Pass-01

image-20231226193710030

前端检测文件格式,不允许上传PHP文件

bp抓包,改名

image-20240113233635515

冰蝎连接

image-20240113234434345

Pass-02

上传文件,抓包,修改

Content-Type

image-20240113234634150

冰蝎连接

image-20240113234845321

Pass-03

不允许上传”.asp”、”.aspx”、”.php”、”.jsp”文件

image-20240114001151060

上传文件抓包

image-20240114001354783

冰蝎,连接

image-20240114001121400

Pass-04

线上传一个.htaccess文件

该文件“告诉”后端服务器,将jpg文件当做php文件执行

上传将php一句话木马文件后缀改为jpg

上传

image-20240114113758807

Pass-05

大小写绕过

image-20240114002258742

文件改名,后缀用大写。

冰蝎连接

image-20240114002403064

Pass-06

文件后缀空格绕过

image-20240114002627851

冰蝎连接

image-20240114002704856

Pass-07

文件尾加.绕过

image-20240114002820914

冰蝎连接

image-20240114003336425

Pass-08

image-20240114003735488

冰蝎连接,连接时将 ::$DATA 删去

image-20240114003903007

Pass-09

image-20240114004241968

题中只做了一次收尾去点和去空

可以在抓包将后缀改为.php.空格.

image-20240114004615784

冰蝎连接

image-20240114004719839

Pass-10

双写文件后缀

image-20240114004805582

冰蝎连接

image-20240114004838944

Pass-11

抓包,修改文件名和上传路径

image-20240114010719017

http://xtra5wsj.ia.aqlab.cn/upload/1.php%EF%BF%BD/1220240114010440.jpg将"1.php"后面的删去之后,冰蝎连接

image-20240114010536223

Pass-12

和Pass-11一样,不同的是Pass-12是POST传参,POST不会进行解码

burp抓包,在hex中修改

image-20240114011416839

冰蝎连接

image-20240114012209941

Pass-13

jpg图片马上传

image-20240114012603791

访问图片,并下载

image-20240114012703286

有毒!!!jpg图片马上传成功

png图片马上传

image-20240114013251142

下载访问图片

image-20240114013353912

有毒!!!png图片马上传成功

git图片马上传

image-20240114013802249

下载访问

image-20240114014604814

这次火绒不行了呀,没检测粗来

还得我用010看一看

Pass-14

上传gif,下载查看一句话木马有没有损坏

image-20240114123324470

还在

image-20240114123457127

Pass-15

上传图片马

image-20240114123531511

image-20240114123554543

有木马

Pass-16

上传gif马

马还在

image-20240114124929451

Pass-17~18

条件竞争

image-20240114125324062

这里是先进行上传在去检测

上传一句话木马,并利用一句话木马再另外创建一个一句话木马。

然后连接

先上传一个”大大滴良民”看看图片保存路径

image-20240114144157312

路径

1
http://192.168.72.138/upload-labs/upload//8120240114080115.jpg

上传一个jpg格式的一句话木马

bp抓包改后缀

image-20240114162219542

在抓一个访问这个一句话木马的包

image-20240114162244777

同时进行爆破

image-20240114162359029

成功写入1.php文件

Pass-19

源码分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists($UPLOAD_ADDR)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

$file_name = $_POST['save_name'];
$file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

if(!in_array($file_ext,$deny_ext)) {
$img_path = $UPLOAD_ADDR . '/' .$file_name;
if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $img_path)) {
$is_upload = true;
}else{
$msg = '上传失败!';
}
}else{
$msg = '禁止保存为该类型文件!';
}

} else {
$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
}
}

image-20240115005505696

1
move_uploaded_file()`还有这么一个特性,会忽略掉文件末尾的`/.

上传图片马,保存名为upload-19.php/.

image-20240115010944916

连接

image-20240115010915719

Pass-20

上传asa文件

bp抓包修改文件类型

image-20240115012032653

连接

image-20240115012022567

Pass-21

分号截断

在原本的asp文件后面加上‘ ;.jpg ’

image-20240115013455692

Pass-22

文件夹a.asp下的文件都会以asp格式解析

上传一句话木马

image-20240115014755753

连接

image-20240115014901525

Pass-23

上传图片马

image-20240115015053216

image-20240115015244213

image-20240115015829007

zKaQ-1Q2IO0SA