upload-labs靶场(超详解)1-16关

已于 2024-08-05 15:02:50 修改
阅读量1k 收藏 24
点赞数 9
文章标签: javascript 安全
于 2024-08-01 20:00:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_76115387/article/details/140853350
版权

pass1

从代码中可以看出,是通过js进行文件格式检查

<script type="text/javascript">
    function checkFile() {
        var file = document.getElementsByName('upload_file')[0].value;
        if (file == null || file == "") {
            alert("请选择要上传的文件!");
            return false;
        }
        //定义允许上传的文件类型
        var allow_ext = ".jpg|.png|.gif";
        //提取上传文件的类型
        var ext_name = file.substring(file.lastIndexOf("."));
        //判断上传文件类型是否允许上传
        if (allow_ext.indexOf(ext_name) == -1) {
            var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
            alert(errMsg);
            return false;
        }
    }
</script>

右键检查元素找到JS绑定的form表单  删除onsubmit后面的代码

上传php文件即可 

或者先上传符合要求的文件,再通过抓包软件修改。

上传成功

在新标签页中打开图片

pass2

本题在服务端对数据包的MIME进行检查

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'];          
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

这里规定了三种格式

($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')

超全局变量$_FILES是一个二维数组,用来保存客户端上传到服务器的文件信息。二维数组的行是文件域的名称,列有5个。

$_FILES[]['name']     #上传的文件名
$_FILES[]['type']     #上传的文件类型,这个类型是MIME类型(image/jpeg image/gif image/png)
$_FILES[]['size']     #文件的大小,以字节为单位
$_FILES[]['tmp_name'] #文件上传时候的临时文件
$_FILES[]['error']    #错误编码(值有0、1、2、3、4、6、7)0表示正确1

我们抓包修改conten-type为image/jpeg即可

上传成功,打开图片

pass3

代码规定禁止上传.asp|.aspx|.php|.jsp后缀文件

 if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空
}

黑名单可以用php2 php3 php5 php7 phtml 等绕过

PHP5文件实际上就是.PHP文件,只不过代码由PHP5引擎解析。

PHP5是一种PHP版本间的区分,该后缀名并不常见,另外还有.PHP2、.PHP3和.PHP4文件。而当前最新的PHP版本为PHP7。

上传成功

pass4

本提禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件

  if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

方法一:.htaccess文件

.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。

概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

Unix、Linux系统或者是任何版本的Apache Web服务器都是支持.htaccess的,但是有的主机服务商可能不允许你自定义自己的.htaccess文件。

启用.htaccess,需要修改httpd.conf,启用AllowOverride,并可以用AllowOverride限制特定命令的使用。如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令来改变。例如,需要使用.config ,则可以在服务器配置文件中按以下方法配置:AccessFileName .config 。

.htaccess可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能。
本题利用上传到服务器上的.htaccess文件修改当前目录下的解析规则

.htaccess的参数,常见配法有以下几种:

AddHandler php5-script .jpg
AddType application/x-httpd-php .jpg
SetHandler application/x-httpd-php

Sethandler 将该目录及子目录的所有文件均映射为php文件类型。
Addhandler 使用 php5-script 处理器来解析所匹配到的文件。
AddType 将特定扩展名文件映射为php文件类型。


.htaccess文件内容如下

<FilesMatch "4.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

先上传.htaccess文件 ,再上传一个4.jpg的文件 
那么就将该目录及子目录的所有文件均映射为php文件类型。
 

方法二:Apache的未知后缀名解析漏洞

将.php文件后缀,增加新的未知后缀。

上传成功

方法三:PHP 和 Windows环境的叠加特性

利用PHP 和 Windows环境的叠加特性,以下符号在正则匹配时的相等性:
双引号"     =   点号.
大于符号>   =   问号?
小于符号<   =   星号*


先上传一个名为4.php:.jpg的文件,上传成功后会生成4.php的空文件,大小为0KB.
原理为在windows环境下, 不允许文件命名中含有( \ / : * ? "   < > | )
如果有会自动截断,并生成一个空文件
然后将文件名改为4.<或4.<<<或4.>>>或4.>><后再次上传,重写4.php文件内容,Webshell代码就会写入原来的4.php空文件中。再访问4.php

pass5

上传目录存在php文件(readme.php)

 if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

.user.ini是php的一种配置文件,php.ini是php的配置文件,它可以做到显示报错,导入扩展,文件解析,web站点路径等等设置

自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用 .htaccess 文件有同样效果。 官方解释: 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER[‘DOCUMENT_ROOT’] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。 这些模式决定着一个 PHP 的指令在何时何地,是否能够被设定。手册中的每个指令都有其所属的模式。例如有些指令可以在 PHP 脚本中用 ini_set() 来设定,而有些则只能在 php.ini 或 httpd.conf 中。

