文件上传类型:
前端验证:1
MIME类型验证:2
黑名单验证:3~10,19
? ? ? ? 大小写绕过、空格绕过、解析后缀+数字绕过、点绕过、/绕过、::$DATA绕过
白名单验证:11~18,20
? ? ? ? %00截断、二次渲染、文件包含、解析漏洞、逻辑漏洞
先上传一句话木马文件判断对方的验证方式,发现是前端JS验证
在浏览器地址栏中输入about:config;关闭JavaScript_enabled设置
选择一句话木马文件上传,成功上传
右键复制图片的路径,在新窗口中打开,文件成功被执行
F12打开界面的源代码,搜索check;找到验证函数checkfile(),删除该函数,让按钮不响应,代码界面别关闭,关闭时会刷新界面
成功上传了hello.php;同时界面刷新了
成功执行木马文件
F12打开检测界面,点击源码找到验证的文件index.php;点击三个点(更多选项)找到覆盖;在覆盖下选择打开一个本地文件夹;成功后界面如下
如果选择本地文件是不成功,注意检查一下浏览器是否有提示是否允许使用本地文件的请求,在导航栏下面可能会有提示,需要你授权
关闭源码界面,刷新一下页面,然后就能任意文件上传了
上传图片之前打开网站的bp代理,打开bp工具对数据进行拦截
修改图片的信息;为了一张图能表示我把图片信息都删了,写入了一句话木马,放包就能上传成功
刷新界面,利用BP抓取到网页请求包
监听响应包
设置options过滤响应包中的JS代码再放包,收到响应包信息
之后关掉bp,界面就能实现任意文件上传了原理和方法1类似,都是只有一次效果
上传php文件提示文件类型不正确;应该是MIMETYPE验证
抓包使用repeater模块修改数据包信息后上传成功
执行文件
上传php文件发现是后缀名黑名单验证,这种情况只需要修改为可上传的php后缀名即可
修改apache服务器的配置;添加php解析的文件后缀(这里是在配置环境)
AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml .phtm
通过BP抓包修改后缀名为php3,成功上传(尝试大小写发现无法绕过,说明有大小写转换)
右键复制图片的地址,成功解析(看图片地址会发现图片的名字也被修改过了)
问题:配置成功修改,文件成功上传,访问该文件不能正常解析??
问题原因:php nts版本不兼容问题
解决方式:1.使用老版本的小皮选择非nts版本的php即可;
? ? ? ? ? ? ? ? ? 2.使用新版小皮,通过下载非nts版本的php,添加到phpstudy中(这里不具体展示)
记得在服务器配置中添加常见的php解析的后缀名(第三关有操作);
尝试直接上传看结果
乱后缀名判断服务器端验证的方式,发现是后缀名的黑名单检测
尝试对文件后缀名进行爆破,看看是否有可通过的后缀
开始爆破;发现有很多的可通过后缀名;
选择php1后缀进行放包,复制图片的路径
问题:成功上传文件后不解析,返回空白页面
问题核心:php版本不兼容
解决方式:选择php 5.2.17 版本即可解决(多试几个版本)
由于方法1爆破时发现可以上传.htaccess的后缀文件并且成功上传的文件名不会改变,所以可以利用apache服务器的配置漏洞进行绕过
具体如下:
利用BP抓包,修改文件内容和文件名(内容有两种写法),文件名必须是.htaccess
1.指定该文件夹下的hello.png打开时使用php解析
<FilesMatch "hello.png">SetHandler application/x-httpd-php</FilesMatch>
2.该文件夹下的所有文件都使用php解析
SetHandler application/x-httpd-php
成功上传后再修改木马文件后缀为png上传
查看结果发现会出现500错误;把.htacess文件内容换成第二种写法就没问题了
推测应该是设置单独文件解析时和服务器/系统的某些配置冲突了(无伤大雅,这也是一种方法)
具体详见第十九关
乱码后缀开道;发现可以上传;后缀名的黑名单验证
尝试后缀名大小写变化发现成功上传
修改后缀名为.Php后放包,成功上传
乱码后缀开道;后缀名黑名单验证;文件名修改
尝试改变大小写进行绕过失败,说明加上了大小写转换验证
尝试修改成简单的后缀名进行绕过,php1成功上传
爆破试错
爆破设置(通过的文件后缀名全部不符合要求)
根据爆破得到的响应结果尝试结尾操作:空格 \ /
空格可以直接绕过(推测服务端应该是把.转成空格处理,又把空格作为反向检测结束标志了)
乱码后缀开道;发现是后缀名黑名单验证
尝试大小写验证绕过失败
尝试通用后缀名绕过,成功了(.php1就是神)
尝试了.php3绕过,失败了
直接上爆破
验证其中的.phtml......文件;成功解析
乱码后缀开道;后缀名黑名单验证;文件名改变了
尝试.php1成功上传
简单尝试无果直接爆破;发现大部分可解析的后缀名都被替换了
发现php::$DATA文件成功上传,实际存储文件后缀名是php;访问解析成功
乱码开道;黑名单后缀名验证;文件名不变
直接选择爆破后缀名(多次.php1成功绕过,怀疑是我的设置问题,现实php1后缀可能并不常见)
关闭url特殊字符转码
得到能够通过的后缀名
查看后缀名发现文件后缀少了一个.(应该是对文件中的.进行处理了)
问题:爆破后发现所有的后缀名都能通过??
