upload-labs靶场通关指南

Upload-labs靶场通关指南 Upload-labs靶场是一款文件上传漏洞靶场，旨在帮助安全研究员和渗透测试人员练习文件上传漏洞的检测和利用。本指南提供了 Upload-labs靶场的通关指南，涵盖了从基础的文件上传漏洞到高级的文件包含漏洞的利用方法。 Pass-1：文件上传漏洞基础 在 Pass-1 中，我们发现了文件上传漏洞的基础知识。我们创建了一个 PHP 文件，命名为 1234.php，用 bp 抓包工具来抓取上传的文件。发现 BP 并没有抓取到包，并且网页弹出弹窗。这表明了上传文件的格式是有限制的。我们可以将上传文件的格式改为符合要求的格式，例如改为 1234.png，然后再改包，把文件后缀名改成 php，然后 forward。上传成功。 Pass-2：Content-Type 限制 在 Pass-2 中，我们发现了 Content-Type 的限制。我们需要将上传文件的 Content-Type 从 application/octet-stream 更改为 image/png，然后放行。这样可以绕过 Content-Type 的限制。 Pass-3：后缀名限制 在 Pass-3 中，我们发现了后缀名的限制。我们可以将文件后缀名改为 phtml，然后直接上传。为了让 apache 能够解析 phtml 文件，我们需要在 httpd.conf 文件中添加一条 AddType 语句。 Pass-4：.htaccess 文件上传 在 Pass-4 中，我们发现了 htaccess 文件的上传限制。我们可以将 1234.php 文件后缀改为 png，上传成功，然后访问文件路径。 Pass-5：大写转换漏洞 在 Pass-5 中，我们发现了大写转换漏洞。我们可以将文件名后缀改为大写，然后上传成功。 Pass-6：Windows 文件名特性 在 Pass-6 中，我们发现了 Windows 文件名特性。我们可以将文件名最后增加空格，写成 abc.php，然后上传成功。 Pass-7：点号绕过 在 Pass-7 中，我们发现了点号绕过。我们可以在.php 后面加个点，然后上传成功。 Pass-8：::$DATA 绕过 在 Pass-8 中，我们发现了 ::$DATA 绕过。我们可以在.php 后面加 ::$DATA，然后上传成功。 Pass-9：::$DATA 禁用 在 Pass-9 中，我们发现了 ::$DATA 的禁用。我们可以在.php 后面加点空格点，然后上传成功。 Pass-10：双写绕过 在 Pass-10 中，我们发现了双写绕过。我们可以将黑名单里的后缀名替换为空，然后上传成功。 Pass-11：%00 截断 在 Pass-11 中，我们发现了 %00 截断。我们可以上传一个 jpg 文件，然后使用 bp 抓包。在 upload 后面加 11.php%00，拦截，放行，查看返回包，发现文件地址。 Pass-12：%00 截断 POST 在 Pass-12 中，我们发现了 %00 截断在 POST 请求中的应用。我们可以上传一个图片文件，然后使用 bp 抓包。在 upload 后面加 00，放行，查看返回包，发现文件地址。 Pass-13：文件包含漏洞 在 Pass-13 中，我们发现了文件包含漏洞。我们可以合成一个图片马命令，例如 copy 1.jpg /b + shell.php /a shell.jpg，然后上传文件，利用文件包含漏洞，直接访问文件包含漏洞的地址。 Upload-labs靶场提供了一系列的文件上传漏洞利用方法，涵盖了从基础的文件上传漏洞到高级的文件包含漏洞的利用方法。