關卡介紹

在Pass03中，我們面臨的挑戰(zhàn)是繞過文件上傳功能的黑名單檢測機制。黑名單檢測是一種常見的安全措施，它通過檢查上傳文件的后綴來阻止特定類型的文件（如 .php, .exe）被上傳。在這一關，我們需要找到一種方法，上傳一個可以執(zhí)行的惡意文件，同時繞過黑名單檢測。

Pass03的源碼

解題思路

為了繞過黑名單檢測，可以嘗試以下幾種方法：

• 雙重后綴名：利用系統(tǒng)只檢測第一個后綴名，而實際執(zhí)行第二個后綴名。
• 大小寫混淆：某些系統(tǒng)對后綴名的檢測是大小寫敏感的。
• 文件名后綴添加特殊字符：在后綴名后添加一些特殊字符，可能會繞過檢測。
• 使用其他可執(zhí)行后綴：如果服務器支持多種腳本語言，可以嘗試其他語言的可執(zhí)行文件后綴。

題目中提示不允許上傳.asp,.aspx,.php,.jsp后綴文件！就用下面的替代被禁止的那些。

• ASP: asa/cer/cdx
• ASPX: ashx/asmx/ascx
• PHP: php4/php5/phtml
• JSP: jspx/jspf

實踐步驟

(1) 使用其他可執(zhí)行后綴

創(chuàng)建一個包含簡單PHP代碼的文件，內容如下所示，將該文件命名為 shell.php4

<?php phpinfo() ?>

文件上傳成功，如下圖，可以查看返回的上傳路徑。

文件上傳成功

通過訪問文件上傳的路徑，看到一句話木馬原樣輸出了，說明 .php4 后綴名的文件它不解析。

這里再回想一下，代碼能否解析取決于配置文件里如何設置，所以，只能通過經驗去判斷。通過查看配置文件發(fā)現(xiàn)，智能解析php php3 phtml這三種的后綴。如下圖：

接著，我們嘗試利用下面的一句話webshell,并把后綴修改成.phtml，重新上傳。

<?phpecho shell_exec($_GET['pass']); ?>

成功上傳后，通過訪問該webshell的路徑。如下圖：

網上也有一些解法說可以通過.htaccess文件上傳。關于.htaccess文件利用第四關有詳細的講解。

SetHandlerapplication/x-httpd-php

這個文件里面的含義就是將所有文件解析為php。例如上傳個jpg格式的一句話也可以繞過了，再用蟻劍進行連接就可以了。

但是，由于該關卡中，把上傳的文件重新命名了。關鍵代碼如下：

上傳的文件都被重新命名了，所以，上傳.htacces這個文件不起作用了。如下圖所示：

防御措施

為了防止類似的攻擊，開發(fā)人員應采用白名單檢測機制，僅允許特定類型的文件上傳。此外，還應對上傳的文件進行嚴格的內容檢查，確保其安全性。

總結

在第三關中，通過嘗試多種方法，我們成功繞過了文件上傳的黑名單檢測機制。這一過程不僅加深了我們對文件上傳漏洞的理解，也提高了我們識別和防御此類漏洞的能力。

推薦閱讀：

《Upload-Lab第一關：輕松繞過前端驗證的技巧！》

《Upload-Lab第二關：如何巧妙繞過MIME類型過濾？》