问题核心:查看请求包发现英文句号被转换成了%2e;url编码搞的鬼
解决方式:到爆破模块中取消勾选url转换特殊字符的框
问题截图:
解决截图:
乱码开道;黑名单验证
尝试简单的后缀名绕过;发现把关键后缀名删了 php html等
根据他的规则构造后缀名尝试;.phtmlhp成功绕过,得到了php后缀文件
配置服务器设置,在php扩展及设置中关闭GPC;否则无法成功
通过BP抓包修改文件路径和文件名(%00是结尾标志)
实际保存文件名称就是自己设置的1.php;
乱码后缀名开道;发现是白名单验证
上传一句换木马的png文件
通过访问include.php实现文件包含绕过
抓包进行修改,在路径结尾添加结束符绕过后缀检测
核心:检测文件内容的开头标志和文件后缀来判断文件类型
png格式图片马如下(把文件内容都删了,不然源文件内容使用php解析时可能会报错)
jpg格式的图片马
gif格式的图片马
通过上传不带内容的木马数据发现文件被屏蔽了;推测服务端检测了文件的大小;通过图片结尾加上一句话木马成功绕过
jpg格式图片上传
png图片格式上传
GIF格式图片木马上传
问题:图片上传后访问返回致命错误,文件中某些字符不识别
解决方法:选择小一点儿的图片进行上传,然后在结尾添加一句话木马;文件太大里面可能会有一些php无法解析的字符;换成小文件上传后成功解析
查看源码发现只验证了图片的头部内容信息,检测是否为图片文件;如果没问题则之后只保留该后缀并对文件进行重命名(直接制作图片马即可绕过)copy 1.png /b + 1.php /a 3.png
上传一张gif图片(不要太小,容易被全部渲染);把成功上传的图片和原图进行对比分析;
在没被渲染的地方用一句话木马的二进制进行替换得到图片马
成功上传图片马(渲染后的图片仍然保留木马信息)
通过文件包含访问该文件发现木马程序被执行
我这边没有访问成功,之后通过修改源码增加了保存的时间才复现的
通过查看源码发现服务器是先保存再验证;验证不通过后删除文件;中间文件会保存一定时间
直接上传木马文件然后访问该文件使得文件在服务器端解析
文件内容如下:
通过抓取文件上传包和访问文件包来进行爆破
设置文件上传线程数为10,负载10000条
文件访问包线程数为100,负载100000条,多开几个相同的访问会话增加成功的概率
抓取文件上传包
抓取访问请求包
访问请求包中出现200数据表示访问成功,文件成功解析;服务器目录下会生成一个shell.php文件,用蚁剑可以连接成功
通过copy 1.png /b + hello.php /a 5.png 命令生成一个图片马,上传成功
成功执行木马程序
对源码进行分析(查看源代码)
可通过的后缀名如下
文件验证操作如下(对后缀名、文件大小进行验证)可以通过.php.png等格式绕过
通过后缀和文件大小验证后会先保留源文件后缀进行保存;然后对文件名称和后缀进行重命名;
重命名之后文件没办法操作了;只能在未改名之前解析该文件;这就需要竞争上传了
竞争上传(源文件一旦被访问成功就不会再改名)
通过尝试发现在可通过的白名单后缀名里只有7z后缀不会直接被浏览器解析,根据服务器解析规则:允许多个后缀存在,从右往左依次读取后缀名直到可解析的后缀名结束;设置文件名为1.php.7进行上传;然后通过url访问该文件使其解析(方法和第十七关一样:设置10线程的上传包和100线程的请求包)(这个成功率高)
通过不存在的后缀上传判断是黑名单验证
具体可绕过的方法如下(这是一类:修改后缀)
1.php%00 1.php (加了空格) 1.php. 1.php.php123 1.php::$DATA等
该黑名单验证中没有限制.user.ini的后缀,文件名也没有改变
通过上传.user.ini文件到index.php所在的目录使得该目录中的php文件在执行时自动包含指定的文件
.user.ini文件内容写为:auto_prepend_file=/upload/1.png;(在文件开始前包含1.png文件)
上传1.png文件
访问upload初始页面;发现1.png的内容被执行了
对代码进行分析;发现存在一个逻辑漏洞;将文件名构造成数组绕过分割操作后文件名可控
抓取请求包进行修改;通过修改save_name为save_name[0]和save_name[2]的方式将save_name变成数组绕过分割操作;此时下面用到的文件名都是可控的,只设置0和2会导致下面文件名为第一个元素和第二个元素组成;由于第二个元素为空;则文件名为1.php.;成功上传并解析
该文件成功解析
10