文件上传 —— 靶场upload-labs-master

已于 2023-04-05 21:30:19 修改
阅读量542 收藏 4
点赞数
分类专栏: 安全 文章标签: javascript php 开发语言
于 2023-04-05 21:28:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jack_chao_/article/details/129974493
版权

目录

第一关

先试一下上传php文件

重要源代码

 再次尝试,成功​编辑

也可以用抓包的方式进行绕过

第二关

先测试

第三关

直接看源码

第四关

.htaccess文件配置文件漏洞,无过滤

制作图片马

第五关

第六关

看一下源码

第七关 

源码

第八关

源码

第九关

代码

第十关

源码

第十一关

00截断

源码

十七关

代码审计

给你看代码

抓包

 代码

这里改成他的上级目录

实验环境均由小p搭建

第一关

先试一下上传php文件

 答案肯定是不行的

重要源代码

<li id="show_code">
    <h3>代码</h3>
<pre>
<code class="line-numbers language-javascript">function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
        alert(errMsg);
        return false;
    }
}
</code>
</pre>
</li>

其实就是将你的上传文件的.后缀截取出来进行对比

因为他是在JS进行过滤的我们可以直接将JS解析关掉

 再次尝试,成功

也可以用抓包的方式进行绕过

 然后再将后缀修改为php

搞定!!!

心得:这个告诉我们要前后端都要做过滤

第二关

先测试

 

 一看就是后端过滤

看一下源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

明显让我们抓包改tpye

修改一下type就好啦

第三关

直接看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

这trim 是移除字符串两边的字符。

strschr 截取后缀名

由于http配置了解析php3和phtml

所以我们可以这样

第四关

.htaccess文件配置文件漏洞,无过滤

伪静态,主要用于迷惑攻击者测试,比如当你访问一个网站它显示为index.html其实.htaccess给你传输到index.php啦

然后这关用图片马就欧克啦

制作图片马

C:\Users\CaoYanChao\Desktop\offer>copy aaa.jpg/b+web.php/a ccc.jpg
aaa.jpg
web.php
已复制         1 个文件。

C:\Users\CaoYanChao\Desktop\offer>

效果

 在上传就欧克啦

温馨提示:文件上传一定要用白名单

第五关

利用Liunx和Windows特性进行绕过

说到这个份上啦,那肯定是大小写

windows是不区分大小写的,但是linux区分大小写

我也就不演示啦。嘻嘻

第六关

看一下源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

明显少了一个trim函数

那样我们可以抓包然后给上传的文件加一个'空格' 就好啦。

首先你加入空格你后缀不再是php啦

其次在windows下你有空格自动给你取消

第七关 

源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

strschr这个函数有没拉,当然然后我们利用添加.将后缀名绕过,在windows下自动删除.

第八关

源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

发现一个::$DATA,这个其实咱们真正的数据流的名称是携带后缀::$DATA

这关也就说的很明白啦

就是在抓包然后再修改filename最后加::$DATA

第九关

由于过滤只有一次,没有进行多次过滤导致的。

代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

他是先删空格,然后删点,然后再删::$DATA,再删空格

然后我就有思路了 . . 

第十关

源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

看到str_replace替换为空,我就有思路啦

 答案:后缀名被替换为空直接双写进行绕过

第十一关

00截断

源码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

思路:抓包,然后将用00截断(php由C语言写的,c语言结束符\0)

然后$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

把."/".rand(10, 99).date("YmdHis").".".$file_ext;这个直接给截断删除啦

展示

 然后中间的关卡大部分图片马可以绕过(你找一个图片的固定区域里进行插入php一句话木马)

看一下

十七关

代码审计

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

就是你进行文件上传的时候,他会判断进行判断白名单,如果在白名单里则进行打乱文件名,不在则进行删除

致命逻辑错误:先上传后删除    就是在你上传成功还没删除的时候我有可能访问到这个文件

给你看代码

<?php fputs(fopen('shell.php','w'),<?php phpinfo(); ?>); ?>

他的意思就是你访问了这个文件是,他会生成一个shell.php里面内容是<?php phpinfo; ?>;

