upload-labs靶场练习

文件上传函数的常见函数：

在PHP中，‌文件上传涉及的主要函数包括move_uploaded_file(), is_uploaded_file(), get_file_extension(), 和 mkdir()。‌这些函数共同协作，‌使得用户可以通过HTTP POST方法上传文件，‌并在服务器上保存这些文件。

1.move_uploaded_file()：‌此函数用于将上传的文件从临时位置移动到指定的位置。‌它需要两个参数：‌上传文件的临时路径和目标路径。‌如果文件成功移动，‌该函数返回true，‌否则返回false。‌

2.is_uploaded_file()：‌此函数用于判断文件是否是通过HTTP POST上传的。‌它需要一个参数，‌即文件的临时路径。‌如果文件是通过HTTP POST上传的，‌该函数返回true，‌否则返回false。‌

3.get_file_extension()：‌此函数用于获取文件的扩展名。‌它需要一个参数，‌即文件名。‌该函数通过pathinfo()函数获取文件扩展名并返回。‌

4.mkdir()：‌此函数用于创建一个目录。‌它需要一个参数，‌即目录的路径。‌如果目录成功创建，‌该函数返回true，‌否则返回false。‌在文件上传的场景中，‌可以使用此函数来确保上传目录的存在。‌
资料:PHP中的文件上传及其相关函数-php教程-PHP中文网

代码资料：文件上传漏洞练习 upload-labs（1~5）【js过滤，MIME过滤，黑名单过滤,.htaccess文件攻击,.user,ini文件攻击】_js通过过滤器黑名单-CSDN博客

pass-01（js前端验证）

1.上传一个php文件，发现直接弹窗出现可上传的文件类型，判断为js前端验证

2.解决方案主要有三种，这里演示第三种

方法一:

可以禁用浏览器的js脚本功能(不推荐),可以会影响其他正常的js功能

方法二:

查看源代码,复制源代码删除js文件校验部分,在本地运行即可

方法三:

