upload-labs通关手册

1.1.png

文件上传靶场,搭建了很长时间了,一直没做,刚好最近闲来无事。学习一下

靶场环境

因为环境的不同导致上传的绕过方法也会不同,在这里说明我搭建的环境信息:操作系统为windows,使用的phpstudy的集成环境,php版本为5.2.17,因为1有些题目涉及到00截断上传。apache配置文件没有修改过,是默认的配置文件

闯关笔记

Pass-01

  1. 直接观察源代码,发现不允许上传.php类型文件

    1
    2
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
  2. 可以直接抓包就可以绕过上传
    1.1.png

  3. 查看
    1.2.png

    Pass-02

  4. 查看源码

    1
    2
    3
    4
    5
    6
    7
    8
    9
    if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
    if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']
    if (move_uploaded_file($temp_file, $img_path)) {
    $is_upload = true;
    } else {
    $msg = '上传出错!';
  5. Content-Type绕过,直接把Content-Type改为图片类型即可
    2.1.png

  6. 上传成功,截图不在赘述

    Pass-03

  7. 这一关是另类的文件名的绕过,可以尝试phtml,php3,php4, php5, pht后缀名都可以绕过,但是前提是要在配置文件里面有这样的一句话

    1
    AddType application/x-httpd-php .php .phtml .phps .php5 .pht

3.1.png

  1. 源码黑名单
    1
    $deny_ext = array('.asp','.aspx','.php','.jsp');

Pass-04

1.看一下他过滤的名单,上面的方法已经不行了

1
$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
  1. 但是.htaccess还是没有过滤,可以重写文件解析规则绕过,上传一个.htaccess,文件内容如下,就是在upload目录下匹配gg.jpg的文件并以php文件执行
    1
    2
    3
    "gg.jpg">
    SetHandler application/x-httpd-php

4.1.png

  1. 然后再上传一个名字为gg.jpg的脚本
    4.2.png
  2. 访问,成功上传

    Pass-05

  3. 这一题里面多过滤了.htaccess,如何绕过呢?
  4. 对比代码发现去掉了转换为小写,部分代码
1
$file_ext = strtolower($file_ext); //转换为小写
  1. 文件后缀大小写混合过滤
    5.1.png

    Pass-06

  2. 这一关比第五关少了这样的一句代码

1
$file_ext = trim($file_ext); //首尾去空
  1. 后缀名+空格的形式去绕过
    6.1.png

    Pass-07

  2. 对比第6题的代码可以发现少了下面一句代码

1
2
 $file_name = deldot($file_name);//删除文件名末尾的点
1
  1. 既然没有对文件最后的点做过滤,可以尝试以后缀名加上点的形式去绕过
    7.1.png

Pass-08

  1. 这一题的代码比上一次少了下面这一段代码
1
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
  1. 文件后缀 + ::$DATA 绕过
    8.1.png

Pass-09

  1. 这一关像是前几关的组合拳
1
2
3
4
5
6
7
8
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
  1. 可以遵循着他的步骤去实现自己的payload,可以这样设置
    1
    09.phP. .

9.1.png

Pass-10

  1. 关键过滤的代码就这两句
1
2
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);
  1. 双写绕过
    10.1.png

    Pass-11

  2. 关键的代码在于这里的’save_path’是一个可控的变量,但是后面还拼接上一个后缀名,也需要绕过
1
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
  1. 这个时候可以使用%00截断,但这东西有点过气了,因为需要两个条件
1
2
php版本小于5.3.4
php的magic_quotes_gpc为OFF状态
  1. 如果要完成这一个题目就必须要实现上面的两个条件,但是现在都PHP7了,这东西也就很少见了,满足上面的条件的时候php就是把它当成结束符,后面的数据直接忽略,这也导致了很多的问题,文件包含也可以利用这一点

  2. 所以如果要绕过,我们可以这样去实现,另save_path等于../upload/11.php%00

11.1.png

Pass-12

  1. 这里的源代码就改了一点点,就是把get改为post类型,一样的方式绕过,只不过这里需要在二进制里面修改%00,因为post不会像get对%00进行自动解码。
1
$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

12.1.png

Pass-13

  1. 这里可以发现源代码只是用了unpack这一个函数去实现对于php前两个字节的检测,也就是只是对文件头做检测。。。
1
2
3
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("C2chars", $bin);
  1. 直接上传 在bp中构造 shell
    13.1.png
  2. 把该图片上传上去,尝试文件包含,成功回显
    1
    http://192.168.3.8/bachang/shangchuan/include.php?file=./upload/9920190725190903.gif

Pass-14

  1. 用了getimagesize函数来对文件类型做判断
    14.1.png

    Pass-15

  2. 同理

    Pass-16

  3. 具体针对二次渲染的上传绕过可以看这篇文章upload-labs之pass 16详细分析,我试了下gif文件的绕过

  4. 先上传一个gif文件,修改没有二次渲染后没有变动的地方。插入shell
    16.1.png

  5. 利用文件包含成功执行php语句
    16.2.png

    Pass-17和18

  6. 条件竞争上传

    Less-19

  7. 这一关正常做法应该是CVE-2015-2348 move_uploaded_file()00截断,上传webshell,同时自定义保存名称,上传的文件名用0x00绕过。改成xx.php【二进制00】jpg

  8. move_uploaded_file()函数中的_img_path_是由post参数save_name控制的,因此可以在save_name利用00截断绕过
    19.1.png

    Pass-20

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    $is_upload = false;
    $msg = null;
    if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
    $msg = "禁止上传该类型文件!";
    }else{
    //检查文件名
    $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
    if (!is_array($file)) {
    $file = explode('.', strtolower($file));
    }

    $ext = end($file);
    $allow_suffix = array('jpg','png','gif');
    if (!in_array($ext, $allow_suffix)) {
    $msg = "禁止上传该后缀文件!";
    }else{
    $file_name = reset($file) . '.' . $file[count($file) - 1];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $img_path = UPLOAD_PATH . '/' .$file_name;
    if (move_uploaded_file($temp_file, $img_path)) {
    $msg = "文件上传成功!";
    $is_upload = true;
    } else {
    $msg = "文件上传失败!";
    }
    }
    }
    }else{
    $msg = "请选择要上传的文件!";
    }

首先end函数取所post参数数组中的最后一个值,_$file_name = reset($file) . '.' . $file[count($file) - 1]_我们可以post一个参数名为一个[0]一个[2],然后$file[count($file) - 1]就为空,$file_name最终就为reset($file)即$file[0],就可以绕过判断
20.1.png

0%