0


upload-labs详细教程

查看源码

由源代码可知,允许上传的文件为.jpg|.png|.gif

我们上传一个.jpg文件

利用burp suite进行抓包

将jpg改为php后,放包

上传成功。

第二关 Content-Type

查看源码

有源码可知,发现只判断Content-Type类型,所以我们只需修改Content-Type进行绕过即可

首先上传php文件,抓上传包

将箭头所指的内容改为image/jpeg或image/png或image/gif后,放包,文件即上传成功!

第三关 黑名单验证

查看源代码

由源码可知,本关不允许上传.asp,.aspx,.php,.jsp类型的文件

我们可以通过不常见的php扩展名绕过黑名单的限制

比如.phtml,.php3,.php4,.php5

第四关 黑名单验证(.htaccess绕过)

查看源码

源码可知,黑名单拒绝了所有格式的文件后缀名,除了.htaccess

所以此关通过.htaccess绕过进行上传

首先,上传一个.htaccess文件

内容为:SetHandler application/x-httpd-php

文件命名为:.htaccess

接下来,上传一个.jpg文件

内容为:<?php phpinfo(); ?>

文件命名为:0.jpg(文件名自己定义)

上传即可。

第五关 黑名单验证(.user.ini)

这一关和上一关差不多,只不过这一关加上了对.htaccess的禁止,但是没有将后缀进行大小写统一

我们用burp抓包将filename="12345.php"改为filename="12345.PHP"就可以了

第六关 空格绕过

看完提示发现和源码,可以看到上面的方法都不可行

这时候就需要普及一个知识:Win下xx.jpg空格和xx.jpg.两种文件是不被允许存在的,要是这样命名文件,windows系统会默认删除空格或者.

在这里系统默认删除的的文件中的.

所以我们用burp抓包将filename="12345.php"改为filename="12345.php "(12345.php空格)

第七关 点绕过

查看源码

分析代码,有去空格和所以黑名单,但是没有去点。

我们只需要利用burp抓包加个点即可

第八关 ::**$DATA绕过**

查看源码

分析源码可知,之前所有的点这关都有防范

NTFS文件系统包括对备用数据流的支持。这不是众所周知的功能,主要包括提供与Macintosh文件系统中的文件的兼容性。备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中,此默认数据流称为:$ DATA。

本关中的黑名单没有去处后缀名中的“::$DATA”

利用burp抓包,在文件后缀处加上::$DATA

第九关 .空格.绕过

查看提示

查看源码

上传文件名后加上点+空格+点,改为12345.php. .

第十关 双写文件名绕过

上传文件,burp抓包

将箭头处改为.phpphp

第十一关 文件路径%00截断

查看源代码

从代码中可以发现红线处,对上传的文件名进行重新拼接,使用$_GET传参
可以通过%00进行截断上传

上传.php文件

使用burpsuite抓包

在.php后增加%00.jpg,放包

第十二关 文件路径0x00截断

查看源码

上传文件123.jpg,buropsuite进行抓包

,箭头处添加/.jpg%00放包

第十三关 文件头检测

制作图片马

将图片和一句话木马放在一个文件夹下

一句话木马为: <?php @eval($_POST['attack']);?>

进行合成,命令如下

copy 1123.jpg /b + 222.txt /a 2.jpg

上传图片马

第十四关 getimagesize()检测

同十三关,这一关是用getimagesize函数来判断文件类型,但是还是可以用图片码绕过

第十五关 exif_imagetype()检测

png图片webshell上传同Pass-13。
jpg/jpeg图片webshell上传同Pass-13。

第十六关 突破二次渲染

上传图片马

使用burpsuite拦截

在图片尾部插入一句话木马,密码是123

放包

标签: php 开发语言 后端

本文转载自: https://blog.csdn.net/shayebudon/article/details/121223473
版权归原作者 shayebudon 所有, 如有侵权,请联系我们删除。

“upload-labs详细教程”的评论:

还没有评论