pass01
(1)先上传一句话木马
(2)发现格式不对,查看源码发现是js的作用,先抓包,在包内改格式
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
(3)在服务器上的upload文件夹下查看木马文件
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
pass02
发现只有png格式的文件可以上传
(1)那就先抓包,改格式
(2)将格式改为image/jpeg,发现没报错,查看
pass03
(1)先上传试试,发现有格式要求
(2)可以更改后缀绕过,但是链接不连,所以要改配置文件(httpd.conf)
(3)此时在抓包,
(4)查看
pass04
(1)查看源码,发现大多数后缀格式被禁用,所以采用.htaccess文件解析漏洞,首先写.htaccess文件的内容
(2)上传.Htaccess文件和jpg文件
(3)上传成功
pass05
(1)本关连.Htaccess都过滤掉了,观察代吗,可以看到这里是先删除文件最后的一个逗号和空格然后再寻找处后的文件名的最后一个逗号,再对该逗号后面(就是文件扩展名)进行变小写再去除::$DATA字符串,发现删除了文件末尾的.且进行了首尾去空,可以将文件后缀改为php. . 刚好变为php
(2)查看
pass06
(1)检查源码发现缺少大小写检验,绕过方法直接BurpSuite进行抓包修改
(2)查看
pass07
(1)观察源码发现在处理尾缀的时候少过滤了空格于是可以抓爆修改文件尾缀
(2)查看
pass8
(1)观察源码发现在处理尾缀的时候少过滤了点于是可以抓爆修改文件尾缀
(2)查看
pass09
(1)观察源码发现在处理尾缀的时候少对特殊字符:: D A T A 的过滤于是可以抓爆修改文件尾缀。 : : DATA的过滤于是可以抓爆修改文件尾缀。:: DATA的过滤于是可以抓爆修改文件尾缀。::DATA 后缀在 Windows 操作系统中表示文件的数据流(Data Stream),且只可能在windows中使用
(2)查看
pass10
(1)观察代码发现大多数后缀都被过滤掉了,但是都过滤了一次,所以可以进行多次写
(2)查看
pass011
(1)查看源码,发现其中定义了文件后缀名黑名单,黑名单里几乎包含了所有可解析的后缀名、.htaccess以及.ini,当上传文件的后缀名与黑名单匹配时会自动去除后缀名,没有了后缀名文件自然也无法解析,但由于只过滤单次后缀名,因此我们可以双写后缀名绕过限制
(2)查看
pass12
(1)这一关白名单,通过Get %00截断可绕过白名单限制,但需确保PHP版本低于5.3.4且magic_quotes_gpc已关闭。
(2)查看
pass13
(1)这一关白名单,通过POST %00截断可绕过白名单限制,但需确保PHP版本低于5.3.4且magic_quotes_gpc已关闭
(2)点开十六进制页面 ,找到刚才输入的空格,将其改为00,放行即可
(3)查看
pass14
(1)这一关是图片马文件包含绕过,首先,将一个jpg文件和php文件合成图片马,然后将图片马上传。
(2)查看
pass15
(1)同14关一样,效果如图
pass16
(1)与14一样,但要开启php配置文件(php.exif)
(2)上传成功
(3)查看
pass17
(1)做gif图片马
(2)查看,并将渲染的图片保存
(3)两个图片放到010 editer中比对
(4)将修改后的文件上传
(5)查看
