upload-labs靶场通关详解:第21关 数组绕过

最新推荐文章于 2025-07-18 21:15:47 发布
原创 最新推荐文章于 2025-07-18 21:15:47 发布 · 711 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #文件上传漏洞

一、分析源代码

// 初始化上传状态和消息变量
$is_upload = false;
$msg = null;

// 检查是否有文件上传
if(!empty($_FILES['upload_file'])){
    // 允许上传的MIME类型数组
    $allow_type = array('image/jpeg','image/png','image/gif');
    
    // 验证上传文件的MIME类型是否允许
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        // 获取保存的文件名,如果用户未指定则使用原文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        
        // 将文件名转换为小写并分割成数组(处理可能的多级扩展名)
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        // 获取文件扩展名
        $ext = end($file);
        
        // 允许的文件后缀名数组
        $allow_suffix = array('jpg','png','gif');
        
        // 验证文件后缀名是否允许
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            // 重新组合文件名(保留原始文件名和扩展名)
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            
            // 获取临时文件路径
            $temp_file = $_FILES['upload_file']['tmp_name'];
            
            // 构建上传后的文件完整路径
            $img_path = UPLOAD_PATH . '/' .$file_name;
            
            // 将临时文件移动到指定上传目录
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;  // 标记上传成功
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

 这里首先做了一个MIME类型检测,然后将保存的文件名分割成数组,进行白名单验证。

explode()函数将文件名拆分成数组,假设上传文件是xx.php.jpg,被拆分为:

Array
(
     [0] => xx
     [1] => php
     [2] => jpg
)

 end()函数用来获取最后一个元素的值,进行后缀名检查。这里获取是jpg,通过白名单验证,进入下一步。

重新组合文件名,reset()函数返回第一个元素的值,“.”用来拼接,count()函数是统计元素个数,$file[count($file) - 1]是获取最后一个元素。举例,这里文件名被拆分为包含三个元素的数组,所以count($file)为3,也就是$file[2],索引从0开始,$file[2]就是第三位的“jpg”。重新组合的文件名就成为“xx.jpg”。

接下来再构建路径并转移上传。

二、解题思路

缺陷存在于数组拆分重组这一步,因为数组中的元素是可以构造的。

Array
(
     [0] => xx.php
     [1] => (空)
     [2] => jpg
)

将第二个元素构造为空,end()函数获取第三个元素的值jpg,通过白名单验证。进入重新组合文件名:

$file_name = reset($file) . '.' . $file[count($file) - 1];

 这一步是关键所在,reset()函数获取第一个元素的值xx.php,而count()函数计算数组中只有2个元素,所以$file[count($file) - 1]索引的位置是$file[1],也就是第二个元素的值。最后拼接,变成了“xx.php.(空)”,由于windows系统的特性会删除文件名末尾的句点(.),最终文件被服务器保存为xx.php。

