当前位置：首页 > news >正文

upload-labs 1-19关攻略附带项目下载地址小白也能看会

news 2025/12/19 20:11:38

本文章提供的工具、教程、学习路线等均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如有侵权请联系小编处理。

环境准备：

1.靶场搭建

下载地址：GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场

下载完成后将zip包复制进phpstudy的软件目录下/—>D:\phpstudy_pro\WWW 在进行解压

解压安装完成后在该文件夹内新建一个upload的空文件用来后续靶场上传文件使用

2.一句话木马

# 1.php → 一句话木马
<?php @eval($_POST['cmd']); ?>

# 666.php → 测试所用的phpinfo
<?php phpinfo(); ?>

————————————————————分割线————————————————————

Pass-01

选择一个php文件，发现无法上传。然后抓包发现是抓不到说明数据没有进入后端说明是前端验证拦截

然后我们将一句话木马1.php文件改成1.jpg格式后缀的上传然后进行抓包

然后回显页面有这个图像就说明成功上传了去upload文件下也能看到我们上传的木马文件

Pass-02

上传一个1.php 抓包发现限制了上传类型 Content-Type: application/octet-stream

所以我们更改其验证类型为 image/jpeg、image/png、image/gif 其中任意一种就可以成功上传

Pass-03

提示不让上传所以我们改一下文件后缀名成功上传

某些特定环境中某些特殊后缀仍会被当作php文件解析 php、php2、php3、php4、php5、php6、php7、pht、phtm、phtml

Pass-04

这关提示中后缀名黑名单有很多所以我们换一种方式：.htaccess文件上传

.htaccess文件（或者分布式配置文件），全称是Hypertext Access（超文本入口）。提供了针对目录改变配置的方法，即，在一个特定的文档目录中放置一个包含一个或多个指令的文件，以作用于此目录及其所有子目录。

首先创建一个.htaccess文件（文件名就为.htaccess）内容如下

AddType application/x-httpd-php .png

通常用于配置 Apache Web 服务器。这条命令会让服务器将 .png 图片文件识别为 PHP 脚本，并尝试使用 PHP 引擎来执行这些文件。

Pass-05

查看源码，和第四关对比，发现这关没有转换大小写的代码

这样我们就可以上传大小写混合的后缀名来进行绕过。上传一个phpinfo.Php文件，直接上传成功。

Pass-06

老样子看一下源码发现少了一行尾部去空

所以我们只需要抓包的时候在尾部加一个空格即可

Pass-07

通过源码发现，本关并未对结尾点进行检测。那么这里就可以通过在后缀加上点进行绕过，其实点绕过和空格绕过是一样的，都是利用操作系统的特性来进行解析绕过

Pass-08

过源码发现并未对::$DATA进行检测。可以在后面添加::$DATA进行绕过

在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名，且保持::$DATA之前的文件名，他的目的就是不检查后缀名

Pass-09

通过源码发现本关之前所有的绕过思路都被过滤了，但是通过源码发现，所有的过滤都是一次的，并未对其进行循环过滤。也就是说源码中提到的删除空格，删除点都是只删除一次，那么可以在数据包中将php后缀添加. .，形成.php. .，由于只验证一次，所以删除一个点和一个空格后就不在删除了。

Pass-10

过源码发现，若上传的文件后缀在禁止的列中，那么就将后缀替换为空，而这里又是只过滤一次，那么就可以通过双写进行绕过。在php中再写一个php

这样即使删掉中间的php 外层php也会自动拼接成一个新的php

Pass-11

我们可以看到img_path是通过get传参传递的，那么我们不妨在这块将路径改掉，改为upload/web.php%00，那么后面不管是什么东西都会被截断掉，然后经过move_uploaded_file函数将临时文件重新复制给我们的截断之前的文件路径，当然，我们还是要上传jpg文件的，使得我们可以进行下面程序的运行

Pass-12

本关接受值从get变成了post，它两的区别就是get会自行解码，而post不会解码，所以需要对%00进行解码。所以在这一关我们就需要在web.php后面加一个占位符，将其16进制改为00，这样控制符就出现了，最后在上传文件的时候就会触发\00截断

在BS抓包中选中%00右键选择URL其次选择网址解码。

Pass-13

因为网站根目录下存在include.php 文件(文件包含漏洞) 没有的可以自行添加一下

 <?php
/*
本页面存在文件包含漏洞，用于测试图片马是否能正常运行！
*/
header("Content-Type:text/html;charset=utf-8");
$file = $_GET['file'];
if(isset($file)){include $file;
}else{show_source(__file__);
}
?>

然后我们制作一个图片马进行上传

然后我们去链接一下我们的图片马注意语法格式

http://192.168.3.222/upload-labs/include.php?file=upload//8520240728175046.gif

Pass-14

和13关一样直接上传图片马即可

Pass-15

和13关一样

Pass-16

这关存在imagecreatefromjpeg()函数将我们的图片打散进行二次渲染，这就会导致我们的一句话木马消失，所以我们就要想办法在他没有打散的对方将我们的一句话写进去针对不同格式的图片马有不同的对应方式

这里我找的现成的gif 中间存在一句话木马的地方不会被函数打散所以就按照图片马的思路去做

Pass-17

条件竞争

也就是说如果我们上传php文件，他会删除我们上传的木马。

这么看来如果我们还是上传一个图片马的话，网站依旧存在文件包含漏洞我们还是可以进行利用。但是如果没有文件包含漏洞的话，我们就只能上传一个php木马来解析运行了。

先上传再删除，在上传到删除之间这几十毫秒之内我们的文件还是在的，我们就可以访问我们上传的文件。这种就就叫条件竞争漏洞(时间竞争漏洞)，这道题干好符合条件我们就利用时间竞争来做

其实就是文件套娃我们上传文件A 让文件A被检测删除之前去运行生成一个木马文件B 木马文件B成功生成后文件A也被检测到然后删除此时只留下我们要用的木马文件B了

文件A内容：

<?php file_put_contents('./web.php', '<?php phpinfo(); ?>'); ?>
这段代码的作用是创建或覆盖位于当前目录下的 web.php 文件，并在其中写入了一个简单的 PHP 脚本，该脚本将输出 PHP 的配置信息

我们抓到包后发送到攻击模块清除所有payload

我们要不断重复的去上传文件然后去访问因为要在系统删掉之前去访问到我们的web.php 让文件在当前目录下生成我们要的木马文件

Pass-18

跟图片马一个步骤

Pass-19

上传文件时候可以选择上传文件名称我们只需要将上传文件名称后缀名加一个点即可成功访问前提是靶场环境是Windows