使用burp抓包，修改image/type

方法三

抓包修改文件的后缀名 

在新标签页打开上传的图片，我们打开后可以发现图片格式是php，说明我们的一句话木马已成功上传到网站

使用蚁剑连接，本关完成

pass-02（MIME验证）

服务端MIME类型检测是通过检查http中包含的Content-Type字段中的值来判断上传文件是否合法的。

利用Burp抓包，将报文中的Content-Type改成允许的类型。

1.上传php文件，出现以下页面

2.查看源代码，发现只能上传jpg,png,gif

3.上传php文件，发现可以抓到包，说明验证是在后端进行的

4.在新标签页打开上传的图片

5.用蚁剑连接，通过此关卡

pass-03（黑名单-特殊解析后缀）

1.上传php文件，发现出现以下页面

2.查看源代码，发现禁止上传.asp,.aspx,.php,.jsp后缀文件！

3.使用抓包，修改后缀名

4.在新标签页打开上传的图片，发现phtml文件上传成功，通过此关卡

pass-04（黑名单-.htaccess绕过）

如果我们不存在服务器的root权限 
但是想修改 服务器配置 就可以在 apache中打开选项
然后我们就可以通过 .htaccess 来配置服务器了

1.上传php文件，发现出现以下页面

2.查看源代码，发现过滤了很多文件的后缀名

3.新建一个.htaccess文件，里面的内容为

<FilesMatch "shell.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

4.先上传.htaccess文件，再上传含有一句话木马的jpg文件，在新标签页打开上传的图片，发现成功上传php文件

5.蚁剑连接成功，通过此关卡

pass-05（.user.ini分析）

.user.ini 其实就是用户自定义的 php.ini

资料：Upload-labs Pass-05 .user.ini文件上传_upload-labs教程第五关上传出错-CSDN博客

1.上传php文件，发现出现以下页面

2.查看源代码，过滤了上一关我们所用的.htaccess文件

3.先上传.ini文件，再上传jpg文件，在新标签页打开上传的图片，发现成功上传php文件

4.蚁剑连接成功，通过本关卡

pass-06（黑名单-大小写绕过）

1.上传php文件，出现以下页面

2.查看源代码,发现它没有过滤大小写

3.利用大小写绕过

4.报错，特别注意，我的环境apache 2.4.39的时候连接失败，Response报文状态码500，用nginx 1.15.11是可以成功的

pass-07（黑名单-空格绕过）

1.分析源代码，发现缺少了首尾去空格的代码，可以使用空格来绕过

2.上传php文件，使用burp抓包，在前面或者后面加上空格进行绕过

3.在新标签页打开上传的图片，发现成功上传php文件

4.使用蚁剑连接，通过本关卡

pass-08（黑名单-点绕过）

1.观察源代码，发现缺少删除文件名末尾的点的代码

2.使用burp抓包，利用点来绕过

3.在新标签页打开上传的图片，发现成功上传php文件

4.使用蚁剑连接

pass-09（黑名单-: :$DATA绕过）

php在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名，且保持"::$DATA"之前的文件名 他的目的就是不检查后缀名。

1.观察源代码，发现缺少去除字符串: :$DATA这个代码

2.继续抓包，在文件名之后加上: :$DATA

3.在新标签页打开上传的图片，发现成功上传php文件

pass-10（黑名单-点空格点绕过）

1.看源代码，利用点空格点绕过，代码运行最后得到的后缀为"." 不在黑名单中 然而又用原来的10.php. .来保存文件 由于windows在文件命名中会自动删除.和空格 所以最终得到的是10.php 因此绕过了黑名单限制

2.抓包，在文件名后面加上. .进行绕过

3.在新标签页打开上传的图片，发现成功上传php文件

4.最后使用蚁剑连接即可

pass-11（黑名单-双写绕过）

1.看源代码，str_ireplace 是 PHP 中的一个函数，它用于将字符串中的某些部分替换为其他字符串，并且对大小写不敏感。通过源码我们可以发现，他仅仅对文件名称进行了替换，替换之后的后缀没有进行黑名单验证，这里我们就可以使用双写文件后缀进行文件上传

2.利用burp抓包，双写php进行绕过

3.在新标签页打开上传的图片，发现成功上传php文件

pass-12（白名单-get%00截断）

0x00是一个Hex编码，他表示一个空字符（可以理解为一个不可见的字符串）

1.观察源代码，发现代码漏洞点就在于 用$_GET[‘save_path’]来组成上传的文件路径，而这个get传参是我们可以控制的地方，因此我们考虑用是否能进行截断，例如形成…/upload/12.php/截断后面的(xxx.jpg)

2.上传jpg文件之后，进行抓包，在bp中将路径改为save_path=../upload/shell.php%00再发送，经系统拼接会变成save_path=../upload/shell.php%00shell.jpg。而%00会将shell.jpg截断，shell.jpg里面的内容由shell.php继承（例如shell.jpg里面的内容是<?php phpinfo();?>,截断之后shell.php里面会有这个内容）

截断的条件：（1）网上说是php版本小于5.3.4才能成功，我试了几个比5.3.4高的版本，在bp上传的时候都显示上传失败，同时我也试了5.3.29带nts的也测试失败了(暂时不懂是什么原因），这题是在5.2.17不带nts版本下测试的。       

                     （2）php的magic_quotes_gpc为OFF状态

pass-13（白名单-post00截断）

原理：系统在对文件名的读取时，如果遇到0X00，就会认为读取已经结束，从而造成截断。

资料：关于00截断原理的一些思考_%00截断-CSDN博客

1.看源码发现和上一题的差别在于$_GET['save_path']和$_POST['save_path'],这题我们不能用%00截断了，因为post方法不会将%00解码，即无法造成截断，不过可以利用0X00截断。

2.先上传一张1.jpg图片，用bp抓包。在/upload/后面加上shell.php%00(加%00的原因是为了方便后续的操作，可以换成一个你熟悉它十六进制的字符)

3.在Hex找到刚刚的标记字符%00的十六进制3030改成0000

pass-14（图片马绕过）

绕过文件头检查，使用图片马加文件包含进行绕过

1.靶场自带的文件包含

2.观察源代码，通过读文件的前面两个字节，可得使用图片马，且定义了一个函数getReailFileType用来检测文件类型。只能上传jpg\png\gif类型文件

