博客

生命在于折腾——upload-labs

  • Post author:
  • Post category:其他




一、折腾环境

  • 虚拟机win10环境
  • phpstudy2018
  • 安装了upload-labs



二、Pass-01



1、写好我们的测试文件

在这里插入图片描述

在这里插入图片描述



2、将php后缀名改为jpg

在这里插入图片描述



3、选择文件后开启抓包,点提交,burp抓到包

在这里插入图片描述

在这里插入图片描述



4、将包中sh.jpg改为sh.php,发送包

在这里插入图片描述



5、右键图片打开图片网址,则可以看到成功

在这里插入图片描述

在这里插入图片描述



三、Pass-02



1、首先01关的方法02同样适用。



2、直接选择php文件,开启抓包,提交抓到包

在这里插入图片描述

在这里插入图片描述



3、将content-type值改为 image/jpeg,发送



4、右键图片在新标签打开图片,即可看到成功

在这里插入图片描述



四、Pass-03



1、需要在httpd.conf中查找application/x-httpd-php,开启php3或其他。



2、选择sh.php文件,开启抓包,点提交,抓到包

在这里插入图片描述

在这里插入图片描述



3、修改sh.php为sh.php3(其他也可以,具体请百度)

在这里插入图片描述



4、发送包,关闭抓包,右键图片在新标签打开,即可看到成功。

在这里插入图片描述



五、Pass-04



1、写一个名字为htaccess的文件,没有后缀名,上传,抓包

在这里插入图片描述

在这里插入图片描述



2、抓到包后将在名字前面加个.

在这里插入图片描述



3、发送,取消拦截,将sh.jpg上传,然后直接访问图片,即可发现成功

在这里插入图片描述



六、Pass-05



1、选择sh.php,开启抓包,点击提交,抓包



2、将包里的sh.php后面加上 . . 发送。(

两个点里面有空格


在这里插入图片描述



3、右键图片,在新建标签页打开,即可看到成功。

在这里插入图片描述



七、Pass-06



1、这一关把上一关的htaccess禁掉了



2、选择文件sh.php,开启抓包,提交,抓到包

在这里插入图片描述



3、将sh.php改成sh.Php,发送

在这里插入图片描述



4、右键图片在新标签页打开,即可看到成功

在这里插入图片描述



八、Pass-07



1、选择文件,开启抓包,点击提交,抓到包。



2、将sh.php后面加一个空格,发送。

在这里插入图片描述



3、右键图片,在新标签页打开即可看到成功。

在这里插入图片描述



九、Pass-08



1、选择文件,开启抓包,点击提交,抓到包。



2、将sh.php后面加一个. ,发送。

在这里插入图片描述



3、右键图片从新标签页打开,即可看到成功。

在这里插入图片描述



十、Pass-09



1、选择文件,开启抓包,提交文件,抓到包



2、将包里的sh.php后面加::$DATA,发送

在这里插入图片描述



3、右键图片,从新标签页打开即可看到成功,记得把url里的::$DATA删掉,否则看不到。

在这里插入图片描述



十一、Pass-10



1、选择文件sh.php,开启抓包,提交,抓到包,将包发送到重发器,将sh.php改为sh.phpp:.jpg

在这里插入图片描述



2、发送后将再改为sh.>>>,发送,取消抓包。

在这里插入图片描述



3、然后就可以直接访问了。

在这里插入图片描述



十二、Pass-11



1、选择sh.php,开启抓包,提交,抓包。



2、将sh.php改为sh.pphphp,发送。

在这里插入图片描述



3、右键图片,在新标签页打开,即可看到成功。



十三、Pass-12



1、这一关需要php版本<5.3.4,而且magic_quotes_gpc=off。



2、提交sh.jpg,抓包,在头文件补全upload后面的,在sh.php结尾加上%00。

在这里插入图片描述



3、直接访问upload/sh.php即可。



十四、Pass-13



1、选择sh.jpg,提交,抓包,发送到重发器。



2、找到/upload/把后面补全,/upload/sh.php%00

在这里插入图片描述



3、选中%00右键转换选择-URL-网址解码,发送

在这里插入图片描述



4、直接访问upload/sh.php即可发现成功



十五、Pass-14



1、准备一张图片,不行的话多换几张,和sh.php放一块,使用命令合成一张新的图片。

copy 1.gif/b+123.php/a she.jpg

在这里插入图片描述



2、选择文件,上传,然后右键文件包含漏洞

在这里插入图片描述



3、在hackbar中load一下地址,然后加上?file=upload/(上传上去的文件名)

在这里插入图片描述



十六、Pass-15

Pass-15和Pass-14一样。



十七、Pass-16

Pass-16和Pass-14一样。



十八、Pass-17

这里最好选择gif图片木马

可以使用制作好的gif(这里不提供)。

上传后,使用蚁剑即可连接成功。

在这里插入图片描述



十九、Pass-18



1、选择sh.php,开启抓包,提交,抓到包。



2、将之前写好的一句话木马换成

在这里插入图片描述

在这里插入图片描述



3、发送到测试器,选择狙击手,不设置包,调整线程,选择没有负载,资源池中最大并发请求数大一些。

在这里插入图片描述



4、使用python脚本文件去访问upload下时有时无的文件。

在这里插入图片描述

在这里插入图片描述

直到出现ok。

在这里插入图片描述

就可以看到shell.php

在这里插入图片描述

在这里插入图片描述



二十、Pass-19



1、选择sh.php,开启抓包,提交,抓到包。



2、将之前写好的一句话木马换成

在这里插入图片描述

在这里插入图片描述



3、在sh.php后面加上.7z

在这里插入图片描述



4、写好一个py文件

在这里插入图片描述



5、burp攻击(方式和上关一样)+py请求。

在这里插入图片描述

在这里插入图片描述

成功拿到shell。



6、利用shell

在这里插入图片描述



7、第二种绕过方法:文件包含+图片马

抓到包后将sh.php改为sh.jpg,一句话木马前加上GIF89a,上传成功后,使用前几关的文件包含漏洞包含即可成功。



二十一、Pass-20



1、第一种方法:上传文件,文件名用%00截断,抓包解码

例如shell.php%00.jpg截断后shell.php或者使用/.

在这里插入图片描述

在这里插入图片描述


注意:%00截断需要gpc关闭,抓包,解码,提交即可,截断文件名php版本小于5.3.4才行。



2、第二种方法:配合中间件解析漏洞使用

例如 iis6.0 上传 1.php;1.jpg , apache 上传 1.php.a 也能解析文件 a.asp;1.jpg 解析成 asp

在这里插入图片描述

在这里插入图片描述



二十二、Pass-21


第二关的方法同样适用,但需要前面关卡的文件包含漏洞。



1、选择sh.php,开启抓包,提交,抓到包


需要用Burp2020版。



2、将Content-Type字段改为image/jpeg(允许的三个都可以)并将数据包中的name=”save_name”以数组的形式发送,并将数组的最后一位改成可被成功放行的(jpg,png,gif)中的任意一种。

在这里插入图片描述

在这里插入图片描述



3、放包,成功上传。

在这里插入图片描述



4、即可发现成功。

在文件包含漏洞页面,使用file访问即可。


版权声明:本文为qq_15131581原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。