一,起因:

            今天无意间发现github上有个上传漏洞靶场

            上传漏洞靶场地址:

            1.png

二,开始写下他的wp吧:

    

        

    首先pass-01:

         审查元素发现:是js验证

     
          function checkFile() {    var file = document.getElementsByName('upload_file')[0].value;    if (file == null || file == "") {    alert("请选择要上传的文件!");    return false;    }    //定义允许上传的文件类型    var allow_ext = ".jpg|.png|.gif";    //提取上传文件的类型    var ext_name = file.substring(file.lastIndexOf("."));    //判断上传文件类型是否允许上传    if (allow_ext.indexOf(ext_name) == -1) {    var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;    alert(errMsg);    return false;    }    }    

        js验证是不安全的验证。我们想办法突破他:

          审查元素,修改元素,把调用js函数的地方删除即可(提示:请使用火狐浏览器,其他浏览器不容易成功)

           1.png

        审查元素,找到上传路径

        1.png

        进入pass-02

        查看源代码发现是判断文件类型

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists($UPLOAD_ADDR)) {        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];                $is_upload = true;            }        } else {            $msg = '文件类型不正确,请重新上传!';        }    } else {        $msg = $UPLOAD_ADDR.'文件夹不存在,请手工创建!';    }}

    那就抓包改包来绕过吧,修改文件类型,成功上传

    1.png

    来到pass-03

    查看源代码发现,禁止上传 asp,aspx,jsp,php类型的文件,且无法通过大小写验证绕过

      

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists($UPLOAD_ADDR)) {        $deny_ext = array('.asp','.aspx','.php','.jsp');        $file_name = trim($_FILES['upload_file']['name']);        $file_name = deldot($file_name);//删除文件名末尾的点        $file_ext = strrchr($file_name, '.');        $file_ext = strtolower($file_ext); //转换为小写        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA        $file_ext = trim($file_ext); //收尾去空        if(!in_array($file_ext, $deny_ext)) {            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) {                 $img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name'];                 $is_upload = true;            }        } else {            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';        }    } else {        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';    }}

     用.htaccess从新解析.htaccess的内容是,意思是让jpg格式的文件也当成php文件运行

AddType application/x-httpd-php .jpg

    当然也需要apache支持

    配置文件LoadModule rewrite_module modules/mod_rewrite.so前的注释去掉,寻找关键词:AllowOverride,并把后面的参数从None全部改成All

    首先上传.htaccess文件,再上传jpg文件解析成功

    1.png

当然还有截断上传,js调用php等等在这就不写了