文件上传--Upload-labs--Pass10--双写绕过

已于 2024-04-09 11:32:57 修改
阅读量578 收藏 3
点赞数 7
分类专栏: Upload-labs 文章标签: web安全 文件上传漏洞
于 2024-02-19 10:40:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79800344/article/details/136164508
版权

一、什么是双写绕过

顾名思义,双写绕过就是双写文件后缀名来进行绕过,如:test.php 双写后为 test.pphphp。通常情况下双写绕过用于绕过源代码中的 str_ireplace()函数。

二、双写绕过原理

1、首先进行代码审计,源代码中有黑名单和str_ireplace()函数的联合使用,将黑名单中的敏感后缀名全部都进行了删除。

这就会使我们上传的 test.php 上传后变成 test. ,这就会使Apache无法解析,以至于不会执行文件中的php代码,如图:

但是,str_ireplace() 函数也有缺陷,那就是只会进行一次删除操作,我们这时就可以使用双写进行绕过。test.pphphp 被删除一次php后依然还剩 test.php,这样就可以成功执行php代码。

三、通关操作

1、首先上传test.php文件,利用 Burpsuite 进行抓包,将filename中的 test.php后缀双写。

2、发包,文件上传成功,新标签页中打开,代码成功执行。

---通关。

给我杯冰美式
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
28-2 文件上传漏洞 - 双写绕过
weixin_43263566的博客
03-19 140
在代码编写过程中,双写绕过原理指的是只对黑名单中的内容进行一次空替换。由于只进行一次替换,导致了双写绕过的情况。具体来说,这种绕过技术可以通过在文件名后面添加额外的字符来实现。例如,将黑名单中的后缀名替换为空,而实际上添加了额外的字符(比如"pph"),使得最终文件后缀名变为。这种方法利用了只替换一次的特性,在绕过黑名单检测的同时保留了原本的文件类型(如。正常的上传一个php文件看看。
第十节 文件上传-绕过黑名单验证(双写绕过)-01
09-15
第十节 文件上传-绕过黑名单验证(双写绕过)-01
Erphpdown插件 WordPress收费下载/收费查看隐藏内容/在线充值/前端个人中心/用户推广提现
06-12
基本功能: 已经在程序中集成支付宝(担保交易/双功能接口/即时到帐)、银联、paypal、财付通、微信支付(扫码支付)、个人免签约支付(点击申请接口) 集成mycred积分插件,mycred积分兑换成erphpdown货币(另付费功能)购买此扩展 充值卡充值(管理员后台生成充值卡卡号卡密,可以放在第三方自动发卡平台出售,然后购买用用卡密来进行网站充值)(另付费功能)购买此扩展 设置会员提现手续费比率 设置支付宝异步处理订单 设置用户推广消费提成比率 设置货币昵称(例如:模板币) 设置充值比例(例如:1元=10模板币) 查询所有消费记录 查询所有充值记录 查看与处理取现申请列表 查看全部收益与推广 推广用户消费获得提成(这对管理员没必要) 后台所有资源列表,ajax修改价格 用户充值与扣费 查询用户余额、充值记录、消费记录 发布收费下载资源(支持外链,可设置解压密码,通过email发送给购买用户) 发布收费查看内容(支持全文内容收费查看以及部分内容收费查看) 在消费清单中下载资源 管理与、投稿者、订阅者权限分配(以上某些功能是管理员专有权限) 前端短代码调用 其他功能: 下载路径加密(内链) 申请提现 VIP会员(包月、包季、包年、永久)特权(VIP专享、VIP半价、VIP八折、VIP免费) 一次购买,永久下载 colorbox灯箱弹窗特效 前端个人中心(可直接充值、查看消费等) 更新记录: 修复bug,下载地址可设置网盘名称以及提取码 (v9.2.4 2018.05.28) 修复bug,下载页面显示资源标题 (v9.2.3 2018.05.24) 修复上个版本VIP免费下载记录无法记录的bug,新增虎皮椒个人支付宝/微信免签即时到账接口 (v9.2.2 2018.05.07) 修复9.2版外链下载的bug (v9.2.1 2018.04.12) 新增下载过期时间,更换mcrypt加密内链下载地址方法,新增作者发布收费资源售卖分成(需要设置分成比例) (v9.2 2018.04.09) 修改bug (v9.1.4 2018.02.02) 修复VIP免费下载次数限制bug (v9.1.3 2018.01.24) 新增后台VIP免费下载资源记录列表 (v9.1.2 2017.12.27) 修复bug (v9.1.1 2017.08.21) 新增一款个人支付接口,移除一款支付接口(支持支付宝与微信,详情请看插件里的接口设置),此版本可以设置支付完成后返回页面(erphpdown-显示设置 里设置)。 (v9.1 2017.08.01) 赠送的前端用户中心新增mycred积分兑换,简单适配手机端前端用户中心 (v9.0.4 2017.03.27) 增加支付宝官方接口支付的同步处理充值逻辑(为了暂时解决部分用户网站支付宝官方接口异步处理概率性失效问题) (v9.0.3 2017.03.21) 修复mycred积分兑换的bug (v9.0.2 2017.02.10) 新增VIP免费下载资源限制每天总下载资源个数(仅对VIP专享、VIP免费、包年VIP免费、终身VIP免费的资源有效)(使用此版本必须重启下插件),后台新增清理数据表冗余数据,修复erphpdown短代码支持嵌套其他短代码,修复微信支付的bug (v9.0.1 2016.12.8) 新增自定义文章类型的支持(后台ErphpDown - 显示设置里可设置)、新增支付宝免签约即时到帐接口的支付结果通知、优化插件结构(为后面开放API文档做准备),更新前端用户中心页面文件。此次更新需要用户自行修改一些东西,具体请看下载包里的更新说明文档。模板兔建议此次升级流程:停用插件 - 删除旧插件 - 上传新插件 - 启用新插件,删除插件不会影响网站已存在的数据 (v9.0 2016.11.23)(PS:下个版本还会有惊喜哦~~) 新增后台VIP用户查询功能、所有推广用户记录,修复可能会出现重复购买的bug,赠送的前端用户中心支持VIP推广提成(需要使用新版的前端用户中心文件) (v8.3.2 2016.09.27) 增加充值订单号长度(避免订单号重复),此升级可能会导致无法自动充值成功,若出现此问题,请重启下插件。若无法解决,请进网站数据库管理(phpmyadmin)修改数据表wp_ice_money 的ice_num字段,若是int类型,请改成varchar,长度改为50 (v8.3.1 2016.08.29) 新增支付宝免签约即时到帐接口,详情请看插件后台Erphpdown-账号设置 (v8.3 2016.08.27) 修复部分老用户网站无法自动处理支付结果的bug (v8.2.1 2016.08.08) 新增年费VIP与终身VIP免费权限,移除购买时发邮件功能 (v8.2 2016.06.28) 优化代码 (v8.1.1 2016.05.21) 更新用户前端文件至8.1版本,前端支持充值卡充值 (v8.1 2016.05.08) 优化充值订单号长度(使用此版本必须重启下插件),优化弹窗购买框界面以及下载界面 (v8.0.2 2016.03.30) 修复后台处理提现的bug (v8.0.1 2016.03.14) 新增微信支付,暂时关闭推广点击奖励,优化插件结构(赠送的前端文件修改过,请使用新的前端文件) (v8.0 2016.02.23) 修复文章标题有单引号时导致无法购买的bug,新增支持SSL链接、迅雷下载链接、种子链接 (v7.0.1 2016.01.11) 修复重要bug,请务必升级到此最新版 (v7.0 2015.12.03) 修复用户前端提现不扣费的bug,后台申请的提现不影响 (v6.2.1 2015.11.13) 新增前端升级VIP以及充值地址自定义(适合有前端用户中心的用户) (v6.2 2015.11.11) 新增批量管理所有VIP用户的到期时间,新增收费查看部分文章隐藏内容选项 (v6.1 2015.10.17) 修复后台添加VIP续费的bug (V6.0.1 2015.06.24) 修复收费查看样式错乱以及提现偶尔出现负余额的bug (V6.0 2015.06.20) 修复部分用户数据库无法写入的bug,新增后台VIP用户管理功能 (v5.0 2015.06.17) 修复部分bug (v4.5.2 2015.05.13) 新增下载页面直接显示隐藏信息 (v4.5.1 2015.03.31) 支持访问推广链接获得提成(需重启插件方可生效)(v4.5 2015.03.04) 新增VIP会员续费功能,修复后台列表部分bug (v4.4 2015.03.01) 新增资源免费下载功能,修复支付宝担保交易接口跳转的bug (v4.3 2015.01.28) 新增mycred积分兑换(另付费功能,测试版本mycred 1.5.4)购买 (v4.2 2014.11.11) 新增支付宝转账付款,集成erphpdown充值卡(另付费功能)购买 (v4.1 2014.10.09) 优化前台下载样式(v4.0.1 2014.08.13) 新增财付通充值(功能待完美测试)(v4.0 2014.08.01) 优化后台。部分用户在使用过程中函数有冲突,所以修复了一些函数,使用前端页面的需要修改下前端里的部分函数名,具体看插件里的更新记录,数据不受任何影响(v3.0.2 2014.05.11) 新增用户购买后直接显示隐藏内容(比如 解压密码)(v3.0.1 2014.04.26) 新增前端个人中心短代码调用(v3.0 2014.04.23) 修复部分主机出现的bug(v2.2 2014.03.21) 修复支付宝异步处理bug(v2.1 2014.03.16) 修复bug、新增注册选项、优化下载(v2.0 2014.03.04) 优化下载(v1.5.4 2014.02.18) 修复bug(v1.5.3 2014.02.07) 修复bug、优化推广(v1.5.2 2014.01.18) 修复bug、新增ajax修改价格、异步处理充值选项、优化付费发布(v1.5 2014.01.04) 新增后台网站所有资源列表(v1.4 2013.12.10) 修复bug(v1.3.2 2013.12.09) 新增站内转账(v1.3 2013.11.29) 注册页新增验证码(v1.2.3 2013.11.26) 修复bug(v1.2.1 2013.11.20) 新增收费查看内容(v1.2 2013.11.19) 优化注册,新增密码输入(v1.1.1 2013.11.18) 支持支付宝担保交易(v1.1 2013.11.16) 支持支付宝即时到帐与双功能接口,银联支付,paypal贝宝支付(v1.0 2013.11.10)
