upload-labs通关学习笔记

upload–labs学习笔记

pass-01

该关卡是通过前端JS校验文件后缀名实现过滤，可以使用burp抓包改名绕过。
将php文件改为.jpg后缀名文件，上传后使用burp修改后缀名。
成功上传，复制图片地址即可执行

pass-02

该关卡是在服务端对文件的MIME进行检查，首先上传图片查看MIME

上传php文件

绕过方式，使用burp抓包后修改content-type

pass-03

该关卡使用黑名单限制了asp，php，aspx，jsp文件的上传
绕过方法：使用不同的php版本后缀名，比如php3，php5，就可以正常上传，不过服务器默认不会解析这种后缀名的文件
过滤代码：

$deny_ext = array('.asp','.aspx','.php','.jsp');$file_name = trim($_FILES['upload_file']['name']);$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = strtolower($file_ext); //转换为小写$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext = trim($file_ext); //收尾去空

pass-04

该关卡是利用Apache中间件解析漏洞，该关卡对文件后缀名做了严格控制，但是没有限制.htaccess文件
.htaccess文件(或者"分布式配置文件"）,全称是Hypertext Access(超文本入口)。是Apache服务器中的一个配置文件，提供了针对目录改变配置的方法，即，在一个特定的文档目录中放置一个包含一个或多个指令的文件，以作用于此目录及其所有子目录。
在该文件中写入：

SetHandler application/x-httpd-php

作用为将符合php语法的文件全部当成php文件解析
我们可以首先上传该文件，再上传.jpg文件
.jpg文件被当成php解析

pass-05

该关卡将htaccess也加入到了黑名单，通过源码：

  $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");$file_name = trim($_FILES['upload_file']['name']);$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext = trim($file_ext); //首尾去空

并没有进行大小写控制，我们可以通过大小写混合来进行绕过，上传后
http://172.20.10.4:8080/upload/202104081202253557.pHP
不过linux环境下对大小写控制严格，.pHP文件不会被执行，如果在windows环境下将会被执行

//判断哪些文件后缀名可以上传的方法，可以使用burp进行暴力破解测试

pass-06

在windows环境下，当文件后缀名后出现空格时，系统会自动删除空格，这时我们可以正常使用我们上传的php文件，该关卡在对文件后缀名的过滤中，没有过滤php+空格的情况，我们可以使用burp抓包后添加一个空格进行绕过

不过同样linux环境下，这种文件后缀无法被执行
过滤代码：

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");$file_name = $_FILES['upload_file']['name'];$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = strtolower($file_ext); //转换为小写$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

pass-07

在windows环境下，当文件后缀名后出现 . 时，系统会自动删除 . ，这时我们可以正常使用我们上传的php文件，该关卡在对文件后缀名的过滤中，没有过滤php+ . 的情况，我们可以使用burp抓包后添加一个 . 进行绕过

该情况在linux环境下也不能执行php文件，

pass-08

使用 ::$data 进行绕过，::$data是NTFS文件系统中存储数据流的默认形式，在windows中，访问phpinfo.php::$data,实际上就是访问phpinfo.php

linux环境无效
过滤代码：

    $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");$file_name = trim($_FILES['upload_file']['name']);$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = strtolower($file_ext); //转换为小写$file_ext = trim($file_ext); //首尾去空

pass-09

该关卡对文件后缀 . 过滤不严格，我们可以通过 .空格.的形式进行绕过

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");$file_name = trim($_FILES['upload_file']['name']);$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = strtolower($file_ext); //转换为小写$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext = trim($file_ext); //首尾去空

pass-10

该关卡对黑名单中的文件后缀名做置空，但是置空只有一次，我们可以通过双写文件后缀进行绕过

源码：

$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");$file_name = trim($_FILES['upload_file']['name']);$file_name = str_ireplace($deny_ext,"", $file_name);$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH.'/'.$file_name;

pass-11

该关卡利用php版本5.3.4以下的00截断漏洞，因为提示上传路径可控，我们可以利用burp抓包后修改文件保存路径

原本保存路径为…/upload，手动修改为…/upload/phpinfo.php%00后，上传的图片最终的保存格式为…/upload/phpinfo.php%00phpinfo.jpg,当文件系统读到%00时，会认为文件已经结束，并将phpinfo.jpg的内容写到phpinfo.php中，这时我们就可以正常访问phpinfo.php

