【渗透测试】——Upload靶场实战（1-5关）

📖 前言：upload-labs是一个使用 php 语言编写的，专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关，每一关都包含着不同上传方式。

🕒 0. 安装phpstudy

🔎 phpstudy官网

注意：需下载旧版本，推荐v5.2.17，其他版本可能会导致部分Pass无法突破。

🔎 upload-labs靶场

下载后放置在WWW文件夹下

对站点域名进行设置，并保存

注意：这里提示./upload文件夹不存在，需要手工创建。

如果环境配置有困难，这里也提供一些已经配置好的网站开箱即用：
http://175.178.67.176:8084
http://39.101.164.187:90/
如果链接被Ban，可以自行去检索：

🔎 FOFA网络安全信息搜集

🕒 1. Pass-01

首先上传一句话木马

<?php @eval($_POST['csb']);
echo "vulnerable";
?>

发现弹窗给出了白名单文件类型，利用Burp抓包发现无法获取数据包，猜测是前端验证，禁用前端JavaScript，尝试上传

禁用JS后发现上传成功且返回图片，右键图片并选择“在新标签页中打开图片”

复制地址添加到中国蚁剑，即可连接。

我们也可以通过查看phpinfo的方式确认是否连接成功：

<?php phpinfo();?>

🕒 2. Pass-02

直接上传webshell.php，发现会提示文件类型不正确。

用Burp抓包拦截并分析数据包，猜测可能是对Content-Type类型有限制

我们尝试修改Content-Type: image/jpeg、image/png、image/gif（三种任选其一），重新发包

可以看到成功上传

法二：将.php改成.jpg先上传，开启拦截后修改为.php

🕒 3. Pass-03

直接上传webshell.php，发现会提示黑名单，即扩展名检测机制。

这里需要引入一些扩展知识，由于是黑名单限制且名单不完整，其实可以采用一些方法绕过。比如在某些特定环境中某些特殊后缀仍会被当作php文件解析的扩展名有：php、php2、php3、php4、php5、php6、php7、pht、phtm、phtml。

这里用.ptml试一下，直接上传一个名为webshell.phtml的文件，可以发现直接上传成功。

这里需要注意一下，由于phpstudy版本问题，有可能会导致无法解析，如上图。但是解题思路是正确的。

🕒 4. Pass-04

直接上传webshell.phtml，发现直接禁止上传，查看提示可知几乎所有php的扩展名都被禁止了。同时查看源码，大小写扩展名也有所判断。

其实这里有一种类型没有过滤，即上传中常用到的 .htaccess文件

.htaccess是一个纯文本文件，它里面存放着Apache服务器配置相关的指令。
.htaccess主要的作用有：URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。
.htaccess的用途范围主要针对当前目录。

创建.htaccess文件，代码如下：

<FilesMatch ".png">
SetHandler application/x-httpd-php
</FilesMatch>

这个代码的作用是，如果当前目录下有.png的文件，就会被解析为.php，成功上传。

🕒 5. Pass-05

查看源代码，发现少了个转换大小写的语句，我们将文件改为webshell.PHP即可绕过。

大小写绕过原理：
Windows系统下，对于文件名中的大小写不敏感。例如：test.php和test.PHP是一样的。
Linux系统下，对于文件名中的大小写敏感。例如：test.php和 test.PHP就是不一样的。

OK，以上就是本期知识点“Upload靶场实战（1-5关）”的知识啦~~ ，感谢友友们的阅读。后续还会继续更新，欢迎持续关注哟📌~
💫如果有错误❌，欢迎批评指正呀👀~让我们一起相互进步🚀
🎉如果觉得收获满满，可以点点赞👍支持一下哟~

❗ 转载请注明出处
作者：HinsCoder
博客链接：🔎 作者博客主页