【漏洞挖掘】——81、文件上传之代码检测逻辑绕过

于 2024-06-12 17:10:40 发布
阅读量55 收藏
点赞数
分类专栏: 【WEB渗透】 文章标签: 渗透测试 信息安全 网络安全 web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/139631822
版权
【WEB渗透】 专栏收录该内容
164 篇文章 12 订阅 ¥29.90 ¥99.00
订阅专栏
本文探讨了文件上传漏洞中的代码逻辑检测绕过问题,特别是条件竞争1和2的情况。通过实例代码展示如何在unlink删除文件前访问webshell,以及如何利用burpsuite进行条件竞争攻击,成功上传并执行shell.php。
摘要由CSDN通过智能技术生成
代码逻辑

文件上传的检测代码常规的有:黑名单、白名单、文件内容等检测方法,也有一种设计模式就是业务层会首先将文件上传到服务器,之后才会去判断文件的格式,如果通过检测则使用rename修改名称,如果不通过则使用UNlink删除文件,这种设计看似没有问题,但是可以通过条件竞争的方式在unlink之前访问webshell

条件竞争1
实例代码

以下代码来自upload-labs的Pass-18:

<?php
include '../config.php';
include '../head.php';
include '../menu.php';

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
专栏目录
订阅专栏
漏洞挖掘】——72、请求走私利用实践(下)
Fly_鹏程万里
06-11 43
靶场介绍:本实验涉及前端和后端服务器,前端服务器不支持分块编码,在/admin有一个管理面板,但是只有IP地址为127.0.0.1的人才能访问,前端服务器向包含IP地址的传入请求添加HTTP头,它类似于X-Forwarded-For标头,但名称不同,为了解决这个实验题目,你需要偷偷的向后端服务器发送一个请求,该请求显示前端服务器添加的头,然后偷偷向后端服务器发送一个请求,其中包含添加的头,访问管理面板并删除用户carlos。
文件上传upload-labs第十一至十九关
你的小粉丝的博客
10-14 3061
白名单,%00截断(需要两个条件:php版本小于5.3.4;php的magic_quotes_gpc为OFF状态) 另save_path等于下面的值:…/upload/4.php%00 BP修改一下抓到的包
【upload-labs】————19、Pass-18
Fly_鹏程万里
08-15 699
查看源代码: //index.php $is_upload = false; $msg = null; if (isset($_POST['submit'])) { require_once("./myupload.php"); $imgFileName =time(); $u = new MyUpload($_FILES['upload_file']['name'...
Upload-labs-master实验笔记:Pass18(条件竞争)
大大大蜜蜂的博客
03-28 1280
Upload-labs-master实验笔记:Pass18 以部分源码为例: 可以看到,该源码功能大概是,当我们上传一个文件后,文件会先上传到服务器,然后再判断该文件类型是否含在白名单中(jpg、png、gif),如果是,则会将该文件重命名后放在服务器中,如果不是,则会将该文件删除掉。那么我们可以知道,文件是先被上传到了服务器,而后才做判断之类的一系列操作,这样就存在条件竞争漏洞。 1.首先我们的思路是:可以使用burpsuit抓包软件中的Intruder模块,创建两个自动攻击方案,第一个自动攻击方案是
upload-labs 19
LuckySec
11-09 1044
题目 查看代码 分析,move_uploaded_file()函数中的img_path是由post参数save_name控制的, 因此可以在save_name利用00截断绕过: 首先上传一个图片马 修改信息为红线处 然后在二进制将+号对应的2b改为00 最后继续上传 验证 文件绕过成功! ...
upload-labs19记录
weixin_33674976的博客
01-10 249
upload-labs19记录 本次做题为白盒,因为只是fuzz的话并不能学到什么,所以从漏洞源下手。 前端校验 Pass1 源码 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || fil...
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9040
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
攻防系列——板块化刷题记录(敏感信息泄露)
weixin_43140411的博客
10-29 2162
因为之前通关了两个靶场,说想试一下在线靶场联系一下。其实感觉思路还是很有限。遇到难题可怎么办呜呜
