upload-labs靶场通关详解（1-15）

1.pass-01

查看源代码

是js，属于前端校验

可以通过禁用js来上传文件

2.pass-02

根据提示是MIME绕过

MIME：是设定某种扩展名的文件 用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。

上传一个php文件先抓取到请求的数据包，通过修改content-Type来确定mime类型。

上传成功因为是php文件所以显示不出来。

3.pass-03

通过源码发现是黑名单禁止 可以使用php3,php5等后缀通过，

例如我使用的是apache,可以通过修改配置文件 http.conf 使用后缀名。

4.pass-04

黑名单禁止

可以使用**.htaccess** 文件漏洞

这种文件是apache的一个配置文件，里面我们写了三行代码。可以说是，这个文件中可以改apache的配置，导致apache出现解析漏洞。

<FilesMatch "">
SetHandler application/x-httpd-php
</FilesMatch>

先上传.htaccess，在上传图片码。

5.pass-05

黑名单还禁止了.htccess,通过查看源码少了变为小写的代码，所以可以通过后缀大小写绕过

6.pass-06

黑名单禁止，限制了大小写

利用Windows系统的文件名特性。文件名最后增加空格和点或者点和空格 ，写成1.php .，这个需要用burpsuite抓包 修改，上传后保存在Windows系统上的文件名最后的一个.会被去掉，实际上保存的文件名就是1.php

修改前

修改后

上传成功

7.pass-07

同第六关

8.pass-8

通过查看源码，少了对**::$DATA**的限制

在文件夹后面添加**::$DATA**

9.pass-9

原理同pass-6 但是源码中添加 去除一个点的语句。多加一个点即可。

10.pass-10

方法一：

同pass6

方法2

通过代码发现对黑名单的后缀要替换，只替换一次可以使用双写绕过。

11.less-11

这个属于白名单绕过，使用%00截断这是 php 语言自身的问题， php 低版本存在的漏洞

上传的文件名 改成 ../upload/1.php%00.jpg
(1.php%00.jpg 经过 url 转码后会变为 1.php\000.jpg) ，最后保存下来的文件就是 1.php
php版本要小于5.3.4，5.3.4及以上已经修复该问题；并且magic_quotes_gpc需要为OFF状
态

12.pass-12

同pass-11

13.pass-13

方法一上传图片码

copy /b  xx.php+xx.png  xx.png

方法二

根据源码 函数是为了获取获取文件的文件头。修改文件头即可

14.less-14

getimagesize 通过获取请求头来验证文件，方法同less-13

15.less-15

exif_imagetype 读取一个图像的第一个字节并检查其签名

方法同上

水平有限，如有错误请多多指正！！！