upload-labs-master部分關卡解析

注：僅供學習使用

1、第一題

第一題屬於入門題

 

題目要求咱們上傳圖片，通過實驗，咱們得知合法格式爲jpg、png、gif
咱們首先新建一個php文件，這裏我命名爲sc.php，同時打開代理，用burp suite抓包。

 

發現，burp suite並無抓取到包，而且網頁彈出彈窗

 

這樣咱們能夠知道其利用了js來檢驗上傳文件的格式。這樣咱們能夠先將上傳文件的格式改成符合要求的格式，這裏我改成sc.jpg，而後再改包。

 

咱們再將filename的sc.jpg改成sc.php

 

而後咱們再看看網站的upload文件夾，發現sc.php已經成功上傳

 

源碼展現

function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("請選擇要上傳的文件!"); return false; } //定義容許上傳的文件類型 var allow_ext = ".jpg|.png|.gif"; //提取上傳文件的類型 var ext_name = file.substring(file.lastIndexOf(".")); //判斷上傳文件類型是否容許上傳 if (allow_ext.indexOf(ext_name + "|") == -1) { var errMsg = "該文件不容許上傳，請上傳" + allow_ext + "類型的文件,當前文件類型爲：" + ext_name; alert(errMsg); return false; } } 

同時也能夠直接修改js，用控制檯修改，把要修改的function粘貼進去修改

 

 

第二題

第二題題目

 

咱們首先上傳php文件，同時利用burp suite抓包，burp suite抓到了包，而後forward，網頁返回錯誤提示。

 

這樣咱們能夠知道，這道題沒有利用js來檢測文件格式，其主要實在後臺完成對文件的檢測。
而後咱們能夠先嚐試改包，改Content-Type，原來是 application/octet-stream

改包前

而後咱們改爲imge/png

改包後

最後發現文件成功上傳。

源碼

$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'] if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = '上傳出錯！'; } } else { $msg = '文件類型不正確，請從新上傳！'; } } else { $msg = UPLOAD_PATH.'文件夾不存在,請手工建立！'; } } 

第三題

黑名單繞過
1.文件大小名繞過 windows 後綴名不區分大小寫
2.名單列表繞過
php能夠用php3 phtml來代替
3.特殊文件名繞過
能夠在後綴名中加上.或_，在windows中其會自動去掉
4.0x00截斷
5.空格繞過
6.末尾加. (.在windows中會自動刪去)

該題直接上傳.php 發現報錯

 

此處出現了黑名單，則咱們利用php3或phtml來代替

$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array('.asp','.aspx','.php','.jsp'); $file_name = trim($_FILES['upload_file']['name']); $file_name = deldot($file_name);//刪除文件名末尾的點 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //轉換爲小寫 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //收尾去空 if(!in_array($file_ext, $deny_ext)) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext; if (move_uploaded_file($temp_file,$img_path)) { $is_upload = true; } else { $msg = '上傳出錯！'; } } else { $msg = '不容許上傳.asp,.aspx,.php,.jsp後綴文件！'; } } else { $msg = UPLOAD_PATH . '文件夾不存在,請手工建立！'; } } 

經過源碼可知，其主要是經過切割filename來獲取後綴名，從而來檢查後綴名的

第四題

此題不管上傳和php任何有關的格式都不行，從而咱們嘗試用上傳.htaccess來解決,文件內容以下

SetHandler application/x-httpd-php

這樣全部文件都會被當成php文件來解析
以後即可以上傳png jpg 或gif文件（包含一句話木馬）

第五題

一樣存在黑名單，經嘗試能夠用大小寫來繞過

第六題

該題沒有對空格過濾，則能夠在.php後加一個空格來繞過