使用条件:
(1)服务器脚本语言为PHP
(2)对应目录下面有可执行的php文件
(3)服务器使用CGI/FastCGI模式

跟.htaccess后门比,适用范围更广,nginx/apache/IIS都有效,而.htaccess只适用于apache

auto_prepend_file/auto_append_file
这两个配置可以在php文件执行之前先包含制定的文件,我们可以上传一个图片马,这样就可以通过.user.ini使得这个图片马被包含,从而获取webshell 

.user.ini

auto_prepend_file=tpm.jpg

.user.ini文件里的意思是:所有的php文件都自动包含a.jpg文件。.user.ini相当于一个用户自定义的php.ini

方法一
先上传.user.ini文件,再上传含有后门代码的a.jpg文件

根据提示:上传目录存在php文件(readme.php)
所以readme.php会自动包含a.jpg里面的代码,再用蚁剑连接即可

a.jpg里面有一句话木马

最后访问访问readme.php 

注意:这里要修改php.ini配置文件


方法二:用 5.php. .绕过

代码运行最后得到的后缀为"." 不在黑名单中,然而又用原来的5.php. .来拼接路径。由于windows在文件命名中会删除.和空格,所以最终得到的是5.php。因此绕过了黑名单限制

$file_name = trim($_FILES['upload_file']['name']);
$img_path = UPLOAD_PATH.'/'.$file_name;

pass6

本题禁止上传.htaccess .user.ini 

 $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

没有禁止phP 、Php 所以将文件名字大写就绕过了限制。

pass7

没有对首尾去除空格进行过滤  。

利用PHP 和 Windows环境的叠加特性 。windows系统自动删除文件名后缀的空格绕过黑名单

  $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

添加空格即可

pass8

缺少了deldot函数,其作用为删除文件名最后一个点(如果有多个连续的.... 会全部删除)

        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

利用Windows系统保存文件的特性会删除文件后缀名的xxx.php. 最后上传的文件还是xxx.php

pass9

没有对::$DATA进行处理

        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空

使用::$DATA 进行处理,可以使用::$DATA绕过黑名单

php在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持"::$DATA"之前的文件名 

pass10

用 .php . .绕过(是 空格 点 空格 点)

代码运行最后得到的后缀为"." 不在黑名单中 然而又用原来的.php. .来保存文件 由于windows在

文件命名中会自动删除.和空格 所以最终得到的是.php 因此绕过了黑名单限制

        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

也可用mm.php:.jpg

pass11

        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;

发现依旧是用上传的文件名来拼接路径并保存文件 没有对文件重命名

只是用了str_ireplace()函数来检测(此函数无视大小写)。如果文件名含有黑名单里面的字符串,就替换为空。但是只替换一次,并没有进行正则匹配或者是循环匹配敏感字符 ,因此只要双写php即可。因为是从左往右读的,所以替换为空后还是php

pphphp、phphpp都可以尝试 

pass12

上传路径可控

   $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

漏洞在于用$_GET['save_path']来组成上传的文件路径。而get传参是可以控制的。因此我们考虑用是否能进行截断。例如形成../upload/mm.php/截断后面的(xxx.jpg)。这样就通过了白名单校验 ,并且保存成了php文件

这里就要用到0x00截断的知识
url中的%00(只要是这种%xx)的形式,webserver会把它当作十六进制处理,
然后把16进制的hex自动翻译成ascii码值“NULL”,实现了截断burpsuite中16进制编辑器将空格20改成了00。
本质上来说,都是利用0x00是字符串的结束标识符,进行截断处理。只不过GET传参需要url编码成%00而已
原理:php的一些函数的底层是C语言,而move_uploaded_file就是其中之一,遇到0x00会截断,0x表示16进制,URL中%00解码成16进制就是0x00。

%00截断,%00的使用是在路径上。如果在文件名上使用,就无法正常截断了。如:aaa.php%00bbb.jpg

 需要满足的条件:
00截断的限制条件是PHP<5.3.29,且GPC关闭。
因为当 magic_quotes_gpc 打开时,所有的 ' (单引号), " (双引号), \ (反斜线) and 空字符会自动转为含有反斜线的转义字符。
magic_quotes_gpc 着重偏向数据库方面,是为了防止sql注入,但magic_quotes_gpc开启还会对$_REQUEST, $_GET,$_POST,$_COOKIE 输入的内容进行过滤

pass13

同第12关做法相同,只不过上传路径在$_POST数据中,不需要url编码。

有一个小技巧,不需要修改hex值,只要在burp里面输入%00,然后进行url解码得到就是0x00。

pass14

读取文件头的两字节,将二进制数据转换为ASCII值进行switch比较。只验证文件头信息。

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

直接上传图片马即可。

制作图片马

先有一个一句话木马和正常的图片

注意:若将木马文件放在图片文件的前面,会无法识别图片。

要将木马插入在图片后面。

要提前在upload目录下编写include.php文件


<?php
/*
本页面存在文件包含漏洞,用于测试图片马是否能正常运行!
*/
header("Content-Type:text/html;charset=utf-8");
$file = $_GET['file'];
if(isset($file)){
    include $file;
}else{
    show_source(__file__);
}
?>

