upload-labs-master部分关卡解析

时间 2019-12-01

标签 upload labs master 部分关卡解析繁體版

原文原文链接

注：仅供学习使用

1、第一题

第一题属于入门题php

题目要求咱们上传图片，通过实验，咱们得知合法格式为jpg、png、gif
咱们首先新建一个php文件，这里我命名为sc.php，同时打开代理，用burp suite抓包。html

发现，burp suite并无抓取到包，而且网页弹出弹窗

这样咱们能够知道其利用了js来检验上传文件的格式。这样咱们能够先将上传文件的格式改成符合要求的格式，这里我改成sc.jpg，而后再改包。windows

咱们再将filename的sc.jpg改成sc.php

而后咱们再看看网站的upload文件夹，发现sc.php已经成功上传app

源码展现jsp

function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; } //定义容许上传的文件类型 var allow_ext = ".jpg|.png|.gif"; //提取上传文件的类型 var ext_name = file.substring(file.lastIndexOf(".")); //判断上传文件类型是否容许上传 if (allow_ext.indexOf(ext_name + "|") == -1) { var errMsg = "该文件不容许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name; alert(errMsg); return false; } }

同时也能够直接修改js，用控制台修改，把要修改的function粘贴进去修改

第二题

第二题题目学习

咱们首先上传php文件，同时利用burp suite抓包，burp suite抓到了包，而后forward，网页返回错误提示。网站

这样咱们能够知道，这道题没有利用js来检测文件格式，其主要实在后台完成对文件的检测。
而后咱们能够先尝试改包，改Content-Type，原来是 application/octet-stream

改包前

而后咱们改为imge/pngui

改包后

最后发现文件成功上传。

源码spa

$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'] if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = '上传出错！'; } } else { $msg = '文件类型不正确，请从新上传！'; } } else { $msg = UPLOAD_PATH.'文件夹不存在,请手工建立！'; } }

第三题

黑名单绕过
1.文件大小名绕过 windows 后缀名不区分大小写
2.名单列表绕过
php能够用php3 phtml来代替
3.特殊文件名绕过
能够在后缀名中加上.或_，在windows中其会自动去掉
4.0x00截断
5.空格绕过
6.末尾加. (.在windows中会自动删去)代理

该题直接上传.php 发现报错

此处出现了黑名单，则咱们利用php3或phtml来代替

$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array('.asp','.aspx','.php','.jsp'); $file_name = trim($_FILES['upload_file']['name']); $file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //转换为小写 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //收尾去空 if(!in_array($file_ext, $deny_ext)) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext; if (move_uploaded_file($temp_file,$img_path)) { $is_upload = true; } else { $msg = '上传出错！'; } } else { $msg = '不容许上传.asp,.aspx,.php,.jsp后缀文件！'; } } else { $msg = UPLOAD_PATH . '文件夹不存在,请手工建立！'; } }

经过源码可知，其主要是经过切割filename来获取后缀名，从而来检查后缀名的

第四题

此题不管上传和php任何有关的格式都不行，从而咱们尝试用上传.htaccess来解决,文件内容以下

SetHandler application/x-httpd-php

这样全部文件都会被当成php文件来解析
以后即可以上传png jpg 或gif文件（包含一句话木马）

第五题

一样存在黑名单，经尝试能够用大小写来绕过

第六题

该题没有对空格过滤，则能够在.php后加一个空格来绕过