文件上传漏洞靶场--upload-labs通关过程

最新推荐文章于 2024-04-16 14:47:22 发布
最新推荐文章于 2024-04-16 14:47:22 发布
阅读量4.6k 收藏 41
点赞数 8
分类专栏: 渗透测试 靶场实战 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangyongkang666/article/details/123657608
版权

文件上传漏洞靶场–upload-labs通关过程

Pass-01(前端验证)

点击提示:

在这里插入图片描述

提示我们该文件类型不允许上传,应该是前端对文件类型进行了验证。

对于前端验证,我们有多种方法可进行绕过:但burp抓包方便快速。

这里直接修改文件后缀名为白名单中的后缀名,然后抓包进行修改

在这里插入图片描述

直接将文件名改为1.php,然后进行上传

如图,表示上传成功。

在这里插入图片描述

Pass-02(MIME验证)

提示表示:本pass在服务端对数据包的MIME进行检查!

MIME是HTTP头文件中的Content-Type类型,如果上传的是PHP文件的话,对应的Content-Type就是text/html,而如果是合法上传的jpg文件的话,Content-Type就是image/jpg。

服务器在接收到请求时,会对Content-Type进行判断,合法则进行后续流程,不合法则终止上传。

对于MIME检测,我们可以使用burpsuite进行抓包修改,可以修改文件类型,然后抓包修改为php,也可以修改Content-Type为合法的Content-Type。

这里我们选择了修改文件后缀名,然后上传,抓包,修改后缀名,
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VlXRKmlS-1647923609101)(文件上传漏洞靶场–upload-labs通关过程.assets/image-20220124205816323-16430290977861.png)]

可以看到upload路径已经有了2.php,表明上传成功。

在这里插入图片描述

Pass-03(黑名单验证,特殊后缀)

提示:本pass禁止上传.asp|.aspx|.php|.jsp后缀文件

**注意:php语言除了可以解析以php为后缀的文件,还可以解析php2,php3、php4、php5这些后缀的文件。**如果黑名单定义不完整的话是可以实现绕过的,用.phtml .phps .php5 .pht进行绕过。这里我们直接上传一个.php5文件

在这里插入图片描述

结果如图

在这里插入图片描述

Pass-04(黑名单验证,.htaccess)

提示:本pass禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件!

.htaccess文件内容

<FilesMatch "4.jpg">
SetHandler application/x-httpd-php
AddType application/x-httpd-php .jpg				#将.jpg后缀的文件作为PHP文件解析
</FilesMatch>

Pass-05(黑名单验证,.user.ini.)

上传一个.user.ini文件, php.ini是php默认的配置文件,其中包括了很多php的配置,而.user.ini实际上就是一个可以由用户“自定义”的php.ini,内容为:

auto_prepend_file=5.png

.user.ini配置参考的PHP 通过.user.ini 绕过黑名单限制,在.user.ini设置auto_prepend_file属性
下方的配置的意思是在.user.ini相同的目录下,所有的php文件都包含5.png这个文件
所以之后我们就可以利用到readme.php包含一个我们上传的木马文件,再连接readme.php文件达到连接一句话木马的目的

在这里插入图片描述

Pass-06(黑名单验证,大小写绕过)

查看源码:

$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空

发现没有检测大小写(下面这个函数)

$file_ext = strtolower($file_ext); //转换为小写

去除对文件后缀名的转为小写设定,于是直接选择后缀名为.Php等非黑名单中存在的格式上传。

Pass-07(黑名单验证,空格绕过)

去除了对文件后缀名的空格过滤,选择后缀为.php的一句话上传,抓包后在后面增加空格,成功绕过

在这里插入图片描述

Pass-08(黑名单验证,点号绕过)

去除了对文件后缀名的点号过滤,选择选择后缀为.php的一句话上传,抓包后在后面增加点,成功绕

在这里插入图片描述

Pass-09(黑名单验证,特殊字符::$DATA绕过)

去除了对字符串:: D A T A 的 过 滤 , 选 择 选 择 后 缀 为 ‘ . p h p ‘ 的 一 句 话 上 传 , 抓 包 后 在 后 面 增 加 ‘ : : DATA的过滤,选择选择后缀为`.php`的一句话上传,抓包后在后面增加`:: DATA.php::DATA`,上传成功。
在这里插入图片描述

Pass-10(黑名单)

查看源码后,发现其路径拼接的是$file_name而不是$file_ext,而$file_name只处理了文件名末尾的点

在这里插入图片描述

Pass-11(黑名单验证,双写绕过)

查看源码后,发现其对存在黑名单中的字符进行替换,但str_ireplace()函数只替换一次,因此修改文件名为11.pphphp后成功绕过。
在这里插入图片