【upload-labs】————19、Pass-18

最新推荐文章于 2024-05-13 09:16:48 发布
最新推荐文章于 2024-05-13 09:16:48 发布
阅读量699 收藏
点赞数
分类专栏: 【渗透测试实战2】 # upload-labs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/99658624
版权

查看源代码:

//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
    require_once("./myupload.php");
    $imgFileName =time();
    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
    $status_code = $u->upload(UPLOAD_PATH);
    switch ($status_code) {
        case 1:
            $is_upload = true;
            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
            break;
        case 2:
            $msg = '文件已经被上传,但没有重命名。';
            break; 
        case -1:
            $msg = '这个文件不能上传到服务器的临时文件存储目录。';
            break; 
        case -2:
            $msg = '上传失败,上传目录不可写。';
            break; 
        case -3:
            $msg = '上传失败,无法上传该类型文件。';
            break; 
        case -4:
            $msg = '上传失败,上传的文件过大。';
            break; 
        case -5:
            $msg = '上传失败,服务器已经存在相同名称文件。';
            break; 
        case -6:
            $msg = '文件无法上传,文件不能复制到目标目录。';
            break;      
        default:
            $msg = '未知错误!';
            break;
    }
}

//myupload.php
class MyUpload{
......
......
...... 
  var $cls_arr_ext_accepted = array(
      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
      ".html", ".xml", ".tiff", ".jpeg", ".png" );

......
......
......  
  /** upload()
   **
   ** Method to upload the file.
   ** This is the only method to call outside the class.
   ** @para String name of directory we upload to
   ** @returns void
  **/
  function upload( $dir ){
    
    $ret = $this->isUploadedFile();
    
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->setDir( $dir );
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkExtension();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkSize();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }
    
    // if flag to check if the file exists is set to 1
    
    if( $this->cls_file_exists == 1 ){
      
      $ret = $this->checkFileExists();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }

    // if we are here, we are ready to move the file to destination

    $ret = $this->move();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }

    // check if we need to rename the file

    if( $this->cls_rename_file == 1 ){
      $ret = $this->renameFile();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }
    
    // if we are here, everything worked as planned :)

    return $this->resultUpload( "SUCCESS" );
  
  }
......
......
...... 
};

本关对文件后缀名做了白名单判断,然后会一步一步检查文件大小、文件是否存在等等,将文件上传后,对文件重新命名,同样存在条件竞争的漏洞。可以不断利用burp发送上传图片马的数据包,由于条件竞争,程序会出现来不及rename的问题,从而上传成功~

