upload-labs靶场Pass-16二次渲染png格式上传

已于 2022-11-11 18:50:14 修改
阅读量1.1k 收藏 1
点赞数
文章标签: 前端 网络安全 web安全 php
于 2022-10-10 20:35:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FRANXX_02/article/details/127250556
版权

 源码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

 简单的来说就是会把上传的文件在后台检测,把无关的代码过滤,或者被重写,然后在回显到web上。一个动图gif回显回来直接会被简化只留第一帧,会把后面几帧过滤,然后就回显回来就不会动了。

PNG的文件格式有个特性,就是在IDAT(图像数块)开始的地方写入字符串等等不会损坏图片的显示(一般改完都是一片黑)但是在kali里面是显示损坏的,因为改完还需要计算这个crc值(我这里对png的格式是简单的讲一下,想要了解跟多,可以去看看其他大佬的文章)

但是这样传,是传不上去的,会报错

寻找一番计算crc值的脚本,但是并没有找到,但是找到一个计算PLTE数据块crc值脚本,那么就需要有PLTE数据块的的png文件了,这种一般的图片是没有的所以我就直接放在这了,免积分下载!->colortype索引为03的索引彩色图像-网络安全文档类资源-CSDN下载

 这种的木马就需要覆盖在PLTE数据块里面,写入之后用脚本重新计算这个文件的crc值,然后修改文件里的crc值,然后上传就可以了,现在我们先写入

 

 然后保存,然后通过网上大佬的脚本,修改一下匹配字节的代码和文件名,就变成了下面这样

import binascii
import re

png = open(r'7.png', 'rb')
a = png.read()
png.close()
hexstr = binascii.b2a_hex(a)

''' PLTE crc '''
data = '504c5445' + re.findall('504c5445(.*?)70485973', hexstr)[0]
crc = binascii.crc32(data[:-16].decode('hex')) & 0xffffffff
print (hex(crc))

