直接写一个php文件测试一下,发现弹窗不让上传
原理很简单,就是把后缀名拿出来过滤一遍,而白名单就是弹窗的这三个
解决方法:
因为这是在前端防御的一个手段,所以直接在浏览器设置上禁用js就行了:
也可以用bp抓包然后直接改后缀
这关检测的是文件类型,也就是content-Type
那就直接抓包改文件类型content-Type:image/jpeg就搞定了
这关过滤了.asp,.aspx,.php,.jsp后缀名
根据这道题的httpd.conf文件的AddType application/x-httpd-php .php .php3.phtml,php3自动解析成php,所以后缀名改成php3就行了,这关方法仅限这道题
利用.htaccess文件,一般适用于伪静态的,也可以控制网站根目录下的文件解析,所以我们创建一个htaccess文件,然后写入规则:AddType application/x-httpd-php .jpg,作用就是将这个.jpg后缀当成php解析。
所以我们先上传这个htaccess文件,然后再上传图片马,就成功了
图片马的创建:
一个图片,一个php文件,然后在命令行下copy xxx.jpg/b + xxx.php/a mmm.jpg,这个mmm.jpg就是图片马
这关没有大小写过滤,直接后缀名改成PHP就行了
没有过滤空格,用bp抓包在php后面加个空格变成'.php '就成功上传了
注:这个特性是windows下的,linux是不行的
没有删除文件后缀的点,又因为windows会自动去除点,那就抓包改成xxx.php.直接绕过,然后windows自动去除点后执行php
这关没有过滤::$DATA
像这样写:xxx.php::$DATA,这个::¥DATA写了就相当于没写,但是可以绕过上传成功
尝试下冒号截断:冒号可以将web.php:jpg截断,用jpg绕过后再把jpg丢掉,php上传成功,但是文件内容也被清空了。
解决方法:在windows+php+iis(部分apache也可以),<等于*。
那么我们这样写:web.<<<,会转换成???然后会匹配三个任意字符,就匹配上web.php了。
所以这道题抓包改后缀名即可:
这关直接抓包双写绕过xxx.phphpp
看源码得知上传一个图片放到临时文件夹,然后通过move函数把这个临时文件覆盖到upload目录,正常情况下会是upload/temp.jpg
问题在于这个路径是get,我们可以控制,所以抓包改路径构造成upload/shell.php%00temp.jpg
这样就会把后面的jpg截断,因为php底层是c语言,00在c语言中是停止的意思
所以相当于把shell.php传到upload目录了
(这是php5.2的漏洞)
还是00截断,只是改成post了,%是urlcode编码的,这里不能用%了
可以随便写一个内容,这里写了一个点,然后再post的16进制里改成00
检测文件内容的前两个字节
先创建一个shell.gif文件,然后在一句话木马之前写一个GIF89a,这是伪造的图片头,上传成功,但是不能用,用文件包含才能用,先复制图片路径,然后打开一个include的文件,再添加参数为图片路径
include就是一个把包含的文件当成php执行的函数
用图片马,然后加上一个include包含就行了
.jpg .png后缀的时候不用加GIF89a
增加了一个类型判断:
跟上一关操作一样
过滤图片马了,也就是会打乱图片顺序,所以图片马就会被打乱了,不能用。
先随便传个上传个图片马,然后再把这个图片下载下来看看发现里面的一句话木马乱了
思路就是在没有混淆的地方插入一句话木马,所以我们用010editor找可以放一句话木马的地方(只要能放下就行):
然后把一句话木马插入这个不会改动的地方就能上了(可能找的地方会把图片格式弄乱,那就换一个地方写一句话木马):
再把文件复制下来用文件包含打开即可(GIF好改一点,jpg、png格式比较复杂,改动容易出错,会被判定为不是jpg、png格式)
jpg、png的话可以用脚本来弄,思路跟gif一样
顺便提一句:比较好的防御方法是吧上传图片文件夹的执行权限去掉
这是在上传成功以后才判断的后缀,所以直接写php文件
这关用一个竞争型的思路,因为这源码看得出来,先上传后再判断是否要删除
我们写这样一个php文件:
')>;
这个文件执行的话会在上一级目录创建一个php文件,当然,这个文件会被马上删除,但是在上传到删除之间是有一定时间的,我们正是要利用这一点。
手工操作不现实,所以用bp的爆破的方式,相当于多次上传,然后我们就访问xxx/shell.php,一直手动刷新。也可以用bp再开一个进程,一个上传,一个访问就可以访问到了
想避免这种条件竞争的漏洞就先过滤再上传