然后直接上传制作好的图片马。

pass15、pass16和pass14解题方法相同,只是靶场后端函数不同。

陌柒2333
关注
  • 9
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全upload-labs+PHPStudy本地靶场搭建详细教程
等风来
08-14 9412
PhpStudy是一个PHP调试环境的程序集成包,集成最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer,安装后无须配置即可使用。在URL栏输入localhost/upload-labs-master或者输入127.0.0.1/upload-labs-master。自此,upload-labs靶场已搭建成功。安装完成后打开PhpStudy。
文件上传漏洞靶场upload-labs学习(pass16-pass21)
AFCC_的博客(Web_Dog)
03-19 4286
Upload-Labs卡0x00 Pass16(exif_imagetype函数绕过)环境准备exif_imagetype函数0x01 Pass17(二次渲染绕过)move_uploaded_file函数imagecreatefromjpeg、imagecreatefrompng、imagecreatefromgif函数imagejpeg、imagepng、imagegif函数过思路GIF文件插入payloadpng、jpg文件插入payload0x02 Pass18(条件竞争绕过)抓取上传数据包抓取访
Upload-labs 1-21 靶场笔记(含代码审计)
m0_59598029的博客
02-25 1188
basename— 返回路径中的文件名部分给出一个包含有指向一个文件的全路径的字符串,本函数返回基本的文件名。Notebasename()纯粹基于输入字符串操作, 它不会受实际文件系统和类似 “..” 的路径格式影响。php?1) sudoers3) passwd4) etc5) .6)imagecreatefromgif():创建一块画布,并从 GIF 文件或 URL 地址载入一副图像。
upload-靶场练习
weixin_51706044的博客
04-16 385
文章目录MIME类型验证绕过上传-第二黑名单后缀名(php3、phtml)绕过上传-第三总结 MIME类型验证绕过上传-第二 基于这种类型的文件上传我们只需要将验证了Content-Type 改成图片的MIME类型即可 抓包 修改Content-Type 上传成功 黑名单后缀名(php3、phtml)绕过上传-第三检测了文件后缀名,禁止了常见动态脚本后缀 不过php3 和pthml没有禁止,在apache配置文件中当php解析 与第一差不多将后缀修改为.phtml然后放包 返回
打靶归来 - 详解upload-labs靶场(下)
qq_52643498的博客
09-22 1930
一、环境准备 ① - 靶场的搭建 下载地址:upload-labs upload-labs靶场曾有过一次更新,更新新添加了一道Pass-05,有一些以前的教程的题号与这篇教程不符合,请各位自行分辨 本篇作者所用到的PHP版本为5.4.45,只有在做部分题目时需要修改 注意:更改配置之后记得重启服务器 ② - 准备webshell 测试用webshell # shell.php → 测试所用的phpinfo <?php phpinfo(); ?> 图片马的制作 准备工作:准备好.
文件上传漏洞:upload-labs靶场
qq_68163788的博客
02-16 3152
upload-labs是一个专注于Web安全的在线靶场,旨在帮助安全研究人员和学习者提升对Web安全的理解和技能。该靶场提供了丰富的漏洞场景和挑战,涵盖了常见的Web安全漏洞类型,包括但不限于SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、文件上传漏洞等。 通过upload-labs,用户可以在真实的环境中进行漏洞挖掘和漏洞利用的实践,学习并掌握各种常见的Web安全攻防技术。靶场提供了丰富的学习资源和提示,帮助用户理解漏洞的原理和挖掘漏洞的方法,同时还提供了实时的漏洞利用演示,帮助用户更好地理解漏洞
upload-labs之第十六
田田云逸的博客
10-28 1333
Pass16 打开第十六,任务什么的还是没有区别。那就看看提示。 渲染了图片?啥是渲染啊,它对上传漏洞防御能有啥用啊?带着一堆的问号我默默打开了源码。 $is_upload = false;$msg = null;if (isset($_POST['submit'])){ // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径 $filename = $_FILES['upload_file']['name']; $filetype = $_FILES['.
WEB渗透学习-upload-labs靶场
04-20
**WEB渗透学习-upload-labs靶场详解** 在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个卡,从基础...
upload-labs安装及攻略
K_ShenH的博客
01-14 2万+
upload-labs靶场的安装搭建(windows) (1)首先当然是需要phpstudy的环境,所以要先下载安装phpstudy。 (2)然后到github的网址中下载源码的压缩包。 github网址:https://github.com/Tj1ngwe1/upload-labs (3)下载后解压缩到phpstudy目录下的WWW子文件夹中,这里要注意吧压缩包的名字改成upload-labs,不然靶场的页面会显示得不对。 (4)然后在输入url HTTPS:...
