Upload-labs(Pass-14 - Pass-16)

已于 2024-04-11 22:09:55 修改
阅读量842 收藏 24
点赞数 22
文章标签: 安全 服务器 linux
于 2024-04-11 22:09:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81105268/article/details/137622584
版权

Pass-14

(图片马,判断文件类型)

图片的格式在防护中通常是不会使用后缀进行判断的依据,文件头是文件开头的一段二进制码,不同类型的图片也就会有不同的二进制头。
  JPEG (jpg),文件头:FF D8 FF E1
  PNG (png),文件头:89 50 4E 47
  GIF (gif),文件头:47 49 46 38

查看源码

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if($file_type == 'unknown'){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

提示:

检查图片内容开头两个字节,所以要想到用图片+php来组成一个图片马,可以直接用notepad打开一个图片在后面添加代码组成图片马,不过可能会出错。也可以使用cmd命令。

(要先进入文件夹内,使用cd)

利用copy命令合成一个图片马使用_copy 图片马-CSDN博客

copy th.jpg /b + phpinfo.php /a 11.php

补充如果是linux那么命令就是

cat th.jpg phinfo.php > 11.php


  制作好的图片马想要解析出来这个图片,还得有这个包含漏洞。

网站存在包含漏洞

直接上传含有PHP木马的图片

打开图片获得图片地址,右键可以查看文件路径

upload/3420240411210440.jpg

利用文件包含漏洞upload-labs/include.php?file=upload/文件名

访问文件路径时需要构造URL

include.php?file=upload/3420240411210440.jpg

成功访问

使用图片木马,php5.6以上的版本才能成功解析图片木马

做此题时,phpstudy2018总是无法成功访问,有大佬说是版本问题,尝试使用phpstudy_pro搭建upload-labs环境后,再次尝试,即可成功访问。遇到问题时多加尝试,办法总比困难多。

Pass-15

(图片马,检测是否为图片)

查看源码

function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
        $info = getimagesize($filename);
        $ext = image_type_to_extension($info[2]);
        if(stripos($types,$ext)>=0){
            return $ext;
        }else{
            return false;
        }
    }else{
        return false;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

提示

关键函数是getimagesize,getimagesize函数会对目标的十六进制的前几个字符串进行读取。比如GIF的文件头问GIF89a,png的文件头为塒NG。尝试读取上传文件(图片)的大小,如果该函数能够成功读取上传文件的大小,就说明该文件是一个图片;如果不能成功读取,那么就说明该文件不是一张图片,是一个恶意文件。

getimagesize()官网

PHP: getimagesize - Manual

与14题类似,还是利用14关的图片马

查看文件路径

构造url

include.php?file=upload/6920240411212612.jpeg

成功访问

Pass-16

(图片马,检查字节、后缀)

查看源码

function isImage($filename){
    //需要开启php_exif模块
    $image_type = exif_imagetype($filename);
    switch ($image_type) {
        case IMAGETYPE_GIF:
            return "gif";
            break;
        case IMAGETYPE_JPEG:
            return "jpg";
            break;
        case IMAGETYPE_PNG:
            return "png";
            break;    
        default:
            return false;
            break;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

提示:

上传文件后,发现页面异常,原因未知

查阅资料后得知

php5.6以上的版本才能成功解析图片木马

需要开启php_exif模块

看wp,14,15,16三题做法类似,只是考察的函数不一样

函数exif_imagetype()

exif_imagetype() 读取一个图像的第一个字节并检查其签名。

但是这一关要注意:需要开启php_exif模块

更改版本以及配置后,即可成功上传

成功访问文件路径

注释:

三题使用的图片马均为同一个

th.jpg为网上找到的一张图片

phpinfo.php为一句话木马,代码为

<?php
phpinfo();
?>

也可以编写其他一句话木马,使用蚁剑连接

使用cmd命令制作图片马时需要注意文件名

访问文件路径时需要构建url,利用文件包含漏洞upload-labs/include.php?file=upload/文件名

遇到问题,多想多问。办法总比困难多。

Nernus
关注
  • 22
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
安装upload-labs
10-22
安装upload-labs
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
[网络安全]upload-labs Pass-14 解题详析
等风来
08-16 4214
以上为[网络安全]upload-labs Pass-01 解题详析,后续将分享[网络安全]xss-labs Pass-02 解题详析。我是秋说,我们下次见。
upload-labs之pass 16详细分析
baynk的博客
11-05 970
前记 upload-labs,是一个关于文件上传的靶场.具体的write-up社区里也都有文章. 不过我在看了pass-16的源码后,发现了一些有意思的东西. 分析问题 关于检测gif的代码 第71行检测$fileext和$filetype是否为gif格式. 然后73行使用move_uploaded_file函数来做判断条件,如果成功将文件移动到$target_path,就会进入二次渲染的代码...
[网络安全]upload-labs Pass-18 解题详析
等风来
08-23 4146
以上为[网络安全]upload-labs Pass-18 解题详析,后续将分享[网络安全]xss-labs Pass-19 解题详析。我是秋说,我们下次见。
Upload-labs Pass-20 数组绕过
baynk的博客
11-05 1552
Upload-labs Pass-20 数组+/.绕过 和19关前面长一个样,肯定要代码审计了,直接看源码。 $is_upload = false; $msg = null; if(!empty($_FILES['upload_file'])){ //检查MIME $allow_type = array('image/jpeg','image/png','image/gif');...
BUUCTF做题Upload-Labs记录pass-01~pass-10
Goodric的博客
07-26 885
前端验证后缀。 传1.png 抓包改1.php 即可。
upload-labs pass-12
weixin_50339082的博客
06-25 321
upload-labs pass-12 Pass-12 先看一下源码(白名单验证–GET型0x00截断): $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1
upload -labs pass17
qq_45106794的博客
11-07 568
#upload -labs pass17 ####################### unlink() 函数删除文件。 若成功,则返回 true,失败则返回 false。 语法 unlink(filename,context) ####################### $is_upload = false; $msg = null; if(isset($_POST['submit']...
upload-labs Pass-01(详解)
菜菜的博客
09-26 427
思路:发现了只能上传图片类型,我们可以使用burp来修改前端,来上传php一句话木马,或者在burp里上传的图片的文件后添加一句话木马。打开蚁剑,输入url地址http://192.168.7.56:1111/upload/7.php 输入一句话密码cmd,点击测试连接,点击添加。发现前端限制了我们只能上传.jpg .png .gif类型的文件。burp就会显示,下面很长而且看不懂的就是图片文件的内容。打开burp,打开抓包,浏览器先上传一张图片。就上传成功了,右键图片点击新建标签打开图像。
[网络安全]upload-labs Pass-07 解题详析
等风来
08-14 4050
以上为[网络安全]upload-labs Pass-07 解题详析,后续将分享[网络安全]xss-labs Pass-08 解题详析。我是秋说,我们下次见。
Upload-labs Pass-03 黑名单限制 解析漏洞
baynk的博客
11-03 1913
Pass-03 黑名单限制 0x01 过程 直接上传php文件。 有黑名单提示了,这里反应了一段时间,同时还是去检查了下JS,确实是后端的黑名单限制。我这里传了一个jpg上去。 发现可以上传成功的,查看下图片的链接src="../upload/201911031519209854.jpg",发现进行了重命名,只以最后的后缀名为真正的后缀名,这里就只能去尝试看有没有任意后缀名上传,php,php...
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
UPLOAD-LABS详细解题步骤
05-17
UPLOAD-LABS详细解题步骤
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 133
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
[图解]SysML和EA建模住宅安全系统-05
最新发布
rolt的专栏
05-18 650
作用就是定义属性之间的数学关系
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 359
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
RSAC 2024观察:软件供应链安全进入AI+时代
lurenjia404的博客
05-15 920
盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。
upload-labs pass6
07-28
- *1* [upload-labs靶场-Pass-06关-思路以及过程](https://blog.csdn.net/weixin_44257023/article/details/122506927)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值