三、解题步骤

1.上传木马,利用bp抓包,先修改一下MIME类型,改成image/png。

2.构造数组。

3.提示文件上传成功,被保存为php文件。

upload-labs靶场通关详解(1-15)
guowu666的博客
05-10 1636
upload-labs 通关详解
UPLOAD-LABS靶场[超详细通关教程,通关攻略]
muyuchen110的博客
07-27 7719
Upload-labs是一个使用PHP语言编写,专门用于渗透测试和CTF中遇到的各种文件上传漏洞靶场。目前一共20,每个都包含着不同上传方式。文件上传漏洞:用户可以越过其本身权限,向服务器上传可执行的动态脚本文件,例如木马、病毒、恶意脚本或者WebShell等。文件上传漏洞本身就是一个危害巨大的漏洞WebShell更是将这种漏洞的利用无限扩大。
upload-labs靶场通关详解:第14 图片马绕过
CL1799438883的博客
05-22 895
我们可以利用这条命令将图片和木马合成为图片木马,进行上传,此时图片木马(假设JPG格式)的头部仍然为FF D8,但是中间或者末尾包含了恶意代码,但是这的PHP代码只检测文件头部的前两个字节,对后面的内容没有检查,所以就产生了绕过。比如,JPG 文件的头部起始字节为 FF D8,这两个字节是 JPG 文件的必要标识,任何合法的 JPG 文件都必须以FF D8开头。这段命令是将1.jpg文件和2.jpg文件合并为3.jpg文件,参数/b的意思是以二进制模式复制文件,是为了保证图片数据的完整性。
upload-labs靶场通关详解:第4 .htaccess配置文件绕过
CL1799438883的博客
05-10 948
也就是说,我们可以创建一个.htaccess文件,并写入SetHandler指令,将其上传到服务器保存上传文件的目录,然后上传修改成.jpg后缀的一句话木马。两个文件保存在同一目录下,.jpg就会被当作.php解析,这就是本通关思路。另外,.htaccess文件提供了针对每个目录改变配置的方法,即在一个特定的目录中放置一个包含指令的文件,其中的指令作用于此目录及其所有子目录。将.htaccess文件进行上传,其成功被保存在upload目录中,那么此目录中的所有文件将被当作php解析。
upload-labs靶场通关详解:第2 MIME类型绕过
CL1799438883的博客
05-07 339
'upload_file':此为表单中文件上传字段的名称。在 HTML 表单里,文件上传的输入框一般是使用 <input type="file" name="upload_file">这样的形式,其中name属性的值就是'upload_file'。打开bp工具,上传php文件,抓取数据包,content-type就是文件类型,将其修改为允许上传的类型,如image/jpeg等。数组里的一个索引,代表上传文件的 MIME 类型。到这里可以得出思路,尝试通过bp抓包,修改文件的MIME类型进行验证绕过
upload-labs靶场通关详解:第11 双写绕过
CL1799438883的博客
05-19 626
现在我们知道它可以删除黑名单中的扩展名,那么这的代码是否存在逻辑漏洞呢?如果我上传文件的后缀名为pphphp,代码从第一位字母p开始读取,读到2-4位的时候发现这三位字母是php,于是将它替换成空白字符(删除),这看起来没什么问题,代码执行下一步,构建路径上传文件。但是,这里的pphphp在php被删除后,后缀只剩下了php,然后被上传,从而构成了文件绕过,这就是双写绕过。这一仍然是黑名单过滤,但是它的代码和前几都不一样, 它这里有一行核心代码,就是。3.将所有匹配的扩展名替换为空字符串(即删除)。
upload-labs靶场通关详解:第3 后缀名解析绕过
CL1799438883的博客
05-09 672
AddType application/x-httpd-php .php .phtml .php3 .php4 .php5是一条 Apache HTTP 服务器配置指令,用于告诉服务器将特定文件扩展名(如 .php、.phtml、.php3、 .php4 、.php5)的文件识别为 PHP 脚本,并使用 PHP 解释器进行处理。通俗意思就是你上传的xxx.php3文件,服务器会当成xxx.php文件来执行。检查网页代码,通过html标签找到文件路径,或者直接右击,复制图片地址。去文件目录下执行,成功。
upload-labs靶场通关详解:第5 .user.ini配置文件绕过
CL1799438883的博客
05-11 569
梳理一下思路,我们先创建一个.user.ini配置文件,写入指令auto_append_file = 666.jpg,然后上传。打开上传目录下的readme.php文件,一句话木马中的代码就会被附加到其中并执行。这个配置指令的意思就是,用于指定一个文件,该文件的内容会自动附加到所有 PHP 脚本的输出头部或者末尾。1.在桌面创建文件,写入指令并保存,重命名为.user.ini,然后上传。在靶场upload目录下,有一个默认的readme.php文件,3.打开readme.php,木马被成功执行。
upload-labs靶场通关详解:第6-9 大小写、空格等绕过
CL1799438883的博客
05-15 1112
首尾去空” 是编程中处理字符串时的一种常见操作,指的是去除字符串开头和结尾的空白字符,保留中间的有效内容。但是,仔细观察,发现它和上一的代码比起来,漏掉了一行代码,这行代码就是转换为小写。我们可以尝试在上传文件时加上空格绕过,当它保存在服务器上时空格又会被删除,就成功保存了php文件。1.上传666.php,利用bp工具进行拦截,在php后面加上句点(.),放行。1.上传666.php,利用bp工具进行拦截,在php后面加上空格,放行。2.上传文件,显示成功,说明改成大写是可以绕过的。
upload-labs靶场通关详解:第10 多重结合绕过
CL1799438883的博客
05-19 392
没有完美的代码,如果找不到代码的缺漏之处,那就尝试找到代码的逻辑错误。这里的代码进行了4种过滤,如果采用多次结合的方法去尝试呢?比如,我在文件后缀名加上点,再加上空格,再加上点。代码在执行时,按照顺序,首先会删除点,再删除空格,这样看起来就似乎没什么问题了。通过6-9的练习,我们掌握了4种绕过方式,但是这的代码将4种方式都进行了过滤,那么又该用什么思路呢?2.放行,发现文件上传成功,测试木马,被成功解析,绕过完成。1.上传666.php并抓包,将文件后缀加上点空格点。
