upload-labs靶场通关实录
Pass-01
我们先看源码:
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
}
没什么好说的,检查源代码,发现是前端js验证。这里几种方法可以绕过。
- 第一种就直接使用浏览器的检查功能直接将js给禁用就可以成功绕过了。
就直接照着图片上的设置或者直接全网禁用了也行。当然上传操作完成之后就将网站从禁用栏里移除就行。 - 第二种方法,我们直接把网页源代码下载到本地,然后将里面的js代码改了(先把js验证部分改了,然后再添加表单部分的action属性,让他做一个本页刷新),直接从本地把代码拖到浏览器的任务栏就能把代码放到浏览器中。然后再我们改过代码的页面提交Webshell就行。这里放一下部分代码的截图
- 第三种办法就是直接BP抓包,然后改后缀名就能让绕过了。这里其实就是我们点了提交之后其实就已经通过伪装的图片后缀名绕过了前端验证,我们把发出去的包抓回来将文件的后缀名改一下就能将Webshell文件上传上去了。直接把箭头部位改为.php就能上传上去了(系统自带的截图工具没有插入文本框的功能(滑稽))
Pass-02
我们先看下源码:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
}
}
发现是一个文件类型的白名单验证,那它只验证我们的文件类型就好办了啊。直接抓包改文件类型就行。
按照图片里的把数据包改了,然后放包就能直接绕过了。
Pass-03
源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
发现是一个黑名单验证,意思就是只要后缀名不在他的黑名单里就都能上传上去。那敢情好啊,我们Apache服务器是可以吧.php3、.phtml之类的文件当成.php来解析的。所以我们直接再后缀名上面动手脚,加上一个3。就能成功绕过啦。
我们可以看到上传成功并且能够被解析成php文件执行。
Pass-04
源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
可以看到依旧是一个黑名单验证,但是这次的黑名单要比上一关多得多。但是,它还是疏忽了。没有把.htaccess文件给加到黑名单里。这里简单解释一下.htaccess(超文本访问)文件。它是许多Web服务器根据目录应用设置的有用文件,允许在运行时轻松启用或禁用任何功能。说白了就是只要把它玩明白了那就可以为所欲为了(奸笑)。我们直接先上传一个.htaccess文件里面写上让服务器把我们上传的loudong.jpg当作php文件执行,然后就能轻松绕过啦。
这是.htaccess文件里面的代码:
<FilesMatch "loudong.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
先把.htaccess文件先上传上去
可以看到我们后面传上去的loudong.jpg文件被当作php文件解析并执行了,轻松拿下。
Pass-05
源码如下:
is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
可以看到这关也是一个黑名单验证,但是这关的黑名单就比较严密了。把我们上一关用到的.htaccess文件给禁用了。那怎么办呢,我们发现它没有验证后缀名的大小写。那还说什么,直接上传.PHP文件就轻松绕过了。
当然你可以试试其他的字母组合,我们这里就不在过多赘述了。
Pass-06
源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = $_FILES['upload_file']['name'];
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件不允许上传';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
这一关就没什么好说的了,黑名单验证,而且它没有去除末尾空格。那么我们直接给他的末尾加个空格就能轻松拿下。
Pass-07
源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
可以看到依旧是熟悉的感觉,跟上一题如出一辙。没有验证文件名最后的点,直接在文件最后面加上点就可以轻松绕过。
Pass-08
源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
通过看源码也是很直接的就看到了它缺少对::$DATA的验证啊。我们直接BP抓包然后在文件名后面加上::$DATA就行。
这里简单解释一下::$DATA的原理。在windows中,如果文件名+::$DATA,那么::$DATA之后的数据会被当成文件流来处理,不会检测后缀名。并且会保持::$DATA之前的文件名。我们的目的就是不让它检测后缀名。所以就能通过这个原理轻松绕过检测。
Pass-09
源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
这里借助的是代码不严谨,deldot即从字符串的尾部开始从后向前删除点,知道遇到的字符不是点为止。那么,我们就可以利用”点+空格+点“的形式来绕过它的黑名单检测。
Pass-10
源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
这关挺有意思的,它使用str_ireplace函数把$file_name中第一个出现的能在它黑名单里面找到的字符串给替换成空字符,然后跟UPLOAD_PATH拼起来上传到网站。这样处理的话会使我们的恶意代码被替换的最后只剩一个”.“然后就无法执行了。那可不行啊,看到他的检测机制我们容易想到通过构造文件后缀名为".pphphp"。这样的话它把我们出现的第一个它黑名单上的字符串替换之后还是会留下一个php,从而达到绕过的目的。
Pass-11
源码如下:
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
}
}
这一关的关键在于我们有一个参数save_path是可控的。我们可以直接用BP抓包然后修改参数save_path,让它把我们传上去的.jpg文件保存为.php文件。我们直接用0x00截断来修改我们的$img_path目标路径,就可以直接上传了。
这里出现奇怪的地址的原因是我们用0x00截断起效的地方是move_uploaded_file()这个函数。它的$img_path参数是依然拼接成功的,图片中的路径其实就是它原本想存的路径。但是被我们用0x00从中间截断了,所以才会出现数据已经到了0x00之前的文件里面了,它还以为数据是在这个完整的路径中的情况。所以就出现了这种奇怪的路径。直接把0x00及其后面的字符串删除后就能找到我们上传的文件了。
Pass-12
这关没什么好说的,跟上一关一样,只不过是提交方式变成了POST,他不会帮我们将0x00进行URL编码。我们直接手动编码然后上传就能绕过了。
Pass-13
准备工作:
- 准备一张尺寸稍微小一点的图片,任意格式。推荐用gif格式。
- 准备一个含有攻击代码的文件,我这里用info.php
- 将图片和攻击代码文件放到同一个文件夹内,并在该文件夹中打开命令行,并执行 copy xx.gif /b + info.php /a webshell.gif
名字随便取,其他格式也是依葫芦画瓢。
源码如下:
function getReailFileType($filename){
$file = fopen($filename, "rb");
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("C2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch($typeCode){
case 255216:
$fileType = 'jpg';
break;
case 13780:
$fileType = 'png';
break;
case 7173:
$fileType = 'gif';
break;
default:
$fileType = 'unknown';
}
return $fileType;
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_type = getReailFileType($temp_file);
if($file_type == 'unknown'){
$msg = "文件未知,上传失败!";
}else{
$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传出错!";
}
}
}
根据源码可知,它只读取前两个字符用于确认格式,如果我们自己造的jpg格式的图片不能上传上去,总是报错。有一个不讲道理的打法。我们可以直接用010Editor把除了前两个字符之外的其他东西全给他删了。然后在后面拼上我们想要执行的代码。这样就可以绕过并且能执行我们拼上去的代码而不报错了。
Pass-14
依旧使用13关造好的图片马直接上传
我们自己造的jpg格式的图片要是传上去它一直报错,那么可以查看它报错的行数在哪然后直接把报错的那几行直接给他删了,这样就能顺利上传并执行了。
Pass-15
与Pass-13,Pass-14一样的操作。
Pass-16
源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
// 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
$filename = $_FILES['upload_file']['name'];
$filetype = $_FILES['upload_file']['type'];
$tmpname = $_FILES['upload_file']['tmp_name'];
$target_path=UPLOAD_PATH.'/'.basename($filename);
// 获得上传文件的扩展名
$fileext= substr(strrchr($filename,"."),1);
//判断文件后缀与类型,合法才进行上传操作
if(($fileext == "jpg") && ($filetype=="image/jpeg")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefromjpeg($target_path);
if($im == false){
$msg = "该文件不是jpg格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".jpg";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagejpeg($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "png") && ($filetype=="image/png")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefrompng($target_path);
if($im == false){
$msg = "该文件不是png格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".png";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagepng($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "gif") && ($filetype=="image/gif")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上传的图片生成新的图片
$im = imagecreatefromgif($target_path);
if($im == false){
$msg = "该文件不是gif格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".gif";
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagegif($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else{
$msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
}
}
这一关很难处理,根据源码我们看到它进行了非常全面的检测,最后还用我们上传的图片重新生成了一张新的图片。操作依旧跟Pass-13一样,不过建议用gif格式或者png格式。别问为什么,问就是造了一下午的jpg格式的图片马依然是传不上去(擦汗)。
Pass-17
源码如下:
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_name = $_FILES['upload_file']['name'];
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_ext = substr($file_name,strrpos($file_name,".")+1);
$upload_file = UPLOAD_PATH . '/' . $file_name;
if(move_uploaded_file($temp_file, $upload_file)){
if(in_array($file_ext,$ext_arr)){
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
rename($upload_file, $img_path);
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
unlink($upload_file);
}
}else{
$msg = '上传出错!';
}
}
这里看到它先把文件上传了才开始判断,如果没在白名单里的话它就把上传的文件给删了。听着好像是这么回事儿奥。但是它存在条件竞争,就是一个文件如果有人正在访问的话是不能够被删除的。我们使用BP里面的爆破模式,不停的先服务器发我们的那个文件。然后在浏览器疯狂刷新访问那个文件。就能在某个时间我们在服务器没来得及删除文件的时候被我们访问到。就成功绕过了。
Pass-18
源码如下:
//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
require_once("./myupload.php");
$imgFileName =time();
$u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
$status_code = $u->upload(UPLOAD_PATH);
switch ($status_code) {
case 1:
$is_upload = true;
$img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
break;
case 2:
$msg = '文件已经被上传,但没有重命名。';
break;
case -1:
$msg = '这个文件不能上传到服务器的临时文件存储目录。';
break;
case -2:
$msg = '上传失败,上传目录不可写。';
break;
case -3:
$msg = '上传失败,无法上传该类型文件。';
break;
case -4:
$msg = '上传失败,上传的文件过大。';
break;
case -5:
$msg = '上传失败,服务器已经存在相同名称文件。';
break;
case -6:
$msg = '文件无法上传,文件不能复制到目标目录。';
break;
default:
$msg = '未知错误!';
break;
}
}
//myupload.php
class MyUpload{
......
