upload-labs-master部分關卡解析

注：僅供學習使用

一、第一題

第一題屬於入門題

 

題目要求我們上傳圖片，經過實驗，我們得知合法格式為jpg、png、gif
我們首先新建一個php文件，這里我命名為sc.php，同時打開代理，用burp suite抓包。

 

發現，burp suite並沒有抓取到包，並且網頁彈出彈窗

 

這樣我們可以知道其利用了js來檢驗上傳文件的格式。這樣我們可以先將上傳文件的格式改為符合要求的格式，這里我改為sc.jpg，然后再改包。

 

我們再將filename的sc.jpg改為sc.php

 

然后我們再看看網站的upload文件夾，發現sc.php已經成功上傳

 

源碼展示

function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("請選擇要上傳的文件!"); return false; } //定義允許上傳的文件類型 var allow_ext = ".jpg|.png|.gif"; //提取上傳文件的類型 var ext_name = file.substring(file.lastIndexOf(".")); //判斷上傳文件類型是否允許上傳 if (allow_ext.indexOf(ext_name + "|") == -1) { var errMsg = "該文件不允許上傳，請上傳" + allow_ext + "類型的文件,當前文件類型為：" + ext_name; alert(errMsg); return false; } } 

同時也可以直接修改js，用控制台修改，把要修改的function粘貼進去修改

 

 

第二題

第二題題目

 

我們首先上傳php文件，同時利用burp suite抓包，burp suite抓到了包，然后forward，網頁返回錯誤提示。

 

這樣我們可以知道，這道題沒有利用js來檢測文件格式，其主要實在后台完成對文件的檢測。
然后我們可以先嘗試改包，改Content-Type，原來是 application/octet-stream

改包前

然后我們改成imge/png

改包后

最后發現文件成功上傳。

源碼

$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'] if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = '上傳出錯！'; } } else { $msg = '文件類型不正確，請重新上傳！'; } } else { $msg = UPLOAD_PATH.'文件夾不存在,請手工創建！'; } } 

第三題

黑名單繞過
1.文件大小名繞過 windows 后綴名不區分大小寫
2.名單列表繞過
php可以用php3 phtml來代替
3.特殊文件名繞過
可以在后綴名中加上.或_，在windows中其會自動去掉
4.0x00截斷
5.空格繞過
6.末尾加. (.在windows中會自動刪去)

該題直接上傳.php 發現報錯

 

此處出現了黑名單，則我們利用php3或phtml來代替

$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array('.asp','.aspx','.php','.jsp'); $file_name = trim($_FILES['upload_file']['name']); $file_name = deldot($file_name);//刪除文件名末尾的點 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //轉換為小寫 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //收尾去空 if(!in_array($file_ext, $deny_ext)) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext; if (move_uploaded_file($temp_file,$img_path)) { $is_upload = true; } else { $msg = '上傳出錯！'; } } else { $msg = '不允許上傳.asp,.aspx,.php,.jsp后綴文件！'; } } else { $msg = UPLOAD_PATH . '文件夾不存在,請手工創建！'; } } 

通過源碼可知，其主要是通過切割filename來獲取后綴名，從而來檢查后綴名的

第四題

此題無論上傳和php任何有關的格式都不行，從而我們嘗試用上傳.htaccess來解決,文件內容如下

SetHandler application/x-httpd-php

這樣所有文件都會被當成php文件來解析
之后便可以上傳png jpg 或gif文件（包含一句話木馬）

第五題

同樣存在黑名單，經嘗試可以用大小寫來繞過

第六題

該題沒有對空格過濾，則可以在.php后加一個空格來繞過