当前位置：首页 > article >正文

Upoad靶场--文件上传

article 2026/5/3 22:59:08

摘要文章详细介绍了Upload-Labs靶场的21个关卡每个关卡都涉及不同的文件上传安全问题如JavaScript过滤、MIME-Type检测、黑名单绕过、.htaccess利用、条件竞争和文件包含漏洞等。通过分析源码、修改请求包和使用Webshell测试展示了多种绕过机制和技术旨在提升安全防护和渗透测试技能。作者对文件上传理论知识的总结文件上传漏洞指南原理绕过手法与靶场实战-CSDN博客目录前言Pass-01JavaScript绕过Pass-02MIME-Type绕过Pass-03黑名单--特殊后缀检测Pass-04黑名单--.htaccess绕过Pass-05 黑名单--.user.ini⽂件利⽤Pass-06黑名单验证--大小写绕过Pass-07黑名单验证--空格绕过Pass-08黑名单验证--点号绕过Pass-09黑名单验证--特殊字符::$DATA绕过Pass-10黑名单验证--. 空格 .绕过Pass-11(黑名单验证--双写绕过)Pass-12(白名单--get0x00截断)Pass-13(白名单--post0x00截断)Pass-14(图片马--利用file协议)Pass-15(图片马--利用getimagesize)Pass-16(图片马利用exif_imagetype)Pass-17(二次渲染)前言upload-labs是一个专门用来练习文件上传的靶场一共21关现在我们开始通关吧。Pass-01JavaScript绕过step1查看页面源代码这第一关使用了前端JavaScript来进行过滤并且只允许上传jpg、png、gif类型的文件。step2对于前端验证的我们可以使用bp过滤掉前段验证这只是用来防普通用户的step3上传webshellstep4复制图片的路径进行访问成功并验证此处有文件上传漏洞Pass-02MIME-Type绕过查看源代码这一关卡主要验证上传文件的Content-Type值是否在允许范围内只要修改Content-Type为允许的图片类型如image/png等即可绕过检测我们上传 .png文件再使用bp抓包修改后缀为 .php ,然后放包右键复制图片的路径进行访问执行第二关通过Pass-03黑名单--特殊后缀检测实验前准备修改Apache的httpd-conf文件。去掉前面#号的注释文件然后添加一些对应的文件后缀重启与前两关不同本关专⻔检测上传⽂件的后缀名是否在⿊名单中列如不允许上传.asp,.aspx,.php,.jsp后缀文件那我们就使用bp改后缀改为 .phtml放包复制图片链接访问成功绕过Pass-04黑名单--.htaccess绕过实验准备在Apache中如果需要启动.htaccess必须在httpd_conf中设置AllowOverride查看页面源代码这一关几乎把所有我们能想到的文件类型都禁止掉了我们可以使用.htaccess绕过先上传 .htaccess,它的内容SetHandlerapplication/x-httpd-php意思是把所有文件都解析为php文件来执行。我们直接上传 .png 查看效果我们看到哪怕我们上传的是 .png的文件也能当 .php代码文件执行Pass-05 黑名单--.user.ini⽂件利⽤这一关和上面的那关一样都是把我们想到的文件后缀都禁掉了我们使用.user.ini来绕过上传 .user.ini文件文件内容auto_prepend_file2.png后面的文件名要和第二次上传的一致上传 2.png文件复制图片链接再把2.png改为readme.php才能绕过readme.php文件靶场自带帮助我们执行2.png的代码通关Pass-06黑名单验证--大小写绕过查看源代码发现 .htaccess和 .user.ini文件绕过都被禁掉了但是我们发现源码少了大小写过滤所以我们采取大小写绕过上传 .php的webshell将后缀大写绕过放包成功通过Pass-07黑名单验证--空格绕过查看页面源代码发现这关没有使用trim()去除空格可以使用空格绕过黑名单抓包修改上传一句话木马文件名4.php注意这里有个空格上传webshell在文件后加空格放包复制图片链接访问通关Pass-08黑名单验证--点号绕过查看页面源代码发现这一关黑名单没有使用deldot()过滤文件名末尾的点可以使用文件名后加.进行绕过抓包修改上传一句话木马文件名4.php.注意这里有个点放包复制图片链接访问让文件执行通关Pass-09黑名单验证--特殊字符::$DATA绕过查看页面源代码这一关黑名单没有对::$DATA进行处理可以使用::$DATA进行处理在Windows系统中将::$DATA放在文件的后缀后面Windows会将::$DATA 被忽略文件保存为 4.php上传webshell给.php后缀加 ::$DATA放包复制图片链接访问执行webshell我们不能直接访问要删除后面的::$DATA才能成功通关Pass-10黑名单验证--. 空格 .绕过查看页面源代码前面几关最后使用的是截取修改的后缀名拼接而这一关黑名单最后上传路径直接使用文件名进行拼接所以我们只要让后缀名不在黑名单中就好哪怕最后只剩个点补充知识deldot()函数从后向前检测当检测到末尾的第一个点时会继续它的检测但是遇到空格会停下来文件名 muma.php. → Windows/Linux 自动去除末尾空格和点上传webshell修改放包复制图片链接访问执行通关Pass-11(黑名单验证--双写绕过)查看页面源代码这一关黑名单使用str_ireplace()函数寻找文件名中存在的黑名单字符串将它替换成空即将它删掉可以使用双写绕过黑名单补充知识str_ireplace(find,replace,string,count)函数替换字符串中的一些字符不区分大小写双写绕过复制图片链接访问执行通关Pass-12(白名单--get0x00截断)实验准备在PHP5.3之后的版本中完全修复了00截断。并且00截断受限与magic_quotes_gpcaddslashes函数最好使用php5.217原理在url中%00表示ascll码中的0而ascii中0作为特殊字符保留表示字符串结束所以当url中出现%00时就会认为读取已结束查看页面源代码上传webshell修改webshell放包复制图片链接访问执行通关扩展知识其实url编码就是一个字符ascii码的十六进制。不过稍微有些变动需要在前面加上“%”。比如“\”它的ascii码是9292的十六进制是5c所以“\”的url编码就是%5c。Pass-13(白名单--post0x00截断)这一关白名单文件上传路径拼接生成而且使用了post发送的数据进行拼接我们可以控制post数据进行0x00截断绕过白名单补充知识POST不会对里面的数据自动解码需要在Hex中修改。我们可以看到post和get的文件位置有差异在后面加 4.php 这个“”的 hex值为2b方便查找并修改还有文件后缀也要改修改为00放包复制图片链接访问执行请记住要删除冗余信息通关Pass-14(图片马--利用file协议)查看页面源代码这一关我们要制作图片马准备两个文件一个图片文件网上随便下张小的图片后缀改为图片型的如 .gif 一个php文件(内容GIF89A?phpphpinfo();?)要将两个文件放在一起然后在对应的路径下使用cmd进入终端执行下面的命令生成新的图片文件这个图片文件将php文件中的代码追加到了 .png文件下形成新的文件 222.pngcopy 456.gif /b 963.php /a 222.gif上传带webshell的图片复制图片链接访问我们发现没有执行代码这里直接是输出图片其实这一关考察的是文件包含所以我们要复制者一段路径点击这里记得我们的webshell在gif文件下面下划就可以看到了通关Pass-15(图片马--利用getimagesize)查看页面源代码通过使用getimagesize()检查是否为图片文件所以还是可以用第十四关的图片马绕过并使用文件包含漏洞解析图片马上传带webshell的图片复制图片链接先访问我们只要路径的一部份再次复制点击文件包含漏洞通关Pass-16(图片马利用exif_imagetype)查看页面源代码知识补充exif_imagetype()读取一个图像的第一个字节并检查其后缀名。返回值与getimage()函数返回的索引2相同但是速度比getimage快得多。需要开启php_exif模块。上传带webshell的图片复制图片链接截取一部分点击文件包含漏洞将部分链接填在这里访问执行通关Pass-17(二次渲染)查看页面源代码原理简析上传的gif图片会被源码函数二次渲染成新的图片接着存进后台因此用文件包含调用时调用的已经不是原图原图中隐藏的代码也被渲染所覆盖。绕过思路通过对比原图与渲染后的图的Hex码找到渲染所不会影响的hex区域文件头标志除外用【覆盖】的方式替换掉不受渲染影响区域的字符上传图片我们右键将图片下载下来然后将两张图片拖到我随便找的二进制编辑器中点击确认比对两张图片的前面部分发现都是一样的就是前面的没有被二次修改我们将文件后面的webshell替换到前面来这样访问时就可以执行了将222.gif后面webshell对应的二进制复制替换掉19117.gif和222.gif一样的不被修改的相对列不能错然后保存重新上传19117.gif图片复制图片的部分链接点击文件包含漏洞将部分链接填在这里访问执行通关