专家有料 | 李中文:美团软件成分安全分析(SCA)能力的建设与演进
Anprou的博客
04-29 1623
本文主要探讨的范围是利用SCA技术实现对开源组件风险治理相关能力的建设与落地
upload-labs pass19
qq_45106794的博客
11-07 388
upload -labs pass19 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml"...
Upload-labs(Pass19-21)
不知名白帽的博客
06-05 308
upload-labs文件上传漏洞(Pass15-18)。自带练习网站链接。第十九关:Apache解析漏洞!;二十关:黑名单空额绕过!;二十一关:数组绕过
upload-labs_pass19_条件竞争+apache解析漏洞
qq_51550750的博客
04-12 1651
pass19-源码和提示 提示: 源码: //index.php $is_upload = false; $msg = null; if (isset($_POST['submit'])) { require_once("./myupload.php"); $imgFileName =time(); $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FIL
【upload-labs】————20、Pass-19
Fly_鹏程万里
08-15 365
查看源代码: 本关考察CVE-2015-2348 move_uploaded_file() 00截断,上传webshell,同时自定义保存名称,直接保存为php是不行的 %00截断 浏览器中访问: ...
upload-labs(Pass1-19详解)
m0_53567065的博客
11-10 2323
文件上传也是和RCE类型的危害相同的,如果我们可以任意上传文件且服务器可以解析的话那么就相当于我们可以执行任意的文件代码,从而控制了整个服务器。在实战渗透中,我们打点最快的方式就是寻找是否存在文件上传的功能点。不过一般都是后台会存在这样的功能点且漏洞较多。一旦我们将文件传到服务器之后,就可以通过webshell管理工具进行连接。上传文件之前我们需要先清楚web服务是基于什么语言开发的,是否会将我们的文件进行解析。当然这个都需要我们实际进行测试。
【upload-labs】————18、Pass-17
Fly_鹏程万里
08-15 693
查看源代码: 竞争条件:这里先将文件上传到服务器,然后通过rename修改名称,再通过unlink删除文件,因此可以通过条件竞争的方式在unlink之前,访问webshell。 首先在burp中不断发送上传webshell的数据包 之后不断在浏览器中刷新,刷新,在刷新。。。。。,你会看到下面的结果: ...
[网络安全]upload-labs Pass-18 解题详析_upload-labs18关条件竞争
最新发布
2401_84972676的博客
05-13 422
创建一个允许上传的文件扩展名数组$ext_arr,包括了允许上传的图片类型(jpg、png、gif)。根据定义的上传路径UPLOAD_PATH和文件名生成待存储的文件路径$upload_file。在移动成功的情况下,使用in_array函数查文件扩展名是否在允许上传的类型数组中。如果文件扩展名不在允许上传的类型数组中,记录错误信息$msg,并删除已上传的文件。如果有,则开始处理文件上传。如果文件扩展名在允许上传的类型数组中,生成一个随机的文件名。msg为空,来初始化文件上传的状态和错误信息。
文件上传复习(upload-labs18-19关)
2302_80935968的博客
04-25 302
使用文件包含漏洞upload-labs/include.php?选择Null payloads,然后选择无限循环(Continue indefinitely)只要被成功当作PHP文件解析,就会生成shell18.php 文件。然后 bp设置无限发送空的Payloads,来让它一直上传该文件。在python脚本运行后,burpsuite开始无限制重放数据包。直到python脚本出现OK,再关闭burpsuite。打开根目录,可以看见shell18文件已经被成功上传。上传文件18.php,并且使用bp抓包。
upload-master-pass19
diemozao8175的博客
08-18 129
第十九关 move_uploaded_file() 00截断 在70 68 70后面的值修改为00,进行截断 修改之后,19.php后面多了一个小方格 然后上传 验证 转载于:https://www.cnblogs.com/gaonuoqi/p/11372184.html...
文件上传漏洞与绕过策略解析
"本文主要介绍了文件上传漏洞的常见绕过方法,包括前端js检测、Content-Type验证、文件后缀验证、文件后缀黑名单、文件头验证、文件内容验证以及文件上传与文件包含的结合。文章提供了针对这些验证的破解策略,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值