upload-labs通关方式

pass-1

通过弹窗可推断此关卡的语言大概率为js，因此得出两种解决办法 

方法一

浏览器禁用js

关闭后就逃出了js的验证就可以正常php文件

上传成功后打开图片链接根据你写的一句话木马执行它，我这里采用phpinfo（）

方法二

在控制台找到此语句

将蓝色部分删除即可

pass-2

 

通过提示可知他是在服务端进行检查

 通过查看源码可以看出能上传的文件类型为image/jpeg

通过burp suite进行抓包

修改文件类型

上传成功

pass-3 

查看提示和代码发现他是使用黑名单禁止文件上传类型的

这里我们直接使用将文件类型改为php2 php3 php5 php7 phtml 等绕过

PHP5文件实际上就是.PHP文件，只不过代码由PHP5引擎解析。

PHP5是一种PHP版本间的区分，该后缀名并不常见，另外还有.PHP2、.PHP3和.PHP4文件。

我这里不解析php3 5 文件这里不演示了，但是使用php3 5 是可以成功绕过的

pass-4

首先查看提示，本关继续使用黑名单，禁止下列文件格式:

限制特别多，但是我们可以想到一种更奇特的方法（即.htaccss文件）：

常见配法

.htaccess文件内容如下

<FilesMatch "4.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

查看作用后，发现这句话的作用是将该目录所有文件均映射为php文件类型,所以我们先上传.htaccess文件，随后再上传我们的jpg文件(jpg文件要和.hataccess文件在同一个目录下），查看后我们发现uploads已经被传上去。

pass-5

这里看源码

这里没有转换小写因此将文件类型改为大写就行

 

pass-6

通过查看代码发现这里并没有首尾去空因此很简单加空格就行

windows下.和空格会被自动去掉因此用burp进行更改

上传成功

 

pass-7

 通过查看代码可以看出没有去点

因此这里还是用burp抓包改包

上传成功

 

 pass-8

查看源码

这里没有进行过滤data字符因此这里也是抓包改包

 

上传成功

 

pass-9

查看代码发现这里几乎过滤了所有的空格点data字符等

 

所以这里我们不能再只绕过一次了，通过代码执行顺序我们可以先过滤掉点再过滤空格

所以这里老办法抓包改包

 

 

pass-10

 这里查看代码关键代码如下

发现依旧是用上传的文件名来拼接路径并保存文件 没有对文件重命名

只是用了str_ireplace()函数来检测（此函数无视大小写） 如果文件名含有黑名单里面的字符串 就替换为空

但是只替换一次 并没有进行正则匹配或者是循环匹配敏感字符  因此只要双写php即可 因为是从左往右读的 所以替换为空后 还是php

pphphp、phphpp都可以尝试 

上传成功