upload-labs

一个帮你总结所有类型的上传漏洞的靶场

文件上传靶机下载地址：https://github.com/c0ny1/upload-labs?

服务端检查内容 2、? ? 3、 4 、需要结合文件包含漏洞。

黑名单基本都可绕过。最不安全。

pass-01? 客户端绕过

pass-02? ?把以.php结尾的小马改为以.jpg|.png|.gif结尾，用burpsuite抓包，在把.jpg|.png|.gif改回.php即可上传成功

pass-03 ：

设置了黑名单和删除两边空格。

$deny_ext=array('.asp','.aspx','.php','.jsp');? 这里是黑名单验证 可以试下php3 php5后缀名? 但是Apache默认是不允许解析 如果运维人员修改配置文件是可以解析的

如果中间件是IIS6.0 2003服务器的话 可以利用IIS的解析漏洞绕过

直接上传名为xx.asp:.jpg的文件

pass 04：

先看源码，集合可以绕过的都设置了黑名单，删除文末的点和收尾去空

利用Windows的命名特性 ，先把马的名字改成xx.jpg抓包 改扩展名 改成xx.php:.jpg 上传。? ?Windows系统会自动去掉:.jpg? ? 上传之后变为xx.php。

但是文件是空的然后再上传一遍? ?然后将文件名改为x.<或x.<<<或x.>>>或x.>><后再次上传，重写x.php文件内容，Webshell代码就会写入原来的x.php空文件中。

pass-05：

先看源码。

分析代码，发现以.htaccess为后缀的文件已经不允许上传，但是??$file_ext =?strtolower($file_ext);?//转换为小写??这一句没有了，我们就可以使用文件名后缀大小写混合绕过，把1.php改为1.phP...来上传

黑名单后缀名：$deny_ext=array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");

先将要上传的木马改为jpg格式? ，在抓包 改为 x.phP? ?(windows操作系统不区分大小写所以可以执行）

pass-06：

先看源码：没有收尾去空。

利用Windows系统的文件名特性。文件名最后增加空格和点，写成1.php .，这个需要用burpsuite抓包修改，上传后保存在Windows系统上的文件名最后的一个.会被去掉，实际上保存的文件名就是1.php

滤代码会删除文件名后面的点但是过滤时只过滤.php? 没过滤.php点

利用Windows字体文件命名特性? 在xx.php后面加空格点? . 直接切掉 .? 只留xx.php

pass-07：
看源码：

原理同Pass-06，文件名后加点和空格

pass-08：

分析代码，少了????$file_ext =?str_ireplace(‘::$DATA‘, ‘‘,?$file_ext);//去除字符串::$DATA ???这一句，我们可以采用Windows文件流特性绕过，文件名改成

1.php::$DATA , 上传成功后保存的文件名其实是1.php

pass-09:

原理同Pass-06，上传文件名后加上点+空格+点，改为1.php. .? ? ?（点 空格? 去了 还有一个点）

pass-10：

pass-11：
白名单绕过，跟PHP版本有关。

重点：白名单绕过PHP版本要小于5.3.4? 魔术符号要关闭。

（修复建设：?php版本要小于5.3.4，5.3.4及以上已经修复该问题；magic_quotes_gpc需要为OFF状态）（有可能会上传失败，将版本改为5.3.4以下版本后，开启魔术符号，在关闭，在重启就好啦）

分析代码，这是以时间戳的方式对上传文件进行命名，使用上传路径名%00截断绕过，不过这需要对文件有足够的权限，比如说创建文件夹，上传的文件名写成1.jpg, save_path改成../upload/1.php%00(1.php%00.jpg经过url转码后会变为1.php\000.jpg)，最后保存下来的文件就是1.php

pass-12：

原理同Pass-11，上传路径0x00绕过。利用Burpsuite的Hex功能将save_path改成../upload/1.php【二进制00】形式??