Upoad靶场--文件上传

相关文章：

Upoad靶场--文件上传

Xbox成就解锁终极指南：免费工具助你快速达成100%完成度

109 【自适应天线与相控阵技术】基于近场扫描的偏移相位中心天线测量

hyperf 架构人才与机制建设

GPT5.5与代码效率优化：5个技巧让编码速度翻倍

利用 Taotoken 模型广场为新产品选择性价比最高的文本生成模型

LittleSnitch for Linux：当macOS的看门狗终于踏上Linux的土地

一些单片机学习相关

3步实现Windows电脑安装安卓应用的终极方案

如何高效获取八大网盘直链：LinkSwift专业级下载助手实战指南

观察不同模型在Taotoken平台上的计费差异与性价比选择

终极解决方案：5分钟轻松将Word文档转换为专业LaTeX格式

基于STM32的甲醛浓度检测报警设计

别再只用LIKE了！MySQL LOCATE函数处理字符串查找的3个实战场景（附代码）

用STM32H723ZGT6的FDCAN1和FDCAN2实现板内数据互传：一个自环测试的实战项目

CANoe+VH6501实战：手把手教你精准干扰CAN-FD的Rx报文（含CAPL代码）

终极RDPWrap指南：免费解锁Windows远程桌面多用户并发连接

FCN-32s/16s/8s效果差多少？用PASCAL VOC数据实测对比，聊聊语义分割的‘细节魔鬼’

创业公司如何借助 Taotoken 快速低成本地验证 AI 产品创意

彻底解决Windows图形驱动兼容性问题：Mesa3D驱动安装与故障排除终极指南

【AI模型】高性能推理框架

Hugging Face Transformers 加载模型时，那些容易被忽略但超有用的参数（cache_dir, proxies, revision 实战详解）

Linux安装配置Tomcat保姆级教程：从部署到性能调优

告别Vue打包玄学报错：深入Thread Loader与依赖解析，从根源上解决‘Received undefined’

苹果手机怎么把照片抠图？2026年最全解决方案对比

终极指南：如何在5分钟内掌握MapleStory WZ文件编辑与地图制作

图片去背景抠图有哪些工具推荐？2026年最实用的抠图工具对比指南

【Uformer论文阅读｜CVPR 2022】：通用U型Transformer架构，重新定义图像修复任务

自动抠图神器有哪些？2026年最全对比指南，我用过的工具都在这里

全国大学生电子设计竞赛】从零基础到国奖的硬核通关指南（附备赛清单与踩坑实录）