upload-labs

Pass-01 前端js验证 谷歌设置->隐私安全->网站设置->JavaScript 上传php文件 复制图片地址 蚁剑连接 文件上传成功 Pass-02 MIME是一种类型（例如：text，image），MIME是一种标准，是用来表示文档，文件或字节流的性质和格式（告诉浏览器这个文件的类型，目的 ......

upload-labs靶场环境是使用PHP语言编写，持续收集渗透测试和CTF中针对文件上传漏洞的靶场，总共21关，每一关都包含着不同的上传绕过方式。本文主要介绍Linux Debian12系统使用Podman部署upload-labs靶场环境。 ......

搭建upload-labs upload-labs是一个使用PHP语言编写的、专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场，旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关，每一关都包含不同的上传方式。GitHub仓库为c0ny1/upload-labs/，推荐使用Windows系统，因 ......

一、描述 顾名思义，文件上传就是利用服务器对上传文件时存在的漏洞来实现上传任意文件，通过自己编写的文件内容让服务器执行文件内容达到可控的目的,但文件的上传往往回有各种各样的过滤,以下将演示upload-labs的关卡: 二、关卡 1、pass-01 尝试把webshell传入到服务器，发现服务器对文 ......

前端绕过、MIME-Type 绕过、黑名单绕过（::$DATA 与双写绕过，大小写绕过，空格绕过，点绕过）、.htaccess 利用、.user.ini 利用、白名单绕过之 %00 截断绕过。 ......

这一关对上传图片进行了判断了后缀名、content-type，以及利用imagecreatefromgif判断是否为gif图片，最后再做了一次二次渲染，但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方，添加一句话，通过文件包含漏洞执行一句话，使用蚁剑进行连接补充知识：二次渲染：后端重 ......

Upload-labs文件上传靶场搭建方法请查阅另一篇Blog：基于Ubuntu20.04搭建Upload-labs文件上传靶场 upload-labs是一个使用php语言编写的，专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关，每一关都包含 ......

# upload-labs通关 [TOC] ## Pass-01（前端JS绕过） > 第一关，刚开始使用bp进行数据抓包的时候，会弹出上传的文件不符合类型要求，于是猜想该代码并没有被上传到后端服务器。查看源码和前端源码，发现源码里面实现了checkFile()的功能，通过function可以想到是` ......

upload-labs是一个使用php语言编写的，专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关，每一关都包含着不同上传方式。 修改文件后缀名上传 从源代码可以看出来上传的文件只支持.jpg/.png/.gif，所以我们选择一张任意.jpg ......

## upload-labs靶场下载地址 https://gitcode.net/mirrors/tj1ngwe1/upload-labs?utm_source=csdn_github_accelerator 需要新建一个upload文件夹，该靶场在php5.2.17版本下(除特殊说明的情况下)。 ......

第一题 直接查看源码 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!") ......

没有对上传用户名的文件做判断，只对用户输入的文件名做判断 后缀名黑名单 上传文件名用户可控 黑名单用于用户输入文件后缀名进行判断move_uploaded_file() 特性 会忽略文件末尾/.1 建立新文档 输入 <?php phpinfo();?> 命名成PHP文件 有两种模式 一种 末尾加ph ......

这关是尝试在文件后面加点 因为被禁用了很多文件名 但是没有禁用后面加点这一项 那我们就可以进行尝试在文件后面加点经过尝试直接在文件后面加点会被自动删除掉 所以要抓包进行修改上传图片进行抓包查看完成 ......

因为是白盒测试 可以看到前端代码 所以我们知道没有禁用掉字符::$DATA 如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名上传文件进行抓包 修改后缀查看完成 ......

经过查看源码 很多文件格式都被禁掉了提示所以我们要尝试是否是循环验证 循环验证就是没有进行二次验证或者多次验证 只验证了一次 但是加两个点或者加多个空格 这样就只会检测到一次 就只会删除一个 剩下的就可以上传进去上传文件进行抓包 查看完成 ......

上传文件修改后缀文件名 将php修改成pphphp这样就会从前面向后检测 检测到php就会把php 删除掉 这时候没有循环检测或者多次检测 剩下的就还是php 就会上传成功源码提示上传文件 抓包查看完成 ......