......
......
var $cls_arr_ext_accepted = array(
".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
".html", ".xml", ".tiff", ".jpeg", ".png" );
......
......
......
/** upload()
**
** Method to upload the file.
** This is the only method to call outside the class.
** @para String name of directory we upload to
** @returns void
**/
function upload( $dir ){
$ret = $this->isUploadedFile();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->setDir( $dir );
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkExtension();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkSize();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// if flag to check if the file exists is set to 1
if( $this->cls_file_exists == 1 ){
$ret = $this->checkFileExists();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
// if we are here, we are ready to move the file to destination
$ret = $this->move();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// check if we need to rename the file
if( $this->cls_rename_file == 1 ){
$ret = $this->renameFile();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
// if we are here, everything worked as planned :)
return $this->resultUpload( "SUCCESS" );
}
......
......
......
};
这关通过源码我们能得到的信息其实比较少。但是关键的信息都给了,就是看我们的一个读代码的能力。首先我们容易看到的是一个白名单,自然联想到Apache的一个解析漏洞。只要是.php*的文件都能被解析为php文件。然后,我们发现它先将文件移动之后才考虑的修改文件名。所以这里也存在一个条件竞争。也是当有人在访问某一文件时,我们不能修改该文件的文件名。那么我们还是利用BP的爆破模式不断地向服务器发送我们的文件,那么总有那么一个偶然让我们在它重命名文件之前访问到我们上传的文件。这里需要注意的是我们看到它的参数$img_path是&u->cls_upload_dir和$u->cls_file_rename_to拼接起来的。所以我们不断刷新访问的地址是localhost/uploadinfo.php.7z。
Pass-19
源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = $_POST['save_name'];
$file_ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!in_array($file_ext,$deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
}else{
$msg = '上传出错!';
}
}else{
$msg = '禁止保存为该类型文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
可以看到是一个黑名单验证,并且save_name还是可控的参数。那么我们就可以用0x00截断,还可以伪装我们的后缀名,改成”.php/.“之类的就可以绕过了。
需要注意的是,因为此处的方法是POST,需要自己额外进行URL编码,我这里因为方便展示所以才没编码。
我们也可以通过构造后缀名来洗白我们自己进行绕过,也是利用的Apache服务器的解析漏洞。你也可以构造其他形式的后缀名来加深印象。自己动手实验得出来得结果那肯定是影响更加深刻了。
Pass-20
源码如下:
$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
//检查MIME
$allow_type = array('image/jpeg','image/png','image/gif');
if(!in_array($_FILES['upload_file']['type'],$allow_type)){
