upload-libs通关攻略

pass01

第一关是一个前端验证，只要把Javascript禁止再上传就可以绕过了。

上传成功，到上传的地址查看结果如下：

pass-02

这是一个MIME绕过，用bp抓包后修改文件类型即可将下面这个请求头修改

修该为下面 image/jpeg再发包。

通过成功。

pass-03

通过查看源码法系是一个黑名单验证，且黑名单不完善，可以用php3，php5等拓展文件名进行绕过

将文件后缀改为PHP3上传成功

pass-04

查看这关的源代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

发现这次把能用的拓展名都差不多放黑名单里面了，但是漏了一个.htaccess，我们可以通过这个想办法绕过

.htaccess是一个纯文本文件，它里面存放着Apache服务器配置相关的指令。
 .htaccess主要的作用有：URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等

用下面的语法将xxx文件当作php执行

<FilesMatch "xxx">
        SetHandler application/x-httpd-php
</FilesMatch>

这里的xxx是你上传的文件的名字，我上传的是shell.jpg

先上传.htaccess再上传shell.jpg就可以成功通关了，注意这里上传的.htaccess文件一定不要有文件名，我之前就是以为加了文件名一直没有成功将shell.jpg当php解析

pass-05

查看源码发现没有大小写验证，所以可以用大小写绕过

pass-06

对比源码发现没有去掉空格，所以可以在文件末尾加空格来绕过

pass-07

没有去除文件尾的点号，所以可以在文件末尾加点号来绕过

pass-08（：：DATA上传绕过）

这一题用的是

一、利用Windows特性
在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名，且保持::$DATA之前的文件名，他的目的就是不检查后缀名

例如:"phpinfo.php::$DATA"Windows会自动去掉末尾的::$DATA变成"phpinfo.php"

成功上传了，注意在访问文件路径时要去掉::$DATA

pass-09

查看源码发现过滤都很齐全了，但是只进行了一次过滤，这里可以用后缀加. .的方法绕过删除了文件末尾的第一个点后发现空格就没能再删除了

成功通关。

pass-10

查看源码发现，这次的过滤和之前不同，这次的过滤是去掉相关的黑名单后缀，但也只进行了一次过滤，所以我们可以用pphphp绕过，该过滤只会删除第一个php

 1 $is_upload = false;
 2 $msg = null;
 3 if (isset($_POST['submit'])) {
 4     if (file_exists(UPLOAD_PATH)) {
 5         $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
 6
 7         $file_name = trim($_FILES['upload_file']['name']);
 8         $file_name = str_ireplace($deny_ext,"", $file_name);
 9         $temp_file = $_FILES['upload_file']['tmp_name'];
10         $img_path = UPLOAD_PATH.'/'.$file_name;
11         if (move_uploaded_file($temp_file, $img_path)) {
12             $is_upload = true;
13         } else {
14             $msg = '上传出错！';
15         }
16     } else {
17         $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
18     }
19 }

通关成功。

pass-11

从源码来看是一个白名单过滤，这关的关键是img_path哪里获取了一个save_path的参数，文件最后的后缀名和它有关，我们可以上传白名单的文件名,savepath上传一个php用%00将后面的字符截断

在url编码中%00就是空字符，如果是用post方法获取的参数%00就没用了，要打个+或者其他字符，再将该字符的hex改为00，（注+的hex编码是2b)

用bp抓包进行下面的操作

上传成功

解析成功，这里要注意路径的后缀不要加截断后的值

pass-12

和上一关对比只是将get获取变为了post，我们这里用同样的方法可以绕过，要注意post中不会解码%00不能当空字符用。

bp抓包修改下面的东西，然后到bp的hex中找到+对应的hex，修改为00

通关成功

pass-13