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
渗透测试上传漏洞经典靶场学习-upload-labs
S-CMS美容美体网站(双语带手机版) v3.0 build20171024.rar
07-05
S-CMS美容美体网站(双语带手机版) v3.0 build20171024更新日志 1.新增:新闻分类表新增新闻分类封面图字段 2.修复:修复后台两个文件绕过cookies验证直接访问的问题 3.新增:新闻分类和产品分类函数新增 %主分类图片% 的内部标签 4.新增:新闻分类和产品分类新增按照字母排序的主分类功能 美容美体行业HMTML5网站特色 一:使搜索引擎更加容易抓取和索引 二:提供更多的功能,提高用户的友好体验 三:可用性的提高,提高用户的友好体验 美容美体行业HMTML5网站使用方法 将文件上传只ASP空间,运行http://你的域名/install.asp进行安装。 只需两步即可安装完成,为了保证网站安全,请修改默认后台路径及数据库名称。 美容美体行业HMTML5网站前台页面 美容美体行业HMTML5网站后台管理 后台路径:安装时可设置后台路径 用户名与密码:admin(安装时可设置) 后台页面 相关阅读 同类推荐:站长常用源码
黑帽渗透web安全基础.txt
06-25
1.SQL注入 25.SQL注入的理解.mp4 26.学员操作联合注入.mp4 26.联合注入.mp4 27注入类型.mp4 28.导出数据库别名拿shell.mp4 29.读文件.mp4 30.html的锚点.mp4 31.MYSQL布尔注入.mp4 32.延时注入.mp4 33.别名的理解.mp4 34.Mysqlbug注入.mp4 35.mysql函数报错.mp4 36.如何修补SQL注入上.mp4 37.如何修补SQL注入下.mp4 38.判断是否存在注入.mp4 39.宽字节注入.mp4 40.多语句注入.mp4 41.values注入.mp4 42.delete注入.mp4 43.update型注入.mp4 44.注入常用函数.mp4 45.防火墙.mp4 46.曾删改报错注入+怎么找这种漏洞.mp4 47.其他数据库的注入.mp4 2.xss 48.什么是XSS发送ajax实现跨域.mp4 49.理解ajax同异步之学员争辩.mp4 50.存储XSS.mp4 51.反射XSS.mp4 52.domxss.mp4 53.XXSSProtection.mp4 54.CRLF+XSS.mp4 55.xss修补.mp4 56.闭合XSS.mp4 57.搭建XSS平台.mp4 3.csrfxss蠕虫ssrfxxe 58.了解CSRFCSRF攻击.mp4 59.csrf漏洞修补.mp4 60.xss蠕虫.mp4 61.xxe理解xxe攻击xxe修补.mp4 62.ssrf理解利用修补.mp4 4.webshell 63.webshell.mp4 5.文件上传 64.空字节的理解.mp4 65.上传的流程.mp4 66.JS验证.mp4 67.截断上传.mp4 68.黑名单验证上传.mp4 69.二次上传.mp4 70.上传分析.mp4 71.mime类型绕过.mp4 72.解析漏洞.mp4 73.双文件上传.mp4 74.找上传已知漏洞.mp4 6.mysql注入进阶DNS查询 75.理解DNS.mp4 76.Sql注入利用DNS注入.mp4 77.学员搭建环境.mp4 78.其他数据库注入.mp4 7.文件包含读取代码执行与命令执行 79.文件包含.mp4 80.文件包含修补+上传修补.mp4 81.文件读取.mp4 82.学员利用文件包含拿webshell.mp4 83.远程代码与命令执行.mp4 84.理解序列化.mp4 85.反序列化漏洞理解.mp4 86.黑白盒exppocPayload的理解.mp4 8.设计缺陷逻辑错误 87.逻辑漏洞的理解.mp4 88.学员实战挖掘密码重置漏洞.mp4 89.提现.mp4 90.验证码漏洞.mp4 91.未授权访问.mp4 92.未授权操作.mp4 93.越权.mp4 9.信息泄露 94.什么是信息泄露.mp4 95.google的用法.mp4 96.找网站路径.mp4 97.判断网站CMS.mp4 98.Robots.txt的讲解.mp4 99.社工库的理解.mp4
【CTFHub】 文件上传双写绕过
cx_sam的博客
08-06 2299
CTFHub WEB 文件上传
文件上传————ctfhub之双写绕过
qq_45655564的博客
05-29 666