$msg = "禁止上传该类型文件!";
}else{
//检查文件名
$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
if (!is_array($file)) {
$file = explode('.', strtolower($file));
}
$ext = end($file);
$allow_suffix = array('jpg','png','gif');
if (!in_array($ext, $allow_suffix)) {
$msg = "禁止上传该后缀文件!";
}else{
$file_name = reset($file) . '.' . $file[count($file) - 1];
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$msg = "文件上传成功!";
$is_upload = true;
} else {
$msg = "文件上传失败!";
}
}
}
}else{
$msg = "请选择要上传的文件!";
}
通过源码我们可以看到这个绕过难度还是有一点的。它先是检测了我们的类型名,然后又检测了我们的后缀名。但是,我们发现一个好东西,它的参数save_name又是我们可控的。它通过save_name得到一个$file数组,里面有两个参数,分别为我们们的文件名和拓展名,然后它就通过end函数取出我们数组中的最后一个元素来检测后缀名是否合法。检测完成后又把数组中的第一个元素拿出来和数组的最后一个元素拼接起来进行上传。那么基于这个机制,我们可以上传一个loudong.jpg(里面含有我们的恶意代码,通过修改后缀名获得)控制save_name参数,让数组file中有三个元素,即是令save_name[0]=info.php,save_name[2]=jpg。那么它最终拼接出来的文件名就会是info.php.就被绕过了。
总结
好了,靶场打完了咱们来浅浅总结一下。文件上传漏洞的绕过方法大概可以分为前端验证,白名单验证,黑名单验证这几种,我们一种一种的来总结。
- 前端验证(Pass-01)
- 禁用JS
- 本地修改代码
- BP抓包改后缀名
这几种方法都可以进行绕过。
- 白名单验证
白名单验证就是我们只能上传它白名单上面允许的东西,限制条件比较多。白名单验证又可以分成文件类型名白名单验证,文件后缀名白名单验证,文件类型名和后缀名双重验证。
- 文件类型白名单验证(Pass-02)
- 直接抓包修改类型名即可
- 文件后缀名白名单验证(Pass-11,Pass-17,Pass-18)
- 如果save_path可控,通过0x00截断或者抓包改变文件后缀名
- 利用条件竞争
- 利用服务器解析漏洞
- 文件类型名和后缀名双重白名单验证(Pass-20)
- 构造数组进行绕过
- 黑名单验证(Pass-03,Pass-04,Pass-05…)
黑名单验证算是这个靶场的大头,基本上都是用的黑名单验证。而黑名单验证由于黑名单本身不全而被我们顺利绕过。主要可以有一下几种姿势- 利用服务器解析漏洞在后缀名后加数字
- 构造.htaccess文件
- 后缀名大写
- 后缀名后加空格
- 后缀名之后加点
- 利用::DATA绕过
- 利用代码逻辑,构造". ."绕过
- 构造.pphphp进行绕过
- 构造后缀名为".php."之类的进行绕过
- 若save_path可控,则也可通过0x00截断进行绕过
其中1,3,4,5,7,9都可以归纳为在文件后加上符号进行绕过;2和8可归纳为构造特殊文件进行绕过;6为利用::DATA绕过;10为通过0x00截断进行绕过。
这几种,我们一种一种的来总结。
- 前端验证(Pass-01)
- 禁用JS
- 本地修改代码
- BP抓包改后缀名
这几种方法都可以进行绕过。
- 白名单验证
白名单验证就是我们只能上传它白名单上面允许的东西,限制条件比较多。白名单验证又可以分成文件类型名白名单验证,文件后缀名白名单验证,文件类型名和后缀名双重验证。
- 文件类型白名单验证(Pass-02)
- 直接抓包修改类型名即可
- 文件后缀名白名单验证(Pass-11,Pass-17,Pass-18)
- 如果save_path可控,通过0x00截断或者抓包改变文件后缀名
- 利用条件竞争
- 利用服务器解析漏洞
- 文件类型名和后缀名双重白名单验证(Pass-20)
- 构造数组进行绕过
- 黑名单验证(Pass-03,Pass-04,Pass-05…)
黑名单验证算是这个靶场的大头,基本上都是用的黑名单验证。而黑名单验证由于黑名单本身不全而被我们顺利绕过。主要可以有一下几种姿势- 利用服务器解析漏洞在后缀名后加数字
- 构造.htaccess文件
- 后缀名大写
- 后缀名后加空格
- 后缀名之后加点
- 利用::DATA绕过
- 利用代码逻辑,构造". ."绕过
- 构造.pphphp进行绕过
- 构造后缀名为".php."之类的进行绕过
- 若save_path可控,则也可通过0x00截断进行绕过
其中1,3,4,5,7,9都可以归纳为在文件后加上符号进行绕过;2和8可归纳为构造特殊文件进行绕过;6为利用::DATA绕过;10为通过0x00截断进行绕过。
咱们绕过的姿势千千万,但主要还是得想办法把自己想要上传的文件洗白。思路有很多,没有固定的答案,只要能够绕过,那就是好办法。