upload-labs通攻略教程二【12-18
m0_55854679的博客
06-05 1550
upload-labs通攻略教程一(01-11) Pass-12-(白名单验证,get型00截断) 查看题目源码 白名单判断,只允许三中文件类型。strrpos(string,find,start)函数查找字符串中最后一次出现的位置,这里是将后缀名提取赋值给file_exit.但$img_path是直接拼接,我们可以通过抓包修改get参数,然后通过file_ext无效,这样就可以上传php文件因此可以利用%00截断绕过。 %00截断的概念和原理: 在url中%00表示ASCll码中的0,而0作为特殊
upload-labs靶场
qq_49518993的博客
05-29 793
pass1 前端js校验,因为是前端验证所以我们可以选择在前端修改代码checkFile()函数,把他删除 然后链接中国菜刀,上传成功 pass2
upload-labs通记录
热门推荐
迷风小白
06-20 4万+
Pass-1 源码: 因为是前端js校验,因此可以直接禁用js 或者用burp抓包修改文件类型(上传1.jpg修改为1.php) Pass-2 源码: 仅仅判断content-type类型,因此上传1.php抓包修改content-type为图片类型:image/jpeg、image/png、image/gif Pass-3 源码: $is_upload = false; $msg =...
upload-labs第16(判断照片后二次渲染)详解
qq_44133136的博客
10-25 2457
upload-labs16-详解(判断是否为照片后进行二次渲染) 首先看一下源码 首先我们像前面卡一样,上传图片马,按照我们的习惯,将会在图片的尾部,写入php一句话木马,然后用菜刀或者蚁剑连接,我们先按照此方法进行试验 (1)上传图片马 (2)用burp拦截,拦截到上传的包 (3)在图片尾部插入一句话木马,密码是123 <?php @eval($_POST[123]); ?> 放包上传 (4)将图片地址复制下来,用菜刀连接,密码设置的是123 发现连接失败 原因是照片上传后
upload-labs通(Pass-16~Pass-21)
箭雨镜屋
10-20 3071
Pass-16我也把Pass-14中的三种图片马都试了一下,都是可以上传成功并用蚁剑连接成功的,所以具体步骤这边就不写了,可以参照Pass-14(upload-labs通(Pass-11~Pass-15)_箭雨镜屋-CSDN博客) 代码分析: function isImage($filename){ //需要开启php_exif模块 $image_type = exif_imagetype($filename); switch ($image_type) {
upload-labs之pass 16详细分析
baynk的博客
11-05 1006
前记 upload-labs,是一个于文件上传的靶场.具体的write-up社区里也都有文章. 不过我在看了pass-16的源码后,发现了一些有意思的东西. 分析问题 于检测gif的代码 第71行检测$fileext和$filetype是否为gif格式. 然后73行使用move_uploaded_file函数来做判断条件,如果成功将文件移动到$target_path,就会进入二次渲染的代码...
漏洞复现篇——二次渲染绕过(upload-labs---16
爱国小白帽
02-19 5196
实验环境: PHPstudy Burp Suite抓包软件 | 下载 | 教程 | upload-labs-master上传漏洞靶场 火狐浏览器 第十六 1、创建PHP文件 源码: <?php $f= fopen ("shell.php","w") ; fputs ($f,'<?php phpinfo();?>'); ?> 2、选择创建好的PHP文件 3、再...
Upload-labs靶场搭建
weixin_51075988的博客
11-28 6285
Upload-labs靶场搭建 Upload-labs介绍 :一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种 上传漏洞 的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20。 1.phpstudy下载地址:https://www.xp.cn/download.html 2.靶场源码下载:https://github.com/c0ny1/upload-labs 点击Code,下载 解压到phpstudy_pro/www目录下 在phpstudy中新建一个网站 之后在管理中 打开
JS都有哪些操作数组的方法
最新发布
ggq53219的博客
09-04 555
JavaScript 中操作数组的方法非常丰富,这些方法大致可以分为几类:创建和初始化数组、添加元素、删除元素、遍历数组、搜索元素、数组排序、数组映射和过滤等。
Upload-labs靶场攻略:文件上传漏洞分析
"Upload-labs通手册.pdf - 一个于渗透测试的靶场平台,专注于文件上传漏洞的学习与实践。" Upload-labs是一个专门为安全研究人员和渗透测试者设计的在线靶场,它涵盖了各种类型的文件上传漏洞,帮助用户了解并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值