upload-labs之第六七关

最新推荐文章于 2024-06-10 21:13:13 发布
最新推荐文章于 2024-06-10 21:13:13 发布
阅读量814 收藏 1
点赞数 1
分类专栏: upload-labs 文章标签: php apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_38294816/article/details/121006215
版权
本文分析了两道Web安全题目,涉及文件上传漏洞的绕过策略。第一关中,服务器对黑名单文件后缀进行了处理,但未处理空格,允许利用此特性上传恶意文件。第二关加强了过滤,包括大小写转换和去除空格,但忽视了Windows系统对文件后缀名中'.'的处理,依然能通过添加多个'.'绕过。通过蚁剑测试,证实了这些绕过方法的有效性。
摘要由CSDN通过智能技术生成

Pass06

打开第六关先查看提示

可以看到依然是黑名单禁止了很多的文件后缀,接下来再看看源码吧

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }}

从源码中可以看到,服务器端对文件后缀名仅仅是进行了去除末尾的”.”以及小写转换操作。但是并没有进行去除空格的操作。这里值得一提的是在windows系统中会将文件扩展名后的空格做空处理,并不会被当成另一种不可识别的文件类型。因此可以利用这个特性来绕过这一关的黑名单。

第一步:上传一句话shell,抓取数据包添加空格

第二步:shell成功上传,但是会对文件名重命名

直接用蚁剑连接测试(成功)

Pass07

打开第七关直接查看提示

这么狠的吗,通过源码看看服务器端都干了什么

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }}

原来是对文件名进行了大小写转换并且把常见配置中允许解析的都禁止掉了,甚至.htaccess文件也没落下。不过总感觉跟上一关的过滤有点差别,仔细对比之后发现原来这里没有对文件后缀名后面进行去除”.”操作。

这里涉及到一个知识点就是windows系统对于文件后缀名后面跟的”.”会自动去除,不管是添加一个还是多个效果都是一样的。

根据上面的思路可以看到,服务器端的代码虽然对文件后缀作出了诸多限制,但是对后缀名加”.”的这种方式却没有防范。可以进行测试。

第一步:上传shell,抓包修改文件名

第二步:分析返回的上传成功文件名和服务器的文件名

首先看页面中的显示

可以看到文件确实是上传成功了,但是上传的文件依然是cs.php...(这样的文件肯定是无法解析的啊)