%00是url编码，使用GET请求是在url地址中添加，服务器会自动解码，而在post中添加服务器不会将%00解码成空字符此漏洞适用于5.3以下版本发现可以上传文件格式抓包添加php%00抓包完成 ......

上传文件进行抓包上传成功完成 ......

打开靶场发现phpStudy 使用5.3以上版本只允许使用这三种文件格式1 制作图片马 创建一个文件夹里面 准备一张 jpg图片和准备一个一句话木马的php文件 使用notepad++打开图片最后一行添加<?php phpinfo();?>2 打开cmd 使用命令制作图片马输入命令copy 图片位置 ......

以上步骤和14关一样1 制作图片马 创建一个文件夹里面 准备一张 jpg图片和准备一个一句话木马的php文件 使用notepad++打开图片最后一行添加<?php phpinfo();?>2 打开cmd 使用命令制作图片马输入命令copy 图片位置 /b + 木马php位置 /a 编写的文件名称 . ......

查看源码注意到这样查看你的phpstudy 文件配置或者PHP扩展及设置 配置文件里代码太多不好找 去PHP扩展更改也可以配置改完 重新启动就i可以16关和 15 14关步骤一样 ......

十八关是一个先上传后验证配合逻辑漏洞产生的条件竞争方法 上传php文件进行抓包 抓包发送到攻击模块 因为攻击时会检测到php文件并会删除所以攻击同时再打开另一个浏览器去访问那个文件路径 这样访问成功就不会被删除进行攻击清除选中点击开始 工具会一直上传 但是网站的服务器一直删除，我们在另一个浏览器打开 ......

这关是一个文件包含漏洞 文件解析 先上传一个图片木马 进行抓包获取路径 因为服务器会把上传的文件重命名一个新的 因为他是先验证 然后上传到服务器 所以他的文件路径要改 配合文件漏洞获取他的信息查看源代码提示这一关做了白名单验证文件上传后先保存在对象中 随后对文件进行判断存在，检查扩展名，检查大小，重 ......

c查看源码发现strtolower（string)* 说明 把字符串转换为小写* 参数string规定转换的字符串*注意 必须是字母才能转换为小写字母这个函数 被禁了很多 但是没有🈲大小写 这样就可以尝试把php替换成phP进行上传 发现这样可以打开进行上传发现上传失败使用抓包工具进行抓包抓住包后 ......

此关是没有首未去空验证的 所以只需要在前面或者后面加空格就好上传进行抓包查看 ......

源码提示使用抓包伪造mime类型进行绕过打开第二关选择上传文件看到文件类型不正确 接下来查看一下源码可以上传什么类型的文件经过查看 所需要的类型接下来进行抓包 抓包步骤和第一关一样把类容类型更成所需要的类型上传成功查看 ......

打开靶场查看源码查看提示后发现在选择上传文件时可以更改文件后缀进行上传从而绕过类如可以把1.php改成1.php5 或者其他可以不禁用的文件格式上传完成后进行抓包抓包是为了查看文件路径并复制函数Array一般指数组。数组(Array) 是有序的元素序列。若将有限个类型相同的变量的集合命名，那么这个名 ......

前端验证打开靶场选择所需要上传的文件点击上传发现 上传文件不允许上传php格式文件使用javascript在客户端验证，后端源代码没有设防 直接禁用javascript就行将webshell后缀改成.jpg格式后使用 在进行抓包拦截 把后缀改为.php格式进行绕过接下来右击屏幕 点击检查下滑找到 返 ......

重装系统：CentOS 7.6 密钥对验证，或密码验证，根据自身情况选择，博主这边为了ssh连接方便选用的密码校验。 WindTerm登录系统 需提前去云服务器的安全组，开放22端口ssh连接。 更新软件 yum update yum upgrade yum升级这两个命令之间有很小的区别。yum u ......

pass-1 js绕过 使用js在本地对文件进行校验 解决方法1：浏览器禁用js可实现绕过 解决方法2：bp抓包 将jpg改为php就可实现绕过 解决方案3：将网页下载下，删除过滤的js，在form提交表单中添加action属性，将其发送给原本应该正常发送的地址（查看请求头的URL）。这种方案可以解 ......