漏洞介绍

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。一般都是指“上传Web脚本能够被服务器解析”的问题。

漏洞详解

我们的测试平台：upload_labs
环境：phpstudy2016 强烈建议用2016 会方便很多

第一关：前台js验证

我们上传文件会被前端拦截

右键查看网页源代码，发现在上传时候调用了checkFile方法进行了检查，如果检查失败会返回false导致上传失败

三种解决方法
其实是4种，但是禁用前端js可能造成很多麻烦我们去掉这种
抓包修改文件类型
将shell的后缀改为jpg绕过前端验证，抓包时在改回php

burp修改response返回值
刷新第一关页面，burp抓包拦截response包

将onsubmit直接删除，或者将checkFile改为return true都可以绕过

通过保存源代码修改action

原来网页代码是没有action的，如果没有action默认就是发送到本页面，我们修改function然后添加一个action就可以上传成功

第二关：content-type类型绕过

这关判断了content-type类型，如果满足才可以上传否则就会出错

抓包将修改类型上传成功

第三关：黑名单验证绕过

在这之前修改apache下的httpd.conf文件，将这条的注释去掉，代表php文件 phtml文件都可以解析为php ，当然我们也可以自己添加文件类型

我们看一下源码

因此我们可以上传phtml来绕过黑名单验证

第四关：.htaccess绕过

这关的源码其实和上一关相同，只不过出现了许多黑名单

修改配置文件，原本是none改为all，重启apache

我们首先上传一个名字为.htaccess的文件

<FilesMatch "4">   //意思为和这个文件同目录的文件，只要名字中带有4都会被当做php解析
SetHandler application/x-httpd-php
</FilesMatch>

上传文件名为114.png文件，带有4所以被解析成php

第五关：大小写绕过

第五关源码：

对比第三关源码少了一个大小写转换

由于他没有禁止大写，直接大写后缀上传

第六关：后缀去空绕过

这关源码因为没有去掉最后的空格，因此在和数组进行比较时会匹配失败，导致上传成功，上传上的文件因为系统会自动把后边的空格去掉，形成一个可以解析的php后缀

burp抓包多加一个空格

上传成功

第七关：后缀加点绕过

和第六关思路一样，绕过之后系统会自动把点去掉

第八关：::$DATA绕过

在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名，且保持::$DATA之前的文件名，他的目的就是不检查后缀名
网站没有过滤::$DATA，我们可以绕过

第九关：双写.(空格).绕过

这关把所有的都验证了，但是他是顺序执行只执行了一次 我们在shell.php后加上.(空格). 先删除一个点，然后最后去除空格，但是前面还有一个点没有去掉，导致绕过

第十关：双写绕过

将文件名和数组中进行匹配，如果匹配上则把匹配内容改位空字符串
我们可以双写php绕过 pphphp

其实上面这几关全部可以用php..绕过，但是大家还是老老实实的用应该的方法练习一遍最好

第十一关：GET %00截断绕过

00截断是当程序遇到00时会自动停止不再解析之后的内容，试用php5.3一下的版本，我们把版本切换到5.2.17
踩坑：需要把magic_quotes_gpc参数关闭，注意默认就是关闭的！！但是我尝试了还是不能成功，如果你也遇到这种情况，咱们打开之后再给他关闭一下就可以了。
上传路径可控，修改上传路径00截断上传成功

因为是根据上传路径拼接的，所以不能在文件名的地方进行00截断

第十二关：POST %00截断绕过

这次的上传路径地址是post方法发送的

get和post的区别就是get能自动url解码，而post却不能，因此我们要在burp里对%00进行解码

上传成功

十三、十四关：图片马配合文件上传漏洞

使用命令生成图片马

copy a.jpg /b + cc.php /a shell.jpg

上传成功之后使用include.php文件包含成功

十五关：和13、14关相同

操作一样。但是需要打开php_exif，本函数可用来避免调用其它 exif 函数用到了不支持的文件类型上或和 $_SERVER['HTTP_ACCEPT'] 结合使用来检查浏览器是否可以显示某个指定的图像。

十六关：二次渲染绕过

imagecreatefrompng PNG 文件或 URL 新建一图像
二次渲染就是我们上传图像之后，发现图片某些位置被删除了，导致我们的命令不能成功执行，于是我们要把渲染过后的文件保存出来，使用16进制编辑器和没渲染的位置进行对比，找到不变的位置，在这里插入我们的恶意代码
我们上传图片马之后发现已经解析失败了

渲染后的文件

渲染前的文件

但是手工插入很难成功，我们使用脚本

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'./1.png');
?>

我们找到php 目录 执行 php 1.php 就会给我们生成一个1.png文件
010editor打开

之后使用这种形式传参就可以成功执行命令

十七关：条件竞争漏洞

需要用到不死马

<?php
ignore_user_abort(true);
    set_time_limit(0);
    @unlink(__FILE__);
    $file = '555.php';
    $code = '<?php phpinfo();?>';
    while (1){
        file_put_contents($file,$code);
        usleep(5000);
    }
?>

我们看代码他是先将图片上传上去，才开始进行判断后缀名、二次渲染。如果我们在上传上去的一瞬间访问这个文件，那他就不能对这个文件删除、二次渲染。这就相当于我们打开了一个文件，然后再去删除这个文件，就会提示这个文件在另一程序中打开无法删除。

由于代码是先移动文件位置在对文件做判断，我们可以使用Burp不停抓包，利用判断之前的间隙运行成功不死马

一个用于访问路径，一个用于上传，返回值200表示已经生成好了内存马

十八关：条件竞争漏洞配合解析漏洞

和十七关相同，只不过要用解析漏洞的路径

十九关：move_uploaded_file()特性绕过

move_uploaded_file()有这么一个特性，会忽略掉文件末尾的 /.
所以我们把他修改为如图所示

成功访问

第二十关：数组绕过

问题出在这里，reset是获取第一个元素
但是如果我们传的参数为

$file=>{
'0'=>'upload20.php/'
'2'=>'jpg'
}

php的数组既可以当数组又可以当字典，这里其实是字典的用法
这时候呢reset函数取出第一个值是upload20.php 和点拼接 然后count获取长度为2 ，然后2-1为1 但是file数组中没有Key值为1的数字，所以返回为空 所以文件名为upload20.php/ 而$ext获取的是最后面的值因而为jpg也绕过了判断

上传成功

总结

条件： 寻找一个上传点，查看上传点是否可用。
利用： 首先判断是程序员自己写的上传点，还是编辑器的上传功能 如果是编辑器上传功能，goolge当前编辑器的漏洞 如果是程序员写的上传点 上传一个正常的jpg图片 查看上传点是否可用 上传一个正常的jpg图片，burp拦截，修改后缀为php (可以检测前端验证 MIME检测 文件内容检测 后缀检测） 上传一个正常的jpg图片，burp拦截， 00截断 1.php%00.jpg 判断服务器是什么类型，web服务器程序，是什么类型，版本号多少 利用解析漏洞