[网络安全]upload-labs Pass-12 解题详析

最新推荐文章于 2024-02-19 14:38:49 发布
最新推荐文章于 2024-02-19 14:38:49 发布
阅读量4k 收藏
点赞数 1
分类专栏: 网络安全 # Upload-Labs靶场攻防实战 文章标签: web安全 安全 文件上传漏洞 upload
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/132289386
版权

读者可参考、订阅专栏:Upload-Labs靶场攻防实战

Antsword蚁剑

该题涉及蚁剑工具的利用,操作可参考:

[网络安全]AntSword(蚁剑)实战解题详析(入门)

[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集

姿势

后端逻辑代码:

在这里插入图片描述

源码分析如下:

  1. $ext_arr = array('jpg','png','gif');:定义允许上传的文件扩展名数组,只允许上传 jpg、png 和 gif 文件。

  2. $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);:从上传的文件名中提取文件扩展名。使用substr函数从最后一个点(.)之后截取字符串,即获取文件扩展名。

  3. if(in_array($file_ext,$ext_arr)){:检查文件扩展名是否在允许上传的扩展名数组中。

    • 如果文件扩展名合法,进入条件判断块:
    • $temp_file = $_FILES['upload_file']['tmp_name'];:获取上传文件在服务器上的临时存储路径。
    • $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;:将上传文件的保存路径设置为指定的目录(通过$_GET['save_path']获取)加上随机数、当前日期时间和文件扩展名组成的新文件名。

可知文件被重命名,但save_path参数可控

故可使用00截断

00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。

因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。

抓包:

在这里插入图片描述

改包:

在这里插入图片描述

放包:

在这里插入图片描述

得到图片上传路径:

在这里插入图片描述

之后即可构造shell,本文不再赘述。

总结

以上为[网络安全]upload-labs Pass-12 解题详析,后续将分享[网络安全]xss-labs Pass-13 解题详析。

我是秋说,我们下次见。

秋说
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Upload-Labs-Pass-12
龙狼刺的博客
04-23 2046
目录 一、相关知识 1、POST型00截断原理: 二、环境搭配 三、文件上传 1、创建webshell 2、修改文件名 3、设置代理 4、文件上传 四、Weevely连接 一、相关知识 1、POST型00截断原理: 在POST请求中,%00不会被自动解码,需要在16禁止中进行修改00。 二、环境搭配 攻击机: kali IP: 192.168.0.112 靶机: Windows2008 IP: 192.168.0.130:9006 .
安装upload-labs
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
upload-labs关卡12(基于白名单的%00截断绕过)通关思路
zyh1588的博客
11-22 888
小白回顾文件上传靶场第12关
upload-labs靶场-Pass-12关-思路以及过程
weixin_44257023的博客
01-16 3465
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
upload-labs pass-12
weixin_50339082的博客
06-25 331
upload-labs pass-12 Pass-12 先看一下源码(白名单验证–GET型0x00截断): $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1
upload-labs 12-17关
qq_53409748的博客
03-01 555
upload-labs 12-17关
upload-labs 1-21关通关思路教程
weixin_45612728的博客
06-15 1576
upload-labs新版1-21关的全部思路以及过关指引
WEB渗透学习-upload-labs靶场
04-20
upload-labs靶场为学习者提供了一个安全的环境,可以尝试各种攻击手段,而不必担心对真实系统造成损害。通过挑战,不仅可以熟练掌握文件上传漏洞的利用技巧,还能培养漏洞发现和安全编程的习惯,提高网络安全防护...
UPLOAD-LABS解题步骤
05-17
UPLOAD-LABS解题步骤 UPLOAD-LABS是一个网络安全靶场,旨在帮助用户练习文件上传的安全知识。该靶场提供了多个关卡,每个关卡都有一定的安全挑战和限制,旨在考验用户的安全知识和技术。 在开始之前,需要先...
upload-labs-master.zip
06-22
总之,"upload-labs-master.zip" 提供了一个全面的实践平台,帮助你深入理解和防范文件上传漏洞,提升网络安全意识和技能。在实际操作中,应遵循指导,逐步解密每个挑战,同时结合理论知识,以达到最佳学习效果。
upload-labs19-20以及总结1
08-08
2. **抓包分**:使用抓包工具(如Wireshark或Burp Suite)可以观察到`filename`和`save_name`字段,了解数据在网络传输过程中的具体形态,有助于我们理解如何构造请求以绕过安全机制。 3. **文件类型检查**:源码...
upload-labs通关过程(12关——21关)
2301_80337881的博客
11-29 1522
这一关我们使用到了%00截断,我们正常上传php文件并抓包在第一行upload/后加xxx.php%00并将底下filenamedephp后缀改为jpg,就可以上传成功了,注意用蚁剑测试时链接中upload/后跟的是xxx.php。
文件上传--Upload-labs--Pass12--(POST)00绕过
最新发布
2302_79800344的博客
02-19 196
_POST的00绕过
文件上传漏洞—%00截断,配合upload-labs-12和Burp Suite
qq_43660551的博客
11-08 2838
预备知识:在请求方法中,get方式会对url编码进行自动解码,但是post不会对url编码进行自动解码。所以,在数据包以post方式提交时,要先将url编码进行解码,然后再提交。 查看下本关的源码。不难发现,本关使用白名单,只允许上传jpg、png、gif格式的文件。 源码中move_upload_file将文件上传到img_path的路径中,而img_path路径是save_path加上随机数时间戳+ “.” + 后缀名。这里save_path可以在数据包中修改。 ...
upload-labs之第十二和十三关
田田云逸的博客
10-28 2834
注意:在上一篇的最后有一个知识点没有提到的就是,关于00截断的利用条件。 需满足 php 版本<5.3.4 php.ini中的magic_quotes_gpc是off状态的。(至于为什么下面会进行演示) Pass12 打开第十二关老规矩先看提示 提示跟上一关一样是上传路径可控???怎么回事,难道两关考的考点是一样的吗?赶紧看看源码 $is_upload = false;$msg = null;if(isset($_POST['submit'])){ $ext_arr = .
upload-labs:pass-12
羽的博客
07-09 171
$is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); if(in_array($file_ext,$ext_arr)){ ...
Upload-labs pass12 get00截断细教程
大河之犬的博客
02-27 424
漏洞环境条件:这一关白名单,最终文件的存放位置是以拼接的方式,可以使用%00截断,但需要0x00%000x00🎟️。
upload-labspass-09~pass-12
qq_43665434的博客
03-20 627
upload-labspass-09~pass-12解 【pass-09】过滤逻辑绕过 1、源码分 #index.php $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",
【文件上传漏洞-05】文件上传路径截断实例—以upload-labs-12为例
m0_64378913的博客
07-12 2860
目录1 知识储备2 实验简介2.1 实验目的2.2 实验环境2.3 前期准备3 文件上传路径截断实例3.1 实例一:upload-labs-113.2 实例二:upload-labs-124 总结 1 知识储备 概述:在ASCII码中,00代表的是空字符,在URL中表现为%00。在文件截断攻击中,就是采用空字符来误导服务器截断字符串,以达到绕过攻击的目的。 原理:服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置,该函数属于文件系统函数,底层是采用C语言实现的,在C语言中
upload-labs pass6
07-28
抱歉,我无法理解你的问题。请提供更多细节或明确你的问题,我将尽力帮助你。 #### 引用[.reference_title] - *1* [upload-labs靶场-Pass-06关-思路以及过程](https://blog.csdn.net/weixin_44257023/article/details/122506927)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值