记录下自己写的文件上传漏洞靶场的write up,包括了大部分的文件上传实战场景,做个笔记。
0x01 客户端js验证绕过上传
只是客户端验证 关闭js或者抓包上传即可。
0x02 MIME类型验证绕过上传
验证了Content-Type 改成图片的MIME类型即可
0x03 黑名单后缀名(php3、phtml)绕过上传
这关检测了文件后缀名,禁止了常见动态脚本后缀
不过php3 和pthml没有禁止,在apache配置文件中当php解析
注意php的版本 非线程安全版本的php是解析不了的
0x04 .htaccess配置文件绕过上传
这关把所有动态后缀都禁用了,包括php3、phtml,但是目录下没有.htaccess配置文件
我们可以通过上传这个配置文件达到以php解析的目的
0x05 黑名单后缀名(大小写)绕过上传
这关已经有.htaccess配置文件,不过可以通过文件后缀大小写来绕过。例如PHp,测试尝试即可。
0x06
黑名单后缀名(空格)绕过上传
黑名单后缀名(点)绕过上传
黑名单后缀名(::$DATA)绕过上传
这三关都是通过在文件后缀后面加相应的字符,绕过服务端对于文件后缀的检测,执行的时候又以php执行,达到上传木马的目的。
这里利用的都是windows系统的特性,文件后缀有空格、点、::$DATA、<,·>,>>>,0x81-0xff等但不限于这些字符时,windows会自动去除这些字符。
例如1.php::$DATA 保存的时候就是1.php
0x07 黑名单后缀名(后缀点+空格+点)绕过上传
这关单纯去除了末尾的点和空格,所以 点+空格+点 第一次过滤后剩 点,又达到我们前面几关类似的情况,造成上传。
0x08 黑名单后缀名(双写后缀)绕过上传
这关是个逻辑代码问题,使用str_replace函数对文件中动态脚本名替换为空,我们可以双写后缀
例如1.phphpp 去除了中间的php变成1.php,同样达到我们的目的。
0x09 get类型%00截断绕过上传
这关报错的路径在get参数里 可以直接%00绕过 ,00截断版本只限于5.3之前哦~
0x0A POST类型%00截断绕过上传
这关报错的路径在post参数里 可以直接00截断绕过 ,唯一不同的是post中内容不会给你直接url编码,所以我们需要改一下hex,00截断版本只限于5.3之前哦~
在后面加上hack.php+空格 然后切换hex选项卡,找到hack.php后面这个空格的hex,对应是20,我们改成00
即可上传
0x0B 图片内容伪造绕过上传
这关检测了内容 我们使用cmd合成图片马或者加上图片文件头(列如GIF89A)进行欺骗即可
0x0C 竞争条件绕过上传
这关利用的是竞争条件,服务器先允许你上传文件,然后检测是否合法,不合法再删除,我们要利用的就是在服务器删除前,访问到我们上传的php。
例如这里我准备一个tj.php,内容为
<?php $myfile = fopen("qing.php", "w"); $txt = "<?php phpinfo();?>"; fwrite($myfile, $txt); fclose($myfile); ?>
条件竞争中burp需要线程设置偏大
这里我上传我的tj.php,然后不停的访问tj.php上传后的地址,即http://www.hack_upload.com/upload/tj.php
这里使用两个发包器,一个包是上传我们tj.php的包,一个是访问我们上传tj.php后的地址
利用条件竞争,访问tj.php成功,所以新建了一个qing.php
0x0D CVE-2015-2348绕过上传
这关利用的是CVE-2015-2348 move_uploaded_file() 00截断,这里需要提交一个文件名作为保存文件的名称
看源码发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在save_name利用00截断绕过:
