Pass-01
直接上传php木马,发现前端报错
关掉JS,再次进行上传
右键获取地址
获取shell
Pass-02
在服务器端对数据包的MIME进行检查,只让Content-Type为image/jpeg | image/png | image/gif
的文件通过。由此可知,它只对Content-Type做了判断,并没有对文件进行判断,因此我们可以上传.php
文件,将Content-Type改为image/png。
Pass-03
黑名单绕过,上传php后缀文件会被拦截,但默认状态下php3、php4、php5、phtml后缀文件都会被解析为php,所以我们上传phtml后缀文件进行绕过
前提是apache的httpd.conf中有如下配置代码
AddType application/x-httpd-php .php .phtml .phps .php5 .pht
Pass-04
上传.htaccess
,修改站点的超文件解析。内容为AddType application/x-httpd-php .jpg
,这个指令代表着.jpg文件会被当做php来解析
构造.htaccess
,实现重写文件解析,同样这样的前提也是得在配置文件里面有这样的一句话
AllowOverride All
LoadModule rewrite_module modules/mod_rewrite.so
Pass-05
后缀大小写绕过,上传.PHp后缀文件
Pass-06
文件后缀空格绕过,通过burp抓包修改数据包
Pass-07
还是黑名单,但是没有对后缀名进行去.
处理,利用windows特性,会自动去掉后缀名中最后的.
,可在后缀名中加.
绕过
Pass-08
Windows系统下,如果上传的文件名中test.php::$DATA
会在服务器上生成一个test.php的文件,其中内容和所上传文件内容相同,并被解析
::$DATA
(Windows文件流绕过),上传php文件,把文件名后缀改.php::$DATA
Pass-09
构造复杂后缀名来绕过
Pass-10
双写文件名后缀绕过
Pass-11
0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。
上传文件保存路径可以控制,使用%00截断字符串来控制文件名
截断条件:php版本小于5.3.4,php的magic_quotes_gpc为OFF状态
Pass-12
和十一关不同的是这次的save_path
是通过POST传进来的,还是利用00截断,但这次需要在二进制中进行修改,因为POST不会像GET对%00进行自动解码
因为程序中检测的是文件的后缀名,如果后缀合法则拼接路径和文件名。那么,攻击者修改了path以后的拼接结为:upload/shell.php%00/shell.jpg
,移动文件的时候会将文件保存为:upload/shell.php
,从而达到Getshell效果。
Pass-13
图片马绕过
将图片上传,直接访问图片并不能把图片当做PHP解析,因此还需要利用文件包含漏洞
Pass-14
同上
Pass-15
同上
Pass-16
这里进行了二次渲染,不过二次渲染会保留一些文件内容不会改变,所以在制作图片马之前,我们先观察二次渲染前后图片不会改变的地方,将其代码写入其中即可绕过二次渲染
最后,进行二次渲染的时候最好用gif文件,因为gif文件在渲染前后有大部分的没有变化,容易找到前后没有变化的部分,png的二次渲染的绕过并不能像gif那样简单
Pass-17
$temp_file = $_FILES['upload_file']['tmp_name'];//存储在服务器的文件的临时副本的名称
当我们上传webshell文件时,不会先限制php类型文件上传,先利用上面的语句把上传的文件临时存放。再执行下面的if语句进行文件类型的限制和文件名的时间戳。然后执行if(move_uploaded_file($temp_file, $upload_file))//移动到新文件夹
绕过思路是利用代码执行过程有耗费时间的过程,临时webshell文件保存的极短时间,去访问webshell,获取一些信息
Pass-18
本关对文件后缀名做了白名单判断,然后会一步一步检查文件大小、文件是否存在等等,将文件上传后,对文件重新命名,同样存在条件竞争的漏洞,可以不断利用burp发送上传图片马的数据包,由于条件竞争,程序会出现来不及rename的问题,从而上传成功
Pass-19
存在00截断,上传图片马,通过保存的文件名做00截断
Pass-20
数组绕过
标签:文件,后缀,upload,笔记,labs,Pass,绕过,php,上传 From: https://www.cnblogs.com/NoCirc1e/p/18165980