漏洞利用条件
1.php版本小于5.3.4
2.php的magic\_quotes\_gpc为OFF状态

pass-12

该关卡与前一关类似，采用00截断漏洞，只是改为POST提交，这时需要将%00进行URL编码，

漏洞利用条件
1.php版本小于5.3.4
2.php的magic\_quotes\_gpc为OFF状态

为何POST型需要进行URL编码：

这是因为 %00 截断在 GET 中被 url 解码之后是空字符。
但是在 POST 中 %00 不会被 url 解码，
所以只能通过 burpsuite 修改 hex 值为 00 （URL decode）进行截断。

pass-13

该关卡提示会对文件头两位字节进行检查，只能上传.jpg .png .gif 三种文件后缀名的图片马

绕过方法一：

使用二进制编辑器，将恶意代码插入到正常图片尾部，
使用工具：010Editor

上传后，利用文件包含漏洞访问该图片

方法二：

修改恶意文件后缀名，加特定文件头常见图片文件头
JPEG (jpg)，文件头：FFD8FFPNG (png)，文件头：89504E47GIF (gif)，文件头：47494638

将phpinfo.php后缀改成.gif ，并且在文件顶部加入GIF89a，这时该文件的文件头变成

上传该文件可也绕过

关键代码：

function getReailFileType($filename){$file = fopen($filename, "rb");$bin = fread($file, 2); //只读2字节fclose($file);$strInfo = @unpack("C2chars", $bin);    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    $fileType = '';    switch($typeCode){      case 255216:            $fileType = 'jpg';break;case 13780:            $fileType = 'png';break;        case 7173:            $fileType = 'gif';break;default:            $fileType = 'unknown';}    return $fileType;
}

pass-14

该关卡使用getimagesize()函数对图片进行检查，该函数可以获取图片的大小,文件格式
绕过方法：

方法一.
windows下使用cmd    copy /b 正常图片.png + muma.php muma.png
生成图片马

phpinfo.php中的内容被写入到图片

方法二
使用一张正常的图片，在图片末尾插入恶意代码方法三
修改php文件后缀名，在文件首部插入特定文件头

源码：

function isImage($filename){$types = '.jpeg|.png|.gif';if(file_exists($filename)){$info = getimagesize($filename);$ext = image_type_to_extension($info[2]);if(stripos($types,$ext)){return $ext;}else{return false;}}else{return false;}
}

pass-15

该关卡使用exif_imagetype()函数对图片进行检查
exif_imagetype()函数读取图像第一个字节并检查签名，如果发现了恰当的签名则返回一个对应的常量，否则返回 false。返回值和 getimagesize() 返回的数组中的索引 2 的值是一样的，但本函数快得多。

定义有以下常量，并代表了 exif_imagetype() 可能的返回值：

绕过方法与pass-14一致
源码：

function isImage($filename){//需要开启php_exif模块$image_type = exif_imagetype($filename);switch ($image_type) {case IMAGETYPE_GIF:return "gif";break;case IMAGETYPE_JPEG:return "jpg";break;case IMAGETYPE_PNG:return "png";break;    default:return false;break;}
}

pass-16

该关卡提示图片被上传后会被二次渲染，因此当我们上传普通的图片马时，图片末恶意语句会被更改，因此需要做到二次渲染后恶意语句依然存在，才可以绕过此操作

方法一
先上传一张gif图片，图片被二次渲染后，保存到本地，
使用二进制工具比对两张图片，找出没有被更改的字节位置，
然后将恶意代码插入此位置

方法二
使用该代码pass16.php生成能过二次渲染的png图片
<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,0x66, 0x44, 0x50, 0x33);$img = imagecreatetruecolor(32, 32);for ($y = 0; $y < sizeof($p); $y += 3) {$r = $p[$y];$g = $p[$y+1];$b = $p[$y+2];$color = imagecolorallocate($img, $r, $g, $b);imagesetpixel($img, round($y / 3), 0, $color);
}imagepng($img,'./1.png');//生成新图片
?>使用命令 php pass16.php 正常图片,png

pass-17

本关卡利用条件竞争漏洞
条件竞争漏洞（Race condition）官方概念是“发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。