CTFHub 文件上传——双写绕过 可以看到源代码 $name = basename($_FILES['file']['name']); $blacklist = array("php", "php5", "php4", "php3", "phtml", "pht", "jsp", "jspa", "jspx", "jsw", "jsv", "jspf", "jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer", "swf",
CTFHub技能树web(持续更新)--文件上传--双写绕过
jiuyongpinyin的博客
12-01 574
双写绕过 题目提示双写绕过,首先我们上传一个一句话: 发现后缀被过滤掉了,构造双写的后缀: 上传成功,使用蚁剑或菜刀,获得flag: 注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正。 ...
渗透测试-文件上传双写文件名和::$DATA绕过(四)
lza20001103的博客
04-17 3425
渗透测试-文件上传双写文件名和::$DATA绕过
漏洞靶场】文件上传后端检测双写绕过--upload-labs
m0_46344990的博客
04-28 1104
一、漏洞描述 在upload-labs第十一关中,服务器脚本才用了黑名单的形式检测非法文件后缀,用了一系列函数来取得文件后缀名。使用str_ireplace()函数将非法后缀替换为空,函数意思是使用一个字符串替换另一个字符串中的一些字符,对大小写不铭感。因为只替换一次,可以采用双写文件后缀的方法绕过检测。 二、漏洞发现 先在本地写php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php 直接看第十一关的代码,先用file_exists函数判断文件
文件上传突破
07-24
文件上传突破
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
01-08
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
安装upload-labs
10-22
安装upload-labs
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
sqli-labs配置数据库sqli-labs的数据库文件
03-09
Unable to connect to the database: security sqli-labs通过docker安装时,缺少数据库文件,可以通过这个sql文件直接安装
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
文件上传漏洞绕过方法笔记
m0_53820621的博客
09-01 721
文件上传漏洞绕过方法个人笔记。
文件上传绕过】十、利用后缀名双写绕过
ssrf
10-11 2349
文章目录一、实验环境二、源码三、双写后缀进行绕过 一、实验环境 服务端对敏感后缀名替换为空 本pass会从文件名中去除.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.asp
sql注入双写绕过的原理
最新发布
03-01
SQL注入双写绕过是一种SQL注入攻击的技术手段,用于绕过一些简单的防御机制。其原理如下: 1. SQL注入简介:SQL注入是一种常见的安全漏洞,攻击者通过在用户输入的数据中插入恶意的SQL代码,从而执行非法的数据库操作。这些恶意代码可以修改、删除或者泄露数据库中的数据。 2. 双写绕过原理:在一些情况下,开发人员会对用户输入进行简单的过滤,例如替换特殊字符或者转义字符。然而,攻击者可以利用这种过滤机制中的漏洞,通过双写绕过绕过过滤。 - 双写:攻击者可以利用某些字符的特性,在输入中使用两个相同的字符来绕过过滤。例如,如果过滤机制将单引号(')替换为两个单引号(''),那么攻击者可以在输入中使用两个单引号来绕过过滤。 - 绕过:通过使用双写绕过过滤,攻击者可以成功地插入恶意的SQL代码,从而执行非法的数据库操作。 3. 示例:假设有一个登录页面,用户需要输入用户名和密码进行登录。开发人员对用户输入进行了简单的过滤,将单引号替换为两个单引号。攻击者可以利用双写绕过绕过这个过滤机制。 - 原始查询:SELECT * FROM users WHERE username = 'admin' AND password = 'password' - 过滤后的查询:SELECT * FROM users WHERE username = 'admin'' AND password = 'password' 攻击者可以在用户名输入框中输入 `' OR '1'='1`,这样在拼接SQL语句时,会变成: SELECT * FROM users WHERE username = '' OR '1'='1' AND password = 'password' 这样,攻击者成功绕过了过滤机制,并且可以登录到管理员账户。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值