Upload-labs通关指南(下) 11-20

承接上篇,这次我们继续做下半部分。

有些题目有其他做法是针对于windows系统特性的，并不能在linux上奏效，因此不在考虑范围之内。

Pass-11

制作图片马直接上传

1	copy a.jpg /a + b.php /b c.jpg

或者使用%00截断

Pass-12

同11，将%00进行url编码

Pass-13

制作图片马进行上传

Pass-14

直接上传前面题目用过的图片马提示文件类型未知，此时我们的抓个包看看情况

发现并不是MIME拦截，猜测是检测文件头，我们在文件内容前加上GIF89a伪装直接绕过。

Pass-15

方法同14

Pass-16

经过上面两题的操作之后仍然提醒我们不是jpg格式的文件。怀疑不止检测了文件头，还检测了文件内容。初步怀疑是文件内容被识别过滤。尝试上传一个空内容的图片马，仍然不可行。接着我们分析空内容的图片马和普通图片的区别，判断是对图片进行了二次压缩。我们找一个已经经过二压但仍然存在木马的图片进行上传直接绕过。

Pass-17

此题可以直接用图片马搞定。
但是我们看这道题的提示，其实并不是让我们用这种方法。提示我们进行代码审计，通过查看提供的源代码，发现使用ulink删除文件，流程：先让你传文件，传到服务器上了，再进行判断，不符合就删除。
因此我们竞争上传。丢进burp进行暴力上传，让木马文件来不及被删除。

Pass-18

图片马也能搞定。
经代码审计，如果看到代码中出现.7z .zip .rar .gz这种压缩类型的文件，php有可能会自动解压
如果发现目标需要给文件重命名，可以使用竞争上传的原理，快速提交x.php.7z会来不及被重命名，并且可以被当作php执行。

Pass-19

%00截断

Pass-20

此题来源CTF，源代码如下

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功！";
                $is_upload = true;
            } else {
                $msg = "文件上传失败！";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件！";
}