$is_upload = false;
$msg = null;if(isset($_POST['submit'])){$ext_arr = array('jpg','png','gif');$file_name = $_FILES['upload_file']['name'];$temp_file = $_FILES['upload_file']['tmp_name'];$file_ext = substr($file_name,strrpos($file_name,".")+1);$upload_file = UPLOAD_PATH . '/' . $file_name;if(move_uploaded_file($temp_file, $upload_file)){//将文件移动到新位置if(in_array($file_ext,$ext_arr)){//对文件名做校验$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;rename($upload_file, $img_path);$is_upload = true;}else{$msg = "只允许上传.jpg|.png|.gif类型文件！";unlink($upload_file);}}else{$msg = '上传出错！';}
}

当我们上传webshell后，没有第一时间做文件后缀名的校验，而是临时存放，移动到新位置后，再做文件名检验。
这时系统代码执行过程会有时间消耗，我们利用这个极短的时间，利用Burp进行发包和范文，就有可能访问到没来得及做文件校验的webshell

//新建php文件1.php
<?php
$f= fopen ("shell.php","w") ;
fputs ($f,'<?php phpinfo();?>');
?>

使用Burp分别抓取上传 1.php 的数据包和访问 /upload/1.php 的数据包。发送到Intruder模块，
在第一个数据包头部添加&a=1，并将1选中

第二个数据包中头部添加?a=1，将1选中

分别设置payload type为Numbers，设置爆破10000次，分别开始爆破，
当第二个数据包的爆破出现状态码为200时，说明攻击成功，这时在浏览器访问/upload/shell.php。

pass-18

该关卡可以利用条件竞争漏洞和Apache解析漏洞进行绕过，不过Apache版本需要低于2.4.x
提示需要代码审计

//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{require_once("./myupload.php");$imgFileName =time();$u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);$status_code = $u->upload(UPLOAD_PATH);switch ($status_code) {case 1:$is_upload = true;$img_path = $u->cls_upload_dir . $u->cls_file_rename_to;break;case 2:$msg = '文件已经被上传，但没有重命名。';break; case -1:$msg = '这个文件不能上传到服务器的临时文件存储目录。';break; case -2:$msg = '上传失败，上传目录不可写。';break; case -3:$msg = '上传失败，无法上传该类型文件。';break; case -4:$msg = '上传失败，上传的文件过大。';break; case -5:$msg = '上传失败，服务器已经存在相同名称文件。';break; case -6:$msg = '文件无法上传，文件不能复制到目标目录。';break;      default:$msg = '未知错误！';break;}
}//myupload.php
class MyUpload{......
......
...... var $cls_arr_ext_accepted = array(".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",".html", ".xml", ".tiff", ".jpeg", ".png" );......
......
......  /** upload()**** Method to upload the file.** This is the only method to call outside the class.** @para String name of directory we upload to** @returns void**/function upload( $dir ){$ret = $this->isUploadedFile();if( $ret != 1 ){return $this->resultUpload( $ret );}$ret = $this->setDir( $dir );if( $ret != 1 ){return $this->resultUpload( $ret );}$ret = $this->checkExtension();if( $ret != 1 ){return $this->resultUpload( $ret );}$ret = $this->checkSize();if( $ret != 1 ){return $this->resultUpload( $ret );    }// if flag to check if the file exists is set to 1if( $this->cls_file_exists == 1 ){$ret = $this->checkFileExists();if( $ret != 1 ){return $this->resultUpload( $ret );    }}// if we are here, we are ready to move the file to destination$ret = $this->move();if( $ret != 1 ){return $this->resultUpload( $ret );    }// check if we need to rename the fileif( $this->cls_rename_file == 1 ){$ret = $this->renameFile();if( $ret != 1 ){return $this->resultUpload( $ret );    }}// if we are here, everything worked as planned :)return $this->resultUpload( "SUCCESS" );}
......
......
......
};