然后这样就好了我利用他的逻辑错误当我访问成功到那个没被删除的文件以后,我就会产生一个新的文件。

抓包

 continue indefinitely 就是一直发包

 代码

<?php fputs(fopen('../shell.php','w'),'<?php phpinfo(); ?>'); ?>

这里改成他的上级目录

成功

Jack_chao_
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
uploads文件上传靶场练习
weixin_43353955的博客
05-28 188
源代码可判断为前端js校验只需要前端发jpg包后抓包修改访问图片地址即可源代码支队文件type类型做了限制 抓包修改即可源代码strrchr()函数(在php中)查找字符在指定字符串中从右面开始的第一次出现的位置,如果成功,返回该字符以及其后面的字符,如果失败,则返回 NULL。str_ireplace()函数作用将::$DATA替换为空这一关利用黑名单容易被绕过的特性 常见后缀名如下:aspasacdxcerphpaspxashxjspphp3。
upload-labs-master文件上传靶场
04-05
最新版文件上传靶场
upload文件上传靶场
m0_71518346的博客
10-18 204
第二关 (content-type验证)思路:查看源码发现会对发送文件的content-type进行验证。第四关 做apache 2.x解析漏洞复现(实际的做法是用.htaccess)1.burp抓包 2.将文件重命名改成11.php.shtmlljjb(随便打,只要不认识就行)第十七题 二次渲染绕过 思路:先审源码,这题判断文件的后缀,content-type,以及利用imagecreatefromjpeg函数进行二次渲染(后端重写文件内容)第十九题 上传图片然后用17关文件包含漏洞去访问。
upload-lab文件上传(靶场攻略)
最新发布
duoba_an的博客
03-19 2507
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。文件上传漏洞成因: 具备上传文件功能的Web等应用,未对用户选择上传的文件进行校验,使得非法 用户可通过上传可执行脚本而获取应用的控制权限。
Web安全系列-文件上传靶场upload-labs
Galaxy_0的博客
01-18 404
Web安全系列-文件上传靶场upload-labs
上传文件漏洞靶场upload-labs
09-27
上传文件漏洞靶场upload-labs,用于练习上传文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件上传漏洞专项练习靶场,内涵各种文件上传漏洞类型,采用关卡制,一共21关,由易到难,适合刚接触该漏洞的新手巩固练习
文件上传漏洞练习靶场upload-labs
07-05
文件上传漏洞练习靶场upload-labs内有文件上传漏洞的各种类型绕过的例题,非常全面,对加深文件上传漏洞的理解、利用非常有帮助。
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
文件上传靶场upload-labs通关
p36273的博客
07-03 2254
upload-labs是一个专门用来练习文件上传靶场一共20关,现在,我们开始通关吧。
渗透学习-文件上传篇-靶场部分-upload-labs(持续更新中)
qq_43696276的博客
08-22 1035
在经过之前的基础知识部分的学习后,今天让我们正式开始靶场的攻克。基础知识传送门要想成为一名优秀的Hacker,就必须多动手,多实践。那么废话不多说,正式开始吧!以上就是文件上传关于upload-labs靶场的主要内容了。.........
upload-labs通关-文件上传靶场-详细
qq_63283137的博客
09-12 708
upload-labs靶场详细教程
Upload-labs 6-10 文件上传靶场
m0_73910867的博客
10-03 821
Upload-labs 6-10 图文解说 文件上传漏洞
DVWA靶场-----FIle Upload文件上传
m0_65712192的博客
11-14 1756
DVWA靶场-----FIle Upload文件上传
upload-labs 文件上传靶场
angry_program的博客
04-17 1968
前言 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关,每一关都包含着不同上传方式。 Pass-1 直接上传php会被判断处于黑名单中 观察源码可知, 是前端js判断类型: 方法1 直接改前端代码: 上传成功之后并没有显示文件的路径, 那么好...
在线靶场-墨者-文件上传1星-内部文件上传系统漏洞分析溯源
weixin_42079912的博客
07-19 440
点击靶场网页,提示我们要上传一个文件,ii6有一个漏洞,在asp的文件夹下的txt也会被当做asp文件运行。所以我们先上传一个文本写入一句话木马<%eval request (“pass”)%>(pass可以根据自己喜好更改)。然后开启浏览器代理,运行burp suite,捕抓上传文件的数据包,抓到包后,把数据包send to Repeater。更改上传的路径将upload更改为asd...
upload-labs文件上传靶场
5L2g556F5ZWl77yf
12-21 358
pass-01 前端过滤 浏览器禁用 JavaScript pass-02
upload-labs靶场1-21通关
08-17
要通关 upload-labs 靶场的第 1-21 关,你需要依次完成每个关卡的任务。以下是通关每个关卡的一些提示: 1. Level 1 - 文件上传漏洞:尝试上传一个恶意文件,看看能否绕过上传限制。 2. Level 2 - 文件包含漏洞:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值