文件上传upload-labs

相关函数

• move_upload_file(file,newloc)、

file：要移动的文件

newloc：规定文件的位置

将上传的文件移动到新位置

通过HTTP POST 上传文件

如果目标文件已存在，则会被覆盖

• unlike(file)

删除文件

• in_array(search,array)

search：规定在数组中搜索的值

array：数组

搜索数组中是否存在指定的值

• pathinfo

以数组形式返回文件路径信息，可以提取后缀，但存在绕过风险

explode()

• 将字符串打散成数组

reset(array)

• 返回数组中第一个元素并输出

empty()

• 检查变量是否为空

count(array)

• 返回数组中元素的数目

Pass-01(前端JS绕过/客户端校验绕过)

Tips：
查看网页源代码是否有限制的js代码，点击上传后直接弹框提示，但是没有发送数据包，即用了客户端认证方法

方法：

删掉前端jscheck函数

开启火狐插件过滤前端上传

bp修改文件后缀上传

Pass-02(MIME绕过)

bp抓包修改MIME类型

• 源码分析

服务器对文件的扩展进行了判断

Pass-03(黑名单绕过)

查看源码黑名单

服务器需对绕过的文件进行解析，其apache配置文件httpd.conf中有如下配置（这里为了演示手动添加！）

重启服务

修改后缀phtml上传成功

Pass-04(黑名单绕过 .htaccess攻击)

黑名单限制大部分后缀文件

由于上传的文件名未经过处理，这里使用.htaccess文件攻击

Tips：
.htaccess：apache服务器配置文件，负责相关网页针对目录下的配置，即在一个特定目录下放置一个包含指令的文件，其中的指令作用于此目录及其所有子目录。

先上传.htaccess文件

SetHandler application/x-httpd-php

在上传木马bp修改后缀名png上传成功解析

Pass-05(黑名单绕过 大小写文件名混淆)

与上一关相比，将.htaccess添加到黑名单里,并且没有大小写转换

抓包修改成大写

Pass-06(黑名单绕过 后缀双写逻辑绕过)

较上关多了转换小写

利用双写点与空格绕过

Pass-07（黑名单绕过 填点绕过）

源码

抓包

Tips：
利用windows下文件后添加的.会自动忽略

Pass-08（黑名单绕过 Win文件流特性绕过）

看源码

Tips：
采用windows流特性绕过，在这里意思是php运行在windows上+"::DATA"会把::DATA之后的数据当作文件流处理，不会检测后缀名，且保持"::$DATA"之前的文件名，目的即使不检查后缀名

上传php文件，修改文件后缀添加::$DATA

Pass-09（黑名单绕过 点空格点代码逻辑绕过）

看代码，黑名单严格，删除文件名末尾点，大小写转换，去除字符串，首尾去空

绕过方法：

Tips：
代码逻辑绕过（这里代码逻辑先删除文件名末尾点，再首尾去空都只进行一次，因此可构造点空格绕过，利用windows特性）

抓包修改

Tips：
目标服务器是windows皆可用此方法绕过

Pass-10（黑名单绕过 双写绕过）

上传，正常，文件被切掉后缀

查看源码

绕过方法：

str_ireplace()函数不区分大小写，因此不适用大小写，使用双写文件名绕过

Pass-11（白名单绕过 00截断GET型绕过）

看源码

构造文件存储路径使用get传入，导致服务器最终存储文件名可控

绕过方法：使用00截断绕过

条件：

php版本<5.3.4
php.ini的magic_quotes_gpc为OFF
所以我们要设置下小皮

php扩展及设置---参数开关设置---把magic_quotes_gpc关闭

版本切换成5.3.29

Pass-12（白名单绕过 00截断POST型绕过）

post差别是post不会自行解码，我们需要对%00编码，

Pass-13（图片马+文件包含绕过）

制作图片马

test.php内容

<?php @eval($_POST[1]); phpinfo();?>

不在桌面cmd使用copy都不会报错

使用010查看