.

pass-13：? （需要在看一遍）
先上传jpg，抓包改为PHP，空格? 绕过文件头检查，添加GIF图片的文件头GIF89a，绕过GIF图片检查。

或者我们使用命令copy 1.jpg /b + shell.php /awebshell.jpg，将php一句话追加到jpg图片末尾，代码不全的话，人工补充完整。形成一个包含Webshell代码的新jpg图片，然后直接上传即可。但是我们没有办法拿到shell，应为我们上传的图片马无法被解析成php形式，通常图片马配合%00或者0x00截断上传，或者配合解析漏洞

pass-14：
源码：

getimagesize()?函数用于获取图像尺寸?，索引 2 给出的是图像的类型，返回的是数字，其中1 = GIF，2 = JPG，3 = PNG，4 = SWF，5 = PSD，6 = BMP，7 = TIFF(intel byte order)，8 = TIFF(motorola byte order)，9 = JPC，10 = JP2，11 = JPX，12 = JB2，13 = SWC，14 = IFF，15 = WBMP，16 = XBM

这里有详解：https://blog.csdn.net/sanbingyutuoniao123/article/details/52166617

image_type_to_extension()?函数用于获取图片后缀

做法同上。? （很多函数都可用图片头绕过）

pass-15：

源码：

exif_imagetype()? 此函数是php内置函数，用来获取图片类型。

做法同上。用图片头绕过。

pass-16：

1、生成新的图片（相当于直接干掉图片里的木马）2、给图片重命名，这是最安全的一种方式。

? ? ? ? 原理：将一个正常显示的图片，上传到服务器。寻找图片被渲染后与原始图片部分对比仍然相同的数据块部分，将Webshell代码插在该部分，然后上传。具体实现需要自己编写Python程序，人工尝试基本是不可能构造出能绕过渲染函数的图片webshell的。

这里提供一个包含一句话webshell代码并可以绕过PHP的imagecreatefromgif函数的GIF图片示例。

php图像二次渲染：

https://blog.csdn.net/hitwangpeng/article/details/48661433

https://blog.csdn.net/hitwangpeng/article/details/46548849????

https://xz.aliyun.com/t/2657

这两个讲的还可以

（试哪个木马经过二次渲染之后还在，留下那个木马。在 上传文件夹里有可留下来的webshell木马）

pass-17：

原理（自己理解）：其实图片是有到过对方服务器的，只是以处理速度极快的方式被处理掉了，我么需要在被处理之前让他不被处理，这就是时间竞争。

官方解释：这关利用的是竞争条件，服务器先允许你上传文件，然后检测是否合法，不合法再删除，我们要利用的就是在服务器删除前，访问到我们上传的php。

举个例子：

第一步：

选择准备好的tj.php。

tj.php作用，创建一个文件，再往这个文件里写入一句话木马（代码） 。

只针对上传的文件进行检测，重新写入的文件是不会被删的。

抓包：

开始上传，抓包，发到测试器里，做如下设置：

有效载荷数设为，没有负载，生成3000有效负载

线程数设为100。

最后开始攻击。

我们可以在upload里看到，文件可以上传只是在很短的时间内被删除。

第二步：

在创建一个包，访问tj.php，在被删除之前访问到，就会重新写入一句话木马（代码），时间竞争。访问tj.php,再开一个brup suite，抓包

进行同上设置，两个测试器同时开始攻击，

，在被删除之前访问到，就会重新写入一句话木马（代码），时间竞争。

pass-18：

看源码：7z没有加入黑名单，所以讲下面文件命名为7z。

刚开始没有找到绕过方法，最后下载作者Github提供的打包环境，利用上传重命名竞争+Apache解析漏洞，成功绕过。

上传名字为1.php.7Z的文件，快速重复提交该数据包，会提示文件已经被上传，但没有被重命名。

(阿帕奇从右往左解析，当遇到不认识的扩展名就会往前解析，所以会当成php解析。）

快速提交上面的数据包，可以让文件名字不被重命名上传成功。

然后利用Apache的解析漏洞，即可获得shell

pass-19 ：同上。

pass-20：

上传1.jpg

抓包做如下更改。发送。

双文件上传，后者jpg起到一个欺骗的作用，实际上传的是前面的111.php。