摘要文章详细介绍了Upload-Labs靶场的21个关卡每个关卡都涉及不同的文件上传安全问题如JavaScript过滤、MIME-Type检测、黑名单绕过、.htaccess利用、条件竞争和文件包含漏洞等。通过分析源码、修改请求包和使用Webshell测试展示了多种绕过机制和技术旨在提升安全防护和渗透测试技能。作者对文件上传理论知识的总结文件上传漏洞指南原理绕过手法与靶场实战-CSDN博客目录前言Pass-01JavaScript绕过Pass-02MIME-Type绕过Pass-03黑名单--特殊后缀检测Pass-04黑名单--.htaccess绕过Pass-05 黑名单--.user.ini⽂件利⽤Pass-06黑名单验证--大小写绕过Pass-07黑名单验证--空格绕过Pass-08黑名单验证--点号绕过Pass-09黑名单验证--特殊字符::$DATA绕过Pass-10黑名单验证--. 空格 .绕过Pass-11(黑名单验证--双写绕过)Pass-12(白名单--get0x00截断)Pass-13(白名单--post0x00截断)Pass-14(图片马--利用file协议)Pass-15(图片马--利用getimagesize)Pass-16(图片马利用exif_imagetype)Pass-17(二次渲染)前言upload-labs是一个专门用来练习文件上传的靶场一共21关现在我们开始通关吧。Pass-01JavaScript绕过step1查看页面源代码这第一关使用了前端JavaScript来进行过滤并且只允许上传jpg、png、gif类型的文件。step2对于前端验证的我们可以使用bp过滤掉前段验证这只是用来防普通用户的step3上传webshellstep4复制图片的路径进行访问成功并验证此处有文件上传漏洞Pass-02MIME-Type绕过查看源代码这一关卡主要验证上传文件的Content-Type值是否在允许范围内只要修改Content-Type为允许的图片类型如image/png等即可绕过检测我们上传 .png文件再使用bp抓包修改后缀为 .php ,然后放包右键复制图片的路径进行访问执行第二关通过Pass-03黑名单--特殊后缀检测实验前准备修改Apache的httpd-conf文件。去掉前面#号的注释文件然后添加一些对应的文件后缀重启与前两关不同本关专⻔检测上传⽂件的后缀名是否在⿊名单中列如不允许上传.asp,.aspx,.php,.jsp后缀文件那我们就使用bp改后缀改为 .phtml放包复制图片链接访问成功绕过Pass-04黑名单--.htaccess绕过实验准备在Apache中如果需要启动.htaccess必须在httpd_conf中设置AllowOverride查看页面源代码这一关几乎把所有我们能想到的文件类型都禁止掉了我们可以使用.htaccess绕过先上传 .htaccess,它的内容SetHandlerapplication/x-httpd-php意思是把所有文件都解析为php文件来执行。我们直接上传 .png 查看效果我们看到哪怕我们上传的是 .png的文件也能当 .php代码文件执行Pass-05 黑名单--.user.ini⽂件利⽤这一关和上面的那关一样都是把我们想到的文件后缀都禁掉了我们使用.user.ini来绕过上传 .user.ini文件文件内容auto_prepend_file2.png后面的文件名要和第二次上传的一致上传 2.png文件复制图片链接再把2.png改为readme.php才能绕过readme.php文件靶场自带帮助我们执行2.png的代码通关Pass-06黑名单验证--大小写绕过查看源代码发现 .htaccess和 .user.ini文件绕过都被禁掉了但是我们发现源码少了大小写过滤所以我们采取大小写绕过上传 .php的webshell将后缀大写绕过放包成功通过Pass-07黑名单验证--空格绕过查看页面源代码发现这关没有使用trim()去除空格可以使用空格绕过黑名单抓包修改上传一句话木马文件名4.php注意这里有个空格上传webshell在文件后加空格放包复制图片链接访问通关Pass-08黑名单验证--点号绕过查看页面源代码发现这一关黑名单没有使用deldot()过滤文件名末尾的点可以使用文件名后加.进行绕过抓包修改上传一句话木马文件名4.php.注意这里有个点放包复制图片链接访问让文件执行通关Pass-09黑名单验证--特殊字符::$DATA绕过查看页面源代码这一关黑名单没有对::$DATA进行处理可以使用::$DATA进行处理在Windows系统中将::$DATA放在文件的后缀后面Windows会将::$DATA 被忽略文件保存为 4.php上传webshell给.php后缀加 ::$DATA放包复制图片链接访问执行webshell我们不能直接访问要删除后面的::$DATA才能成功通关Pass-10黑名单验证--. 