关卡1
上传一句话木马发现不能上传,用代理抓包抓不到,说明其是js前端验证。.
禁用java上传文件或者直接f12删了代码checkfile()函数,或者先上传jpg格式如何bp抓包改成php格式上传
上传成功
?关卡2
尝试上传文件
这里将
改成
进行文件绕过
成功上传文件
?关卡三
进行黑名单验证
改一下httpd.conf文件里的#AddType application/x-httpd-php .php .phtml
为AddType application/x-httpd-php .php .phtml .php5 .php3
修改完需要重启php? 版本为5.4.45
将小马的后缀名改成php3等等就能上传成功
这里利用.htaccess也可以上传连接
?关卡四
利用.htaccess上传
?
?
关卡五
黑名单全部禁用
这里用.user.ini来上传文件
user.ini : 自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被
?? CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用
?? .htaccess 文件有同样效果。
?? 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web
?? 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。
?? 在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI
?? 设置可被识别
?? 两个新的 INI 指令,user_ini.filename 和 user_ini.cache_ttl 控制着用户 INI 文件的使用。
?? user_ini.filename 设定了 PHP 会在每个目录下搜寻的文件名;如果设定为空字符串则 PHP 不会搜寻。默认值是? .user.ini。
?? user_ini.cache_ttl 控制着重新读取用户 INI 文件的间隔时间。默认是 300 秒(5 分钟)。
php.ini 是 php的配置文件,.user.ini 中的字段也会被 php 视为配置文件来处理,从而导致 php 的文件解析漏洞。
?在上传jpg的一句话木马连接蚁剑
?关卡六
这里需要把php后缀名大小写交错查看源码就能看见.
?改一下后缀名直接上传小马
?连接蚁剑
?关卡七
没有trim()去除空格
这里需要用到空格绕过
用burp代理抓包改文件名字
上传 成功后用蚁剑连接
关卡8
没有deldot()过滤文件名末尾的.
在文件名后加.进行绕过
?上传文件蚁剑连接
?关卡9
php在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持"::$DATA"之前的文件名 他的目的就是不检查后缀名。
上传PHP一句话文件,抓包改后缀?
然后使用蚁剑连接 ???????? (注意蚁剑连接路径不要加上::$DATA)
?
?
?关卡十
deldot()函数从后向前检测,当检测到末尾的第一个点时会继续它的检测,但是遇到空格会停下来
上传10.php 然后用burp改后缀加 ? . .(即文件名为10.php. .)
?蚁剑连接
?关卡十一
str_ireplace(find,replace,string,count) 函数替换字符串中的一些字符(不区分大小写)
使用str_ireplace()函数寻找文件名中存在的黑名单字符串,将它替换成空(即将它删掉),可以使用双写绕过黑名单
测试连接成功
?关卡十二
这关需要用get传参?? %00 截断.
首先需要php版本小于5.3.4在将php里的magic_quotes_gpc关掉
?将蓝色字符删掉在连接
?