再来看看服务器中的文件是否如同页面显示的那样

可以看到在服务器中文件其实是去除了后缀名后的”.”的,所以是可以正常解析的。用蚁剑连接测试。

upload-labs-master文件上传靶场第七关详解
10-23 1072
一.前言 upload-labs-master是文件上传靶场,里面目前总共有19,github地址https://github.com/c0ny1/upload-labs,今天要说的是这个靶场的第七关的解法 二.正文 先看下第七关长什么样 和其他几一样,咱们先直接看下源码吧 $is_upload = false; $msg = null; if (isset...
Upload-Lab第6:如何巧妙利用大小写绕过黑名单验证?
最新发布
didiplus
08-16 391
Upload-Lab第6:如何巧妙利用大小写绕过黑名单验证?
upload-labs卡7(基于黑名单的空格绕过)通思路
zyh1588的博客
11-12 641
小白回顾文件上传靶场第七关
upload-labs第七关教程
Estera的博客
06-10 420
upload-labs第七关教程
upload-labs(1-7)
weixin_43825758的博客
04-14 510
upload-labs源码地址:https://github.com/c0ny1/upload-labs 第一 前端js验证 如果上传php文件,不允许 f12,查看js代码,删掉 或者burp 把png文件改php文件 打开文件,用菜刀或蚁剑连(其实也可以phpinfo的,不需连,打开文件看效果) 第二 MIME验证 用burp与第一类似,仅判断content-type中的类型,故将content-type改为图片类型image/jpeg、image/png、image/gif 第三
upload-labs第六教程
Estera的博客
06-10 519
upload-labs第六教程及500错误解决方法
upload-labs十六十七关
m0_74344277的博客
09-11 177
源码上图片码,图片码制作比较简单。需要一张真的图片, 一个php文件。然后将图片和php文件组合在一起即可。准备一张图片和一句话木马然后在cmd中执行。代码中$im = imagecreatefromjpeg($target_path);会对图片进行二次渲染。二次渲染的时候把码的信息给干掉了。怎么办呢?把原图和他修改过的图片进行比较,看看哪个部分没有被修改。将php代码放到没有被更改的部分,再重新上传即可绕过。
Upload-labs通攻略(适合新手)
夜思红尘的博客
04-12 2291
这是一篇upload-labs通攻略,适合新手
【渗透测试】--- upload-labs(1-19)闯
qq_43168364的博客
08-22 827
第一 1、检测方式 JS代码前端检测 2、绕过方式 Fn+F12删除前端代码的事件 3、具体步骤 上传.php文件之后给我们提示 由此猜测可能是用了js前端代码的验证,我们查看它的前端代码 这里果然有一个事件,我们将该事件删除,即可上传bug.php文件 上传解析成功 4、源码分析 第二 1、检测方式 服务器端MIME类型检测 2、绕过方式 将我们的木马文件改名为xxx.jpg,开启bp拦截,点击上传,这样我们MIME类型就是图片的了,然后该文件名为xxx.php即可 3、具体步骤 上传重命
upload-labs通总结 | 那些年踩过的坑
m0_56691564的博客
10-31 1481
本文就是简单总结一下upload-lab方法和踩过的坑,参考的通教程放在文末,需要的小伙伴去看~
upload-labs靶场-Pass-07-思路以及过程
weixin_44257023的博客
01-16 3076
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
upload第六
qq_51366383的博客
01-27 493
第六 查看源代码发现过滤了所有后缀名和前后的空格、文件名末尾的点 所以在利用bp抓包后,将文件名改为111.p hp,就可以成功绕过上传 再利用菜刀添加刚才上传图片的地址 以此来达到查看整个目录。 上传的文件是一句话木马 <?php @eval($_POST['pass']);?> 当然也可以用大小写来绕过上传七关 ...
upload-labs卡6(基于黑名单的大小写绕过)通思路
zyh1588的博客
11-10 980
小白回顾文件上传靶场第六
upload labs 第六
nayousa的博客
05-27 238
提示是后缀加空格,windows会自动吃掉你的空格的,只需要抓包后加空格再放行即可。
upload-labs 1-6学习笔记
weixin_51151498的博客
10-27 860
简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21,每一都包含着不同上传方式。
upload-labs】————7、Pass-06
Fly_鹏程万里
08-15 370
界面 判断是前端检测还是后端检测: 之后查看源代码: 所有的文件后缀、大小写处理后过滤,但是对于后缀名却没有进行去除空格处理,这里可以通过在后缀名中加入空格绕过: 添加空格: 浏览器中访问: ...
Upload LABS Pass-7
热门推荐
wangyuxiang946的博客
07-02 1万+
uploadlabs7,upload labs 第七关在后端使用了黑名单 , 并过滤了大小写,空格 , 但未过滤点 , 我们使用代理拦截请求,将后缀名添加点. , 来绕过黑名单
文件上传漏洞--upload-labs靶场复现(4-7)
pakho_C的博客
01-29 847
靶场下载链接 第四: 源码及提示 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".p
upload-labs
menghuangjh的博客
10-29 209
第三上传一个php发现是黑名单过滤 然后尝试把后缀改为php5,发现成功上传 第四 上传.php然后不行,然后改为.phtlm成功,看一下源代码 没有过滤phtlm 第五 上传php. .发现后缀没了,猜想把php换成了%20,然后测试了下大小写成功绕过。 看了下源代码,原来是截取了最后一个点后面的内容,但是大小写没有过滤。 第六 利用php5.4版本下的以CGI/FastCGI模式运行的情况下,黑名单未校验后缀为.ini的文件,导致可上传.user.ini文件,绕过黑名单检测。 第七关
upload-labs第六
08-17
- *2* [upload-labs之第六七关](https://blog.csdn.net/baidu_38294816/article/details/121006215)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值