服务器在后台使用函数来判断上传的文件内容是否为图片。如果是WebShell文件仅仅是修改了后缀，可能会被pass掉。故上传的内容必须得有真实的图片内容。

图片马的制作：

方法一：图片用notepad++打开，在尾行添加一句话木马 

方法二：使用copy命令

此题的其他绕过：

1.文件头图片格式绕过，使用工具打开修改文件头

2.文件头GIF89a绕过

“GIF89a”经常作为“Graphics Interchange Format number 89A”的缩写来使用，中文表示：“图形交换格式编号89A”

3.图片马上传成功之后， 在新标签页打开上传的图片，这里直接使用了文件包含

4.最后用蚁剑连接，此关卡通过

pass-15（与14关相同的方法）

pass-16（exif图片检测）

资料：获取图像的类型-CSDN博客

exif_imagetype_百度百科

1.观察源代码，发现此关卡使用了本题使用的检测函数为exif_imagetype()，exif_imagetype是判断一个图像的类型的进程。

2.在开始之前，你需要在php配置中开启exif选项。

3.剩下的与14关一样，最后使用蚁剑连接成功

pass-17（二次渲染）

二次渲染就是在我们上传的图片后，网站会对图片进行二次处理，比如对图片的尺寸、格式、以及网站对图片进行定义的一些要求等进行处理，并且服务器会对里面的内容进行二次替换更新，在处理完后，会生成一个合规的图片在网站上显示出来。

1.观察源代码，imagecreatefromjpeg（）函数，二次渲染是由Gif文件或 URL 创建一个新图象。成功则返回一图像标识符/图像资源，失败则返回false，导致图片马的数据丢失，上传图片马失败。

二次渲染不是全部渲染，只渲染部分，所以把经过渲染的文件与未渲染的文件进行比较就可以得出不渲染的区域，随后把后门写在这里即可

这一关对上传图片进行了判断了后缀名、content-type，以及利用imagecreatefromxxx判断是否为相应格式的图片，最后再做了一次二次渲染，但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方，添加一句话，通过文件包含漏洞执行一句话，使用蚁剑进行连接。

 思路：二次渲染会对图片特定地方进行重写，按照标准格式进行存储，先上传一张正常gif然后下载上传完毕后的图片，作对比，在即使经过二次渲染也没有改变的地方植入木马，最后文件包含执行。

 2.上传正常的图片，文件包含打开图片，可以看到这里只是显示了图片的内容，没有解析到图片中的PHP代码。因为系统把我上传的图片重新渲染了一遍，或者说是压缩了我所上传图片的内容。

这里使用了大佬生成好的二次渲染图片：文件上传之二次渲染(专用图).zip - 蓝奏云

3.接下来先把被渲染的图片下载下来，直接右键图片，点击“另存图像为”，将两个图像使用010工具中的比较文件打开，在已经被渲染的图像里面，未被渲染的区域插入一句话木马

4.保存后，上传被渲染过且被修改过的一句话木马图像，并使用文件包含，发现成功上传

pass-18（条件竞争）

资料：https://blog.csdn.net/2301_81105268/article/details/137654545

文件上传漏洞练习 upload-labs（16~20）【exif图片检测，二次渲染绕过，上传条件竞争，包含条件竞争，文件名可控】_upload-labs通关第16关文件渲染-CSDN博客

我们可知，将文件上传至服务器后，不会被立即删除，而是做短暂的停留，中间会有一小部分时间差，这部分时间差是代码进行if判断的时间，这部分时间足够执行一句代码，我们利用这段时间差和一段代码就可以达到上传含有恶意代码的非法文件的目的，这就是“条件竞争”。 

1.进行代码审计，代码大概含义就是，对上传的文件首先进行白名单比对，如果是规定的格式，那么就重命名后储存，如果是其他文件就进行删除操作，也就是unlink() 函数

执行代码，创造一个名为 shell.php 的文件，shell.php 中写有 <?php phpinfo() ?>。这样我们在test.php 在后台短暂停留的时间内，只要访问它并执行代码，它就会在 upload 中创建 shell.php文件，达到上传非法文件的目的。 （这里我创建的是1.php文件）

2.上传 shell.php 文件，使用 Burpsuite 进行拦截，并将拦截信息发送至 intruder模块进行爆破访问，attack-type选择sniper狙击手模式。

pass-19（条件竞争）

Upload-labs 1-21关 靶场通关攻略(全网最全最完整)_upload靶场-CSDN博客