查看源码
由源代码可知,允许上传的文件为.jpg|.png|.gif
我们上传一个.jpg文件
利用burp suite进行抓包
将jpg改为php后,放包
上传成功。
第二关 Content-Type
查看源码
有源码可知,发现只判断Content-Type类型,所以我们只需修改Content-Type进行绕过即可
首先上传php文件,抓上传包
将箭头所指的内容改为image/jpeg或image/png或image/gif后,放包,文件即上传成功!
第三关 黑名单验证
查看源代码
由源码可知,本关不允许上传.asp,.aspx,.php,.jsp类型的文件
我们可以通过不常见的php扩展名绕过黑名单的限制
比如.phtml,.php3,.php4,.php5
第四关 黑名单验证(.htaccess绕过)
查看源码
源码可知,黑名单拒绝了所有格式的文件后缀名,除了.htaccess
所以此关通过.htaccess绕过进行上传
首先,上传一个.htaccess文件
内容为:SetHandler application/x-httpd-php
文件命名为:.htaccess
接下来,上传一个.jpg文件
内容为:<?php phpinfo(); ?>
文件命名为:0.jpg(文件名自己定义)
上传即可。
第五关 黑名单验证(.user.ini)
这一关和上一关差不多,只不过这一关加上了对.htaccess的禁止,但是没有将后缀进行大小写统一
我们用burp抓包将filename="12345.php"改为filename="12345.PHP"就可以了
第六关 空格绕过
看完提示发现和源码,可以看到上面的方法都不可行
这时候就需要普及一个知识:Win下xx.jpg空格和xx.jpg.两种文件是不被允许存在的,要是这样命名文件,windows系统会默认删除空格或者.
在这里系统默认删除的的文件中的.
所以我们用burp抓包将filename="12345.php"改为filename="12345.php "(12345.php空格)
第七关 点绕过
查看源码
分析代码,有去空格和所以黑名单,但是没有去点。
我们只需要利用burp抓包加个点即可
第八关 ::**$DATA绕过**
查看源码
分析源码可知,之前所有的点这关都有防范
NTFS文件系统包括对备用数据流的支持。这不是众所周知的功能,主要包括提供与Macintosh文件系统中的文件的兼容性。备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中,此默认数据流称为:$ DATA。
本关中的黑名单没有去处后缀名中的“::$DATA”
利用burp抓包,在文件后缀处加上::$DATA
第九关 .空格.绕过
查看提示
查看源码
上传文件名后加上点+空格+点,改为12345.php. .
第十关 双写文件名绕过
上传文件,burp抓包
将箭头处改为.phpphp
第十一关 文件路径%00截断
查看源代码
从代码中可以发现红线处,对上传的文件名进行重新拼接,使用$_GET传参
可以通过%00进行截断上传
上传.php文件
使用burpsuite抓包
在.php后增加%00.jpg,放包
第十二关 文件路径0x00截断
查看源码
上传文件123.jpg,buropsuite进行抓包
,箭头处添加/.jpg%00放包
第十三关 文件头检测
制作图片马
将图片和一句话木马放在一个文件夹下
一句话木马为: <?php @eval($_POST['attack']);?>
进行合成,命令如下
copy 1123.jpg /b + 222.txt /a 2.jpg
上传图片马
第十四关 getimagesize()检测
同十三关,这一关是用getimagesize函数来判断文件类型,但是还是可以用图片码绕过
第十五关 exif_imagetype()检测
png图片webshell上传同Pass-13。
jpg/jpeg图片webshell上传同Pass-13。
第十六关 突破二次渲染
上传图片马
使用burpsuite拦截
在图片尾部插入一句话木马,密码是123
放包
版权归原作者 shayebudon 所有, 如有侵权,请联系我们删除。