空格 .绕过查看页面源代码前面几关最后使用的是截取修改的后缀名拼接而这一关黑名单最后上传路径直接使用文件名进行拼接所以我们只要让后缀名不在黑名单中就好哪怕最后只剩个点补充知识deldot()函数从后向前检测当检测到末尾的第一个点时会继续它的检测但是遇到空格会停下来文件名 muma.php. → Windows/Linux 自动去除末尾空格和点上传webshell修改放包复制图片链接访问执行通关Pass-11(黑名单验证--双写绕过)查看页面源代码这一关黑名单使用str_ireplace()函数寻找文件名中存在的黑名单字符串将它替换成空即将它删掉可以使用双写绕过黑名单补充知识str_ireplace(find,replace,string,count)函数替换字符串中的一些字符不区分大小写双写绕过复制图片链接访问执行通关Pass-12(白名单--get0x00截断)实验准备在PHP5.3之后的版本中完全修复了00截断。并且00截断受限与magic_quotes_gpcaddslashes函数最好使用php5.217原理在url中%00表示ascll码中的0而ascii中0作为特殊字符保留表示字符串结束所以当url中出现%00时就会认为读取已结束查看页面源代码上传webshell修改webshell放包复制图片链接访问执行通关扩展知识其实url编码就是一个字符ascii码的十六进制。不过稍微有些变动需要在前面加上“%”。比如“\”它的ascii码是9292的十六进制是5c所以“\”的url编码就是%5c。Pass-13(白名单--post0x00截断)这一关白名单文件上传路径拼接生成而且使用了post发送的数据进行拼接我们可以控制post数据进行0x00截断绕过白名单补充知识POST不会对里面的数据自动解码需要在Hex中修改。我们可以看到post和get的文件位置有差异在后面加 4.php 这个“”的 hex值为2b方便查找并修改还有文件后缀也要改修改为00放包复制图片链接访问执行请记住要删除冗余信息通关Pass-14(图片马--利用file协议)查看页面源代码这一关我们要制作图片马准备两个文件一个图片文件网上随便下张小的图片后缀改为 图片型的如 .gif 一个php文件(内容GIF89A?phpphpinfo();?)要将两个文件放在一起然后在对应的路径下使用cmd进入终端执行下面的命令生成新的图片文件这个图片文件将php文件中的代码追加到了 .png文件下形成新的文件 222.pngcopy 456.gif /b 963.php /a 222.gif上传带webshell的图片复制图片链接访问我们发现没有执行代码这里直接是输出图片其实这一关考察的是文件包含所以我们要复制者一段路径点击这里记得我们的webshell在gif文件下面下划就可以看到了通关Pass-15(图片马--利用getimagesize)查看页面源代码通过使用getimagesize()检查是否为图片文件所以还是可以用第十四关的图片马绕过并使用文件包含漏洞解析图片马上传带webshell的图片复制图片链接先访问我们只要路径的一部份再次复制点击文件包含漏洞通关Pass-16(图片马利用exif_imagetype)查看页面源代码知识补充exif_imagetype()读取一个图像的第一个字节并检查其后缀名。返回值与getimage()函数返回的索引2相同但是速度比getimage快得多。需要开启php_exif模块。上传带webshell的图片复制图片链接截取一部分点击文件包含漏洞将部分链接填在这里访问执行通关Pass-17(二次渲染)查看页面源代码原理简析上传的gif图片会被源码函数二次渲染成新的图片接着存进后台因此用文件包含调用时调用的已经不是原图原图中隐藏的代码也被渲染所覆盖。绕过思路通过对比原图与渲染后的图的Hex码找到渲染所不会影响的hex区域文件头标志除外用【覆盖】的方式替换掉不受渲染影响区域的字符上传图片我们右键将图片下载下来然后将两张图片拖到我随便找的二进制编辑器中点击确认比对两张图片的前面部分发现都是一样的就是前面的没有被二次修改我们将文件后面的webshell替换到前面来这样访问时就可以执行了将222.gif后面webshell对应的二进制复制替换掉19117.gif和222.gif一样的不被修改的相对列不能错然后保存重新上传19117.gif图片复制图片的部分链接点击文件包含漏洞将部分链接填在这里访问执行通关