pass-01

尝试上传一个php，发现提示不行。

前端js拦截了，先将php文件后缀改为允许的格式，比如jpg，burp抓包改一下就好了。后缀改为php成功上传。

访问发现上传成功。

pass-02

观察第二关的源码，发现判断content-type。

依旧burp抓包，修改content-type。

访问发现上传成功。

pass-03

查看源码，发现是设置了文件后缀名黑名单，禁止上传后缀名为php的文件，这里利用php2、php3、php4、php5一样会解析，直接修改后缀名为php2上传。

由于我这里是用phpstudy搭建的，所以没办法解析，只能放一张图以示抱歉。

pass-04

观察源码，这次的黑名单更多基本所有的都包括了，而且还将全部都转换为小写。

这里网上百度的方法，上传.htaccess文件

方法一、.htaccess内容为
<FilesMatch "文件名">

  SetHandler application/x-httpd-php

</FilesMatch>

按情况修改文件名

方法二、.htaccess内容为

AddType application/x-httpd-php .jpg

不过两种方法均为成功，很尴尬- -！

pass-05

观察第五关源码，发现将.htaccess也加入了黑名单，可是去掉了大写转换成小写，直接将后缀名改为大写上传成功。

pass-06

观察源码，发现一样的黑名单，也加上了大写转换成小写，但是没有了首位去空，这里可以最后加空格绕过。

burp抓包，后缀名添加空格。

访问上传成功。

pass-07

观察源码，这次和第六关相比，首位去空回来了，但是少了去“.”，利用windwos特性，会自动去掉文件后缀名最后的“.”进行上传。

burp抓包修改，进行上传。

访问发现上传成功。

pass-08

这是一个涨姿势的关，第八关这个绕过方式我之前是不知道的，就是在php+windows的情况下：如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名。观察源码，巧了没有这个。

burp抓包，修改后缀。

发现成功上传。

pass-09

又是涨姿势的一关，程序先是去除文件名前后的空格，再去除文件名最后所有的.，再通过strrchar来寻找.来确认文件名的后缀，但是最后保存文件的时候没有重命名而使用的原始的文件名，导致可以利用类似one.php. .(两个点号之间有一个空格)绕过，如果重名名了文件的话应该会用$file_ext来进行拼凑文件，这样保存在服务器中的文件将没有后缀（去除了.空格）

pass-10

观察源码，发现是黑名单+去掉后缀名，双写后缀名绕过。

pass-11

观察源码，这次变成了白名单判断，当有php环境中有两个截断条件： 1.php版本小于5.3.4 详情关注CVE-2006-7243 2.php的magic_quotes_gpc为OFF状态，便会有00截断，利用00截断上传。

burp抓包修改，上传成功。

pass-12

观察源码，这里保存用了post方法，所以要用burp再16进制里面改，因为post不会像get对%00进行自动解码。

burp抓包找到然后修改。

查看发现上传成功。

pass-13 -- pass-16

上传图片马即可。copy normal.jpg /b + shell.php /a webshell.jpg

十三关是对比文件的前两个字节

十四关是用了getimagesize函数来对文件类型做判断

十五关是用的exif_imagetype函数

十六关是用的二次渲染

pass-17

观察源码，发现是条件竞争，上传之后就会删掉。

这里可以通过burp的intruder模块来实现。我又一次失败。

pass-18

一样失败，但看大佬的说是本关对文件后缀名做了白名单判断，然后会一步一步检查文件大小、文件是否存在等等，将文件上传后，对文件重新命名，同样存在条件竞争的漏洞。可以不断利用burp发送上传图片马的数据包，由于条件竞争，程序会出现来不及rename的问题，从而上传成功。

pass-19

观察源码，CVE-2015-2348 move_uploaded_file() 00截断。

上传成功。

到这里就结束了，好多都还没有吸收，都需要再回头复习。

链接：https://pan.baidu.com/s/1dne-3fR5M1VylcjhhZQLCw

提取码：ij7r

Github上也有。