这个py脚本要用python2运行,高版本运行会报错,然后我们直接运行这个脚本

 然后就得到了这个文件的crc值了,然后把图片文件的crc值改成算出来的就差不多完成了

 然后保存文件上传,这边看到也是上传成功了

然后配合pass13关的文件包含漏洞连接一下

连接成功了,证明木马没有被过滤

最后,我试了gif的文件格式无论php代码插在哪里都会被过滤,jpg用脚本改出来的虽然可以正常显示但是传不上去,有大佬懂的话,欢迎私信讨论

Strelizia_XX
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
day32WEB 攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀
m0_69583059的博客
01-25 1237
上传的图片和上传后的图片用16进制编辑器打开,发现两张图片有些地方不一样,明明是同一张图片,为什么会不一样,因为我们将图片上传后,后台对它进行了二次渲染,导致了一些内容的改变。然后上传.user.ini文件,用.user.ini包含a1118962020.gif,尝试用哥斯拉连接。可以上传php文件,但是后门代码会限制,过滤了一些关键词,eval,system等。目录没有首页文件,可以让.user.ini包含日志文件,将后门代码写入到日志文件。后门代码,不能被触发,所以连接不上后门。
【文件上传绕过】--二次渲染
nareku的博客
04-07 8365
二次渲染原理 在我们上传文件后,网站会对图片进行二次处理(格式、尺寸,保存,删除 要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。 绕过方法 1.配合条件竞争漏洞 ...
ctfshow web162-170_ctfshow162题
最新发布
2401_83974570的博客
04-11 321
外链图片转存中…(img-UuEIBVzx-1712827272881)][外链图片转存中…(img-NaOrcfKF-1712827272881)]
【文件上传绕过】——二次渲染漏洞
热门推荐
weixin_45588247的博客
07-28 1万+
copy a.png /b + a.php /a 1.png: http://www.xue51.com/soft/47175.html =================================================== 1. png图片组成:   png图片由3个以上的数据块组成。   PNG定义了两种类型的数据块,一种是称为关键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。   关键数据块定义
CTFSHOW web164 PNG二次渲染脚本(生成图片马)
05-04
这段PHP代码创建了一个32x32的真彩色图片,并将一个数组中的RGB值作为像素颜色填充到图片上,最后将图片保存为名为"2.png"的文件。另外,这段代码还暗藏了一个木马内容,可以通过GET请求调用POST请求中的参数作为函数名执行任意代码。
upload-labs通关-文件上传靶场-详细
qq_63283137的博客
09-12 753
upload-labs靶场详细教程
09_上传漏洞_文件包含&二次渲染&代码逻辑漏洞
qq_42171569的博客
06-26 1222
【本篇博客不对文件包含展开】正如前篇博客所述,白名单是一种极好的过滤方式,虽然php、asp代码中常常可以用00截断的方式绕过白名单过滤,但在服务器高版本的情况下,截断技术也会失效。那么这种情况下是否就没有思路进行渗透了呢?并不是,一种情况是出现了文件包含漏洞,也就是说这里上传的文件是合法的,但是其中含有恶意代码。存在文件包含漏洞漏洞前提下,合法文件可以通过某种方式作为脚本执行。当然本篇博客的内容重点不在于文件包含,安排这个板块的目的在于强调:漏洞的存在不是互斥的。因此,实战中对于漏洞的利用需要考虑“打组合
WEB渗透学习-upload-labs靶场
04-20
### 二、upload-labs靶场结构与关卡设计 upload-labs靶场分为21个不同难度的关卡,每个关卡对应一种或多种特定的文件上传漏洞类型。通过解决每个关卡,学习者将熟悉以下常见漏洞: 1. **基础验证**:初步理解上传...
安装upload-labs
10-22
在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 安装upload-labs的步骤 1. 下载靶场文件:首先,您需要下载upload-labs靶场文件,可以从官方网站或其他可靠的渠道下载。...
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
01-08
这就是 upload-labs(文件上传漏洞靶场)的价值所在。 upload-labs 是一款开源的练习 web 漏洞的靶场工具,用 PHP 代码编写而成。需要 PHP 和 Apache 环境运行。下面我们将详细介绍如何在 PHP、Apache 环境中部署 ...
upload-labs靶场通关指南
07-02
Upload-labs靶场是一款文件上传漏洞靶场,旨在帮助安全研究员和渗透测试人员练习文件上传漏洞的检测和利用。本指南提供了 Upload-labs靶场的通关指南,涵盖了从基础的文件上传漏洞到高级的文件包含漏洞的利用方法。...
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
ctfshow web162-170_ctfshow162题,网络安全开发者值得深入思考的几个问题
m0_60635637的博客
04-05 594
这种情况,我们可以用条件竞争。png删除规则:1.后门删除。2.什么都删除。条件竞争:上传成功,立马访问,创建新代码在这里只删除了png,所以我们可以把代码放到.user.ini里。发现可以,直接用蚁剑连即可。
web安全-文件上传漏洞-图片马制作-相关php函数讲解-upload靶场通关详细教学(3)
ran的博客
01-30 6166
getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。的知识,比如我们平时在进行文件上传时,在我们上传文件后,网站会对图片进行二次处理(格式、尺寸、保存、删除要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。
uploads文件上传靶场练习
weixin_43353955的博客
05-28 215
源代码可判断为前端js校验只需要前端发jpg包后抓包修改访问图片地址即可源代码支队文件type类型做了限制 抓包修改即可源代码strrchr()函数(在php中)查找字符在指定字符串中从右面开始的第一次出现的位置,如果成功,返回该字符以及其后面的字符,如果失败,则返回 NULL。str_ireplace()函数作用将::$DATA替换为空这一关利用黑名单容易被绕过的特性 常见后缀名如下:aspasacdxcerphpaspxashxjspphp3。
upload-labs-master Pass1-20笔记
skynet_x的博客
10-27 4000
实验环境: Windows 7 X64 Phpstudy 2018 PHP 5.4.45 Apache/2.4.23 pass01 — JS限制 开启burp抓包,尝试上传eval.php,点击上传后页面直接提示该文件不允许上传,而burp并没有截取到数据包,判断为JS限制。 F12将JS限制代码找出来,将代码复制到console,修改允许上传的后缀为php再运行 点击上传后显示上传成功,在下方回显的地方右键复制图片地址即可获取上传后的图片路径。 为了直观查看上传的文件有没有被执行,在上传的文件中均是
文件上传之图片二次渲染上传
2301_79299101的博客
11-08 416
1,有些图片上传,会对上传的图片进行二次渲染后在保存,体积可能会更小,图片会模糊一些,但是符合网站的需求。例如新闻图片封面等可能需要二次渲染,因为原图片占用的体积更大。访问的人数太多时候会占用,很大带宽。二次渲染后的图片内容会减少,如果里面包含后门代码,可能会被省略。导致上传的图片马,恶意代码被清除。只允许上传 JPG PNG gif 在源码中使用 imagecreatefromgif 函数对图片进行二次生成。生成的图片保存在,upload目录下。接着对比两者之间有什么相同点。将修改好的图片再次上传
upload-labs第13关~20关详细解析
Lucky小小吴的小屋
02-13 1547
二次渲染是这一关的最大特点,将上传的文件重新生成为新的文件,这很容易出现“图片马被打乱,重新生成一张普通的jpg文件”四个文件:一句话木马php文件+一张jgp格式照片+包含一句话木马的jpg照片shell_jpg+.py文件。后面,我尝试直接用图片马上传,发现没有二次渲染~~ ,直接用AntSword连接图片马,成功了。后面了解到了,直接将php代码段插入到一个图片里,对于jpg不太显示,jpg不稳定。我发现用普通的图片马+自带的文件包含,就可以实现文件上传漏洞。不行,直接被拦截了,这里会显示一片空白。
3-3 【实验】17-图像二次渲染绕过+代码审计
山兔的博客
04-02 1536
我们这篇文章,要开始讲pass-16pass-16的绕过方式,跟前面的15个是完全不同的 所以说,我们先看一下,后台代码的实现,读懂代码之后,我们来想一下如何绕过 if (isset($_POST['submit'])) 判断submit是否为空,如果不为空的话,运行下面代码 $filename = $_FILES['upload_file']['name']; $filetype = $_FILES['upload_file']['type']; $tmpname = $_FILES['upload
upload-labs靶场通关pass04
09-14
要通过upload-labs靶场pass04,您需要进行以下步骤: 1. 首先,上传一个符合格式PHP脚本文件,并将其扩展名改为图片格式。根据引用中的描述,您需要将.htaccess文件上传到服务器。.htaccess文件是Apache服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Strelizia_XX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值