前记:
在这里面我们使用一句话木马时使用php里的一个函数phpinfo(),该函数能显示出网页具体的php版本和有关的信息。
pass-01(js前端验证)
方法1:禁用js/删除js验证
1.禁用js
按f12,在“调试器”右端的设置中,禁用js,上传成功后右键图片,在新页面中打开图片即可
2.删除js
把网页源码中的return checkFile删除后上传打开即可。(和删除代码是一样的)
方法2:bp抓包改文件后缀
上传一个允许上传类型的文件,bp抓包以后,修改后缀回.php即可
方法3:删除代码
将选中部分的源码删除掉,再上传即可,如果找不到路径,可在f12的“网络”模块中找到
pass-02(MIME验证)
方法1:修改文件类型
上传一个php文件,bp抓包后修改Content-Type为image/jpeg(常用)、image/png、image/gif,另外两个是源码中承认的
方法2:上传合法文件和改后缀
上传一个合法的文件,例如jpg,bp抓包后再把文件的后缀改回来即可(可能需要多次放包,直至出现上传成功的框)
pass-03(黑名单验证,特殊文件类型)
查看源码后发现禁止上传.asp|.aspx|.php|.jsp,修改文件后缀为php1,php2,php3,php4.php5,phtmI, pht上传即可
注意:phpstudy_pro在此上传成功后不能正确显示,如果要正确显示,需要回溯2018版本,选择php版本不带nts的,如果是其他的可以尝试修改httpd.conf配置文件,Pro版本不知道改了能不能,可以试一下
pass-04(.htaccess)
这个和ctfhub上的那个一样,在源码中许多后缀都被禁用了,我们这里使用.htaccess是因为在我们上传了一个.htaccess文件后再上传一个某类型的文件,后面上传的文件就可以变成php解析过的,详情请搜索“分布式配置文件”或者“.htaccess”。所以我们再上传了.htaccess后就再上传一个.jpg再访问就行了
.htaccess文件内容有以下几种(常见)
AddHandler php5-script .png //使用 php5-script 处理器来解析所匹配到的文件
AddType application/x-httpd-php .png //将特定扩展名文件(这里是.png)映射为php文件类型
SetHandler application/x-httpd-php //将该目录及子目录的所有文件均映射为php文件类型
pass-05(黑名单验证,.user.ini)
.user.ini是php的一种配置文件,相当于一个用户自定义的php.ini,它可以在(你在语句中定义的那个)php文件执行之前将其包含,然后获取shell,细节去搜索,展开讲有点多。
上传目录存在php文件(readme.php),再先上传.user.ini后,修改php.ini配置文件,上传后面的图片码,最后访问这个(readme.php)或者图片码文件的路径即可
auto_prepend_file=文件名
auto_append_file=文件名
修改如下
pass-06(大小写绕过黑名单)
查看源码,发现大小写绕过这种方式没有被禁止,我们就可以利用,上传文件后缀为Php这类
pass-07(收尾去空)
查看源码和上面的相比,收尾去空这一项没有了,我们可以利用bp抓包后在后缀后添加空格,就可以上传成功。
pass-08(字符绕过)
查看源码,与前面的相比,没有了删除文件名后的点那项,我们在bp抓包以后可以再文件后缀后加一个.这样的字符就可以绕过了
pass-09(::$DATA绕过黑名单)
还是看源代码,与之前的相比,没有了去除字符串那项,用::$DATA绕过
pass-10(点空格点绕过黑名单)
查看源码:deldot()函数从后向前检测,当检测到末尾的第一个点时会继续它的检测,但是遇到空格会停下来,因此我们在文件后缀后加“. .”后上传即可。
pass-11(双鞋绕过)
str_ireplace()函数:此函数无视大小写, 如果文件名含有黑名单里面的字符串就替换为空,而且只替换一次,它从左往右读,所以替换为空后还是php,可以双写为pphphp,phphpp
pass-12(%00截断-get型)
源码中有一个很重要的点,上面的 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;这行代码规定了组成上传路径的方法,这里就是我们要操作的地方。
注意:因为这个是自己搭的网站,而且是比较老的了,所以要修改一些配置
在php.ini中修改magic_quotes_gpc=On为magic_quotes_gpc=Off
还有php的版本需要修改或者说版本号要<5.3.29,在phpstudy2018中点击切换版本,将其改为php-5.2.17+Apache;注意:前文说过我们不选后面带nts的版本,我们访问上传页面时会出错。
上传php文件后,在开始save-path那行,把上传的方式改为get,然后在upload后加上文件名和%00,下面的filename=的后缀改为.jpg,再上传,用蚁剑连接即可
pass-13(%00截断-post型)
和第12题一样,上传php文件后,在开始save-path那行,把上传的方式改为post,然后在upload后加上文件名和%00,将filename=后面的后缀改为.jpg,再上传,用蚁剑连接即可
小结
1.重回php解析
pass-04,05这两个关卡都是用php的配置文件将我们修改过后缀的php一句话木马重新变为php解析
2.函数
pass-06:strtolower() 函数把字符串转换为小写
pass_07:trim()去除空格
pass-08:deldot()过滤文件名末尾的点,
当检测到末尾的第一个点时会继续它的检测,但是遇到空格会停下来
pass-09: ::$DATA之后的数据会被当成文件流处理,不会检测后缀名,且保持"::$DATA"之前的文件名 他的目的就是不检查后缀名。
pass-11:str_ireplace()函数寻找文件名中存在的黑名单字符串,将它替换成空(即将它删掉)
3.window文件名规则
pass-07/08/09都利用了window的文件名规则,文件名后的空格和点会被删除,我们在文件名上直接修改是行不通的,因此,我们必须抓包来修改
4.%00截断
这是一个大类,00截断是操作系统的漏洞,因为windows系统是用c语言或汇编语言写的,他们都是以\0即0x00结尾的,这样就可以截断字符串,因此,我们也可以用来绕过web的软waf白名单限制。
5.为什么
为什么我们要用phpinfo和文件上传,我们其实是通过上传文件时web的漏洞上传木马来进入内部,从而获得我们想要的信息。包括一系列的绕过,其实我们的最终目的就是成功的文件上传,然后进去内部。phpinfo可以显示php版本和配置信息,更方便我们入侵,也会有web的路径,这些都是很有帮助的。