upload-labs靶场通关详解:第12-13 00截断绕过
CL1799438883的博客
05-20 721
然而,由于空字节的存在,程序会错误地认为字符串在php之后就结束了,从而把扩展名识别为php。在 C 语言和受其影响的编程语言(像 PHP)里,空字节(也就是\0,对应的 ASCII 码为 0)被用作字符串的结束符。当程序在处理包含空字节的字符串时,可能会错误地将空字节之后的内容忽略掉,把空字节前面的部分当作完整的字符串。可以看到文件应该被命名为777.php�/1320250520193657.jpg,这个�就是00截断,在保存到服务器时,会被误以为到空字节就结束,所以文件被保存为777.php。
网络安全upload-labs靶场通关指南:文件上传漏洞利用与防御技术详解及环境搭建教程
07-11
核⼼通关详解部分,针对每提供了具体的漏洞原理和绕过方法,例如Pass-01前端JS绕过、Pass-02 MIME类型伪造、Pass-03⿊名单扩展名绕过、Pass-14图⽚⻢制作等。最后,文档还提出了安全加固建议,强调了文件上传...
网络安全upload-labs通关全教程:文件上传绕过技巧与安全防御措施详解
07-11
内容概要:本文档是《upload-labs通关全教程》,旨在帮助新手全面掌握upload-labs靶场1-21通关技巧。文档分为基础、中级和高级三个阶段,详细介绍了多种文件上传绕过手法,如大小写绕过、空格截断、点号截断、双...
游戏盾在非游戏行业的应用:跨界守护网络安全的新利器
yundun_no1的博客
07-18 400
随着网络安全威胁的日益复杂,原本专为游戏行业设计的“游戏盾”技术,正逐渐突破行业边界,被广泛应用于电商、金融、区块链、物联网等多个领域。例如,某知名电商平台在“双十一”期间接入游戏盾后,成功抵御了500Gbps的DDoS攻击,交易成功率提升至99.9%,避免了巨额损失。例如,某加密货币交易所利用游戏盾防御1.2Tbps的攻击,确保交易网络零中断,同时通过加密隧道防止私钥泄露。某银行通过部署游戏盾,将支付系统延迟降低至5ms内,同时拦截了90%的SQL注入攻击,满足监管合规要求。
web安全】DVWA反射型XSS漏洞分析与利用
KP_0x01的博客
07-17 709
攻击者构造URL → 用户点击 → 服务器返回含恶意脚本的页面 → 浏览器执行脚本。192.168.21.1服务器上收到cookie的值。)...:强制按顺序匹配s、c、r、i、p、t字母。React/Vue/Angular默认自动转义。<(.*):匹配<后跟任意字符(包括无字符):直接输出用户输入,无任何过滤。发现进行了<script>过滤。服务端未过滤直接嵌入到响应中。需要诱导用户点击特定链接触发。将特殊字符转换为HTML实体。恶意脚本通过URL参数注入。
HCIA-Security 认证精讲!网络安全理论与实战全掌握
噗老师带你打代码
07-16 425
想入门网络安全却不知道从哪儿下手?不少新手都卡在 “理论太抽象、实战没头绪” 的困境里。其实,华为 HCIA-Security 认证就是个超合适的起点从 “网络安全到底要护啥” 到 “被攻击了该咋应对”,从硬件加固到数据加密,从应急响应到攻防演练,这套体系能帮你把零散的知识点串成完整的防护逻辑。
零信任产品联合宁盾泛终端网络准入,打造随需而变、精准贴合业务的网络安全访问体系
yuzijiang11111的博客
07-18 325
宁盾泛终端网络准入以“轻量级、泛终端、内外网一体化管控”为核心竞争力,支持「无客户端」或「轻量化客户端」的部署方式,深受互联网、高科技、先进制造企业的青睐。在多个大型客户中,零信任产品结合宁盾泛终端网络准入方案成功落地上线,让网络访问策略精准贴合具体业务需求、不同职场安全诉求。
车载网络安全威胁与保障
baimaoxiaoye的博客
07-16 488
车载软硬件存在安全隐患。例如,车载智能网、远程信息处理控制单元(T-BOX)、电子控制单元(ECU)等车载联网设备缺乏高等级的安全校验机制和防护能力,存在安全漏洞隐患。此外,车内网络协议如CAN、FlexRay等缺乏安全设计,车内数据传输缺乏加密和访问认证等防护措施,容易受到嗅探、窃取、伪造、篡改、重放等攻击。
Web安全之深度学习实战》读书笔记总结
最新发布
mooyuan的网络安全博客
07-18 469
本文是《Web安全与深度学习实战》的读书笔记总结,这本书涵盖垃圾邮件/垃圾短信、恶意流量检测、XSS检测、DGA域名、恶意软件分析等场景,结合实战案例讲解如何用机器学习和深度学习模型(CNN、RNN等)解决传统安全难题。
upload-labs学习
12-26
### upload-labs 的学习教程与资源 #### 一、upload-labs 靶场介绍 `upload-labs` 是一个基于 PHP 编写的安全测试平台,专注于文件上传漏洞的研究和实践[^1]。该靶场设计了多个卡来模拟不同的文件上传场景,让安全研究人员能够深入理解并掌握各种类型的上传漏洞。 #### 二、具体案例分析 以第十九为例,在这一中涉及到 `move_uploaded_file()` 函数可能导致的路径截断问题[^3]。通过研究此类特定实例可以帮助加深对实际攻击手法的理解,并提高防御能力。 #### 三、配置技巧分享 为了更好地利用此工具进行学习,《upload-labs通关详解》提到可以调整 Apache Web服务器配置文件中的 `<FilesMatch>` 指令,使得某些扩展名(如 `.jpg`)被当作PHP脚本来处理[^4]: ```apache <FilesMatch "jpg"> SetHandler application/x-httpd-php </FilesMatch> ``` 这种设置允许用户探索更多复杂的绕过机制以及如何防止潜在风险。 #### 四、适合初学者的学习路径建议 对于完全没有经验的新手来说,可以从零基础开始逐步建立自己的技能体系[^2]。按照推荐的学习路线图循序渐进地积累知识和技术是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值