效了，但是禁用js会导致正常界面变得奇怪因此在使用过后建议及时开启。

2.修改或者删除那个检测的js函数。

3.在上传时先将.php改成.jpg格式，在Burp Suite中抓包并修改后缀。

可以看到上传成功

复制图片链接地址输入phpinfo（）

第二关：

本关在尝试上传脚本文件时，界面出现提示：提示：文件类型不正确，请重新上传！

我们查看源码出现了这样一句代码：

if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif'))

这句代码的意思是：检查上传的文件类型是否为JPEG、PNG或GIF格式。如果是则继续执行上传

接下来用burp工具抓包，之后修改content-type的类型为允许上传的图片类型即可绕过

修改后可以看到php脚本上传成功。

第三关：

在上传文件后提示：

源码：

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {if (file_exists(UPLOAD_PATH)) {$deny_ext = array('.asp','.aspx','.php','.jsp');$file_name = trim($_FILES['upload_file']['name']);$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = strtolower($file_ext); //转换为小写$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext = trim($file_ext); //收尾去空if(!in_array($file_ext, $deny_ext)) {$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            if (move_uploaded_file($temp_file,$img_path)) {$is_upload = true;} else {$msg = '上传出错！';}} else {$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件！';}} else {$msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';}
}

查看源码后可以看到是黑名单过滤，可以看到过滤还是挺全面的，这时候我们可以考虑用别的可解析的php后缀绕过。

我们可以尝试用：php3、php4、php5、phtml等后缀进行绕过

可以看到成功绕过

第四关：

在本关有着比上一关更多的黑名单，过滤的更加充分了，所以一般的修改后缀的绕过一般不可行了。

我们可以考虑用.htaccess来绕过

介绍一下什么是.htaccess：主要的作用：URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。
.htaccess的用途范围主要针对当前目录。

详细内容可以参考这篇博客：文件上传漏洞之.htaccess文件解析漏洞_.htaccess 漏洞-CSDN博客

所以我们接下来创建一个.htaccess文件

SetHandler application/x-httpd-php

并将php后缀的文件修改为.Jpg格式上传上去

最后访问照片时会自动变为php格式运行。

第五关：在提示中依旧可以看到是有非常多的黑名单过滤，且过滤了htaccess，查看源码

源码：

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {if (file_exists(UPLOAD_PATH)) {$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");$file_name = trim($_FILES['upload_file']['name']);$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext = trim($file_ext); //首尾去空if (!in_array($file_ext, $deny_ext)) {$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;if (move_uploaded_file($temp_file, $img_path)) {$is_upload = true;} else {$msg = '上传出错！';}} else {$msg = '此文件类型不允许上传！';}} else {$msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';}
}

从源码中可以看出他把大小写忽略了，因为php不区分大小写，所以我们可以将后缀改为大写绕过。

第六关：

本关依旧是以上的黑名单过滤，但是此关没有了删除空格的过滤，在windows中空格在存储时会自动清除。所以我们在后缀最后加一个空格就可以绕过。

我们在上传时抓包并在文件后添加一个空格，可以看到上传成功。

第七关：

本关与第六关类似，只是此关没有了删除.的代码，在Windows中文件存储时会自动删除后缀后面的“.”，同样抓包修改后缀，可以看到上传成功

第八关：

与前两关类似，这关少了::$DATA的删除。

当php在windows环境的时候，如果文件名+ “::$DATA" 会把 "::$DATA" 之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名

所以跟前两关一样的步骤

第九关：

本关于之前几关类似，都是通过丰富的黑名单来过滤，但是我们查看源码后可以发现：

源码：

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {if (file_exists(UPLOAD_PATH)) {$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");$file_name = trim($_FILES['upload_file']['name']);$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = strtolower($file_ext); //转换为小写$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext = trim($file_ext); //首尾去空if (!in_array($file_ext, $deny_ext)) {$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH.'/'.$file_name;if (move_uploaded_file($temp_file, $img_path)) {$is_upload = true;} else {$msg = '上传出错！';}} else {$msg = '此文件类型不允许上传！';}} else {$msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';}
}

它先是将文件后的“.”依次删除后再进行下一步，但是deldot函数在遇到空格时会停住

所以我们将脚本文件后缀添加“. .”的形式绕过

同样抓包修改

第十关：

本关依旧是黑名单验证，但是在代码中存在这样一句：$file_name = str_ireplace($deny_ext,"", $file_name);他的意思是将与黑名单相同的后缀修改为空，所以我们可以考虑用双写绕过

将文件后缀修改为“.pphphp”

可以看到上传成功

第十一与十二关：

都是采用一样的原理：00截断

但是使用00截断是有要求的：

（1）php版本要小于5.3.4。

（3）在php.ini中magic_quotes_gpc需要为OFF状态。

（2）文件路径要可控。

在源码中：

源码：

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$ext_arr = array('jpg','png','gif');$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);if(in_array($file_ext,$ext_arr)){$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;} else {$msg = '上传出错！';}} else{$msg = "只允许上传.jpg|.png|.gif类型文件！";}
}

我们可以看到它是将源文件复制到新路径下的文件中，所以我们可以通过抓包自定义上传文件名称，并通过00截断控制上传路径里的文件名称及后缀，并将上传的php文件格式改为图片并将其里面的内容复制进去。

操作如下：