FLy_鹏程万里
关注
专栏目录
【漏洞挖掘】——81、文件上传之代码检测逻辑绕过
Fly_鹏程万里
06-12 56
文件上传的检测代码常规的有:黑名单、白名单、文件内容等检测方法,也有一种设计模式就是业务层会首先将文件传到服务器,之后才会去判断文件的格式,如果通过检测则使用rename修改名称,如果不通过则使用UNlink删除文件,这种设计看似没有问题,但是可以通过条件竞争的方式在unlink之前访问webshell。以上代码先将文件传到服务器之后判断文件的格式,如果通过检测则使用rename修改名称,如果不通过则使用UNlink删除文件,这里存在条件竞争风险。之后Attack并不断的请求shell.php。
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 885
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
文件上传upload-labs第十一至十九关
你的小粉丝的博客
10-14 3061
白名单,%00截断(需要两个条件:php版本小于5.3.4;php的magic_quotes_gpc为OFF状态) 另save_path等于下面的值:…/upload/4.php%00 BP修改一下抓到的包
Upload-labs-master实验笔记:Pass18(条件竞争)
大大大蜜蜂的博客
03-28 1280
Upload-labs-master实验笔记:Pass18 以部分源码为例: 可以看到,该源码功能大概是,当我们上传一个文件后,文件会先上传到服务器,然后再判断该文件类型是否含在白名单中(jpg、png、gif),如果是,则会将该文件重命名后放在服务器中,如果不是,则会将该文件删除掉。那么我们可以知道,文件是先被上传到服务器,而后才做判断之类的一系列操作,这样就存在条件竞争漏洞。 1.首先我们的思路是:可以使用burpsuit抓包软件中的Intruder模块,创建两个自动攻击方案,第一个自动攻击方案是
upload-labs 19
LuckySec
11-09 1044
题目 查看代码 分析,move_uploaded_file()函数中的img_path是由post参数save_name控制的, 因此可以在save_name利用00截断绕过: 首先上传一个图片马 修改信息为红线处 然后在二进制将+号对应的2b改为00 最后继续上传 验证 文件绕过成功! ...
upload-labs19记录
weixin_33674976的博客
01-10 249
upload-labs19记录 本次做题为白盒,因为只是fuzz的话并不能学到什么,所以从漏洞源下手。 前端校验 Pass1 源码 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || fil...
upload-labs pass19
qq_45106794的博客
11-07 388
upload -labs pass19 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml"...
upload-labs 21关大合集
wo41ge的博客
07-19 5126
upload-labs Pass-01 首先直接查看提示
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8018
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
Upload-labs(Pass19-21)
不知名白帽的博客
06-05 308
upload-labs文件上传漏洞(Pass15-18)。自带练习网站链接。第十九关:Apache解析漏洞!;二十关:黑名单空额绕过!;二十一关:数组绕过!
upload-labs_pass19_条件竞争+apache解析漏洞
qq_51550750的博客
04-12 1651
pass19-源码和提示 提示: 源码: //index.php $is_upload = false; $msg = null; if (isset($_POST['submit'])) { require_once("./myupload.php"); $imgFileName =time(); $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FIL
upload-labs】————20、Pass-19
Fly_鹏程万里
08-15 365
查看源代码: 本关考察CVE-2015-2348 move_uploaded_file() 00截断,上传webshell,同时自定义保存名称,直接保存为php是不行的 %00截断 浏览器中访问: ...
upload-labs(Pass1-19详解)
m0_53567065的博客
11-10 2323
文件上传也是和RCE类型的危害相同的,如果我们可以任意上传文件服务器可以解析的话那么就相当于我们可以执行任意的文件代码,从而控制了整个服务器。在实战渗透中,我们打点最快的方式就是寻找是否存在文件上传的功能点。不过一般都是后台会存在这样的功能点且漏洞较多。一旦我们将文件传到服务器之后,就可以通过webshell管理工具进行连接。上传文件之前我们需要先清楚web服务是基于什么语言开发的,是否会将我们的文件进行解析。当然这个都需要我们实际进行测试。
upload-labs】————18Pass-17
Fly_鹏程万里
08-15 693
查看源代码: 竞争条件:这里先将文件传到服务器,然后通过rename修改名称,再通过unlink删除文件,因此可以通过条件竞争的方式在unlink之前,访问webshell。 首先在burp中不断发送上传webshell的数据包 之后不断在浏览器中刷新,刷新,在刷新。。。。。,你会看到下面的结果: ...
[网络安全]upload-labs Pass-18 解题详析_upload-labs18关条件竞争
最新发布
2401_84972676的博客
05-13 422
创建一个允许上传的文件扩展名数组$ext_arr,包括了允许上传的图片类型(jpg、png、gif)。根据定义的上传路径UPLOAD_PATH和文件名生成待存储文件路径$upload_file。在移动成功的情况下,使用in_array函数检查文件扩展名是否在允许上传的类型数组中。如果文件扩展名不在允许上传的类型数组中,记录错误信息$msg,并删除已上传的文件。如果有,则开始处理文件上传。如果文件扩展名在允许上传的类型数组中,生成一个随机的文件名。msg为空,来初始化文件上传的状态和错误信息。
文件上传复习(upload-labs18-19关)
2302_80935968的博客
04-25 302
使用文件包含漏洞upload-labs/include.php?选择Null payloads,然后选择无限循环(Continue indefinitely)只要被成功当作PHP文件解析,就会生成shell18.php 文件。然后 bp设置无限发送空的Payloads,来让它一直上传该文件。在python脚本运行后,burpsuite开始无限制重放数据包。直到python脚本出现OK,再关闭burpsuite。打开根目录,可以看见shell18文件已经被成功上传。上传文件18.php,并且使用bp抓包。
upload-master-pass19
diemozao8175的博客
08-18 130
第十九关 move_uploaded_file() 00截断 在70 68 70后面的值修改为00,进行截断 修改之后,19.php后面多了一个小方格 然后上传 验证 转载于:https://www.cnblogs.com/gaonuoqi/p/11372184.html...
文件上传漏洞upload-labs1-19关详解
qq_51780583的博客
03-07 2116
upload-labs1-19关详解
Upload-labs靶场攻略:文件上传漏洞分析
"Upload-labs通关手册.pdf - 一个关于渗透测试的靶场平台,专注于文件上传漏洞的学习与实践。" Upload-labs是一个专门为安全研究人员和渗透测试者设计的在线靶场,它涵盖了各种类型的文件上传漏洞,帮助用户了解并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值