關(guān)卡簡(jiǎn)介

在upload-lab的第四關(guān)，挑戰(zhàn)者需要繞過(guò)文件上傳的限制，成功上傳一個(gè)能在服務(wù)器上執(zhí)行的惡意文件。該關(guān)卡的目標(biāo)是利用 .htaccess 文件進(jìn)行繞過(guò)，這是一個(gè)常見(jiàn)且強(qiáng)大的文件上傳漏洞利用方法。

什么是 .htaccess 文件？

.htaccess 文件是 Apache HTTP 服務(wù)器上的一個(gè)配置文件，它允許管理員在目錄級(jí)別進(jìn)行配置。通過(guò) .htaccess 文件，用戶可以實(shí)現(xiàn)URL重寫(xiě)、目錄訪問(wèn)控制、MIME 類型設(shè)置等功能。在文件上傳漏洞利用中，.htaccess 文件常用于修改服務(wù)器對(duì)文件的處理方式，從而執(zhí)行惡意代碼。

主要功能

• URL 重定向：將一個(gè) URL 重定向到另一個(gè) URL，常用于網(wǎng)站遷移或頁(yè)面重命名后保持鏈接的有效性。
• URL 重寫(xiě)：使用 mod_rewrite 模塊將復(fù)雜的URL轉(zhuǎn)換為用戶友好的URL。
• 訪問(wèn)控制：基于 IP 地址或其他條件限制對(duì)某些資源的訪問(wèn)。
• 密碼保護(hù)：為目錄設(shè)置密碼保護(hù)，要求用戶輸入用戶名和密碼才能訪問(wèn)。
• 設(shè)置 MIME 類型：為特定文件類型設(shè)置 MIME 類型，以便瀏覽器正確處理文件。
• 文件訪問(wèn)控制：禁止訪問(wèn)特定文件或目錄，比如保護(hù) .htaccess 文件本身不被訪問(wèn)。
• 壓縮：?jiǎn)⒂脙?nèi)容壓縮，減少傳輸?shù)臄?shù)據(jù)量，提高網(wǎng)頁(yè)加載速度。
• 緩存控制：設(shè)置瀏覽器緩存策略，優(yōu)化網(wǎng)站性能。

解題思路

本題沒(méi)有過(guò)濾.htaccess文件，可以通過(guò)上傳.htaccess文件來(lái)為一個(gè)webshell文件更改后綴，來(lái)幫助webshell進(jìn)行繞過(guò)。

解題步驟

(1) 準(zhǔn)備 .htaccess 文件：

由于服務(wù)器可能限制了常用的腳本文件，我們可以通過(guò)上傳一個(gè) .htaccess 文件來(lái)改變服務(wù)器對(duì)文件的處理方式。創(chuàng)建一個(gè)名為 .htaccess 的文件，內(nèi)容如下：

這段配置的作用是將 1.png 文件解析為 PHP 代碼。

(2) 上傳.htaccess文件 :

在Pass04關(guān)卡的上傳頁(yè)面，我們先上傳 .htaccess 文件 。

成功上傳了.htaccess文件

(3) 準(zhǔn)備惡意文件并上傳

我們需要準(zhǔn)備一個(gè)惡意的 PHP 文件。創(chuàng)建一個(gè)名為 1.png 的文件，該文件名要與上一步的一一對(duì)應(yīng)。內(nèi)容如下：

把1.png文件上傳到服務(wù)器中，如下圖：

成功把webshell上傳了

(4) 訪問(wèn)并執(zhí)行惡意代碼：

上傳完成后，訪問(wèn)上傳文件所在的 URL。如果一切順利，你會(huì)看到頁(yè)面如下圖顯示：

總結(jié)

upload-lab 第四關(guān)展示了通過(guò) .htaccess 文件繞過(guò)文件上傳限制的攻擊方法。這種攻擊利用了服務(wù)器配置的靈活性，通過(guò)巧妙地修改文件解析方式，成功實(shí)現(xiàn)了惡意代碼的執(zhí)行。通過(guò)理解和實(shí)踐這種攻擊方式，安全研究人員和開(kāi)發(fā)者可以更好地防御類似的文件上傳漏洞，提升系統(tǒng)的安全性。