首先使用$_FILES[‘upload_file’][‘name’]接收文件名，然后获取文件后缀名进行白名单检查，需要注意的是这里使用的strrchr函数去截取后缀名的，所以获取到的是最后一个点后面的后缀名。如果后缀名不在白名单内的话就会提示上传失败，否则就会将文件使用rename函数重命名后上传至指定的目录，白名单中包含.7z，我们可以将shell.php改名为shell.php.7z，这样可以绕过白名单的检测，apache2.2.x版本下无法解析.7z后缀的文件，因此使用条件竞争在服务器没来得及对我们上传的shell.php.7z做出处理时，访问shell.php.7z，这时服务器会以php解析shell.php.7z，
和第十七关一样，可以使用burp的intruder模块进行条件竞争。

pass-19

该关卡没有对上传文件对判断，而是对要保存的文件名做黑名单校验，

因此我们需要绕过sava_name的校验，
在文件名后添加非法字符/.绕过

还可以使用00截断进行绕过，不过php版本需要小于5.3.4
代码审计：

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {if (file_exists(UPLOAD_PATH)) {$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");$file_name = $_POST['save_name'];$file_ext = pathinfo($file_name,PATHINFO_EXTENSION);if(!in_array($file_ext,$deny_ext)) {$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH . '/' .$file_name;if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true;}else{$msg = '上传出错！';}}else{$msg = '禁止保存为该类型文件！';}} else {$msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';}
}

还可以通过绕过黑名单，使用大写PHP进行绕过。

pass-20

代码审计

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){//检查MIME$allow_type = array('image/jpeg','image/png','image/gif');if(!in_array($_FILES['upload_file']['type'],$allow_type)){$msg = "禁止上传该类型文件!";}else{//检查文件名$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];if (!is_array($file)) {$file = explode('.', strtolower($file));}$ext = end($file);$allow_suffix = array('jpg','png','gif');if (!in_array($ext, $allow_suffix)) {$msg = "禁止上传该后缀文件!";}else{$file_name = reset($file) . '.' . $file[count($file) - 1];$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH . '/' .$file_name;if (move_uploaded_file($temp_file, $img_path)) {$msg = "文件上传成功！";$is_upload = true;} else {$msg = "文件上传失败！";}}}
}else{$msg = "请选择要上传的文件！";
}

相比较于上一关的源码，此处服务器端先是检查了MIME类型，然后判断save_name参数是否为空，为空就把文件本来名称赋值给$file,否则就是将save_name参数的值赋给它。紧接着判断$file是否是数组。
如果不是数组则将其拆成数组，然后数组最后一个的值(end函数就是取数组最后一个的值)同白名单做比较，符合jpg、png、gif中的一种就允许上传了。

在允许上传之后还要把数组的值拼接在一起对文件进行重命名。所以我们可以构造
save_name[0] phpinfo.php/
save_name[1]置为空
save_name[2]=jpg(一个白名单的合法后缀)。

这样的话，reset($file)取的是数组的第一个元素即phpinfo.php/，然后接了一个’.'符号，之后又将数组最后一个元素内容拼接到一起。

  最终的文件名后缀取的是$file[count($file) - 1]，因此我们可以让$file为数组。$file[0]为smi1e.php/，也就是reset($file)，然后再令$file[2]为白名单中的jpg。此时end($file)等于jpg，$file[count($file) - 1]为空。而 $file_name = reset($file) . '.' . $file[count($file) - 1];，也就是smi1e.php/.，最终move_uploaded_file会忽略掉/.，最终上传smi1e.php。

完结

@   _     _      _     _      _     _      _     _   (c).-.(c)    (c).-.(c)    (c).-.(c)    (c).-.(c)  / ._. \      / ._. \      / ._. \      / ._. \   __\( Y )/__  __\( Y )/__  __\( Y )/__  __\( Y )/__ (_.-/'-'\-._)(_.-/'-'\-._)(_.-/'-'\-._)(_.-/'-'\-._)|| Y ||      || Z ||      || C ||      || N ||   _.' `-' '._  _.' `-' '._  _.' `-' '._  _.' `-' '._ (.-./`-'\.-.)(.-./`-'\.-.)(.-./`-'\.-.)(.-./`-'\.-.)`-'     `-'  `-'     `-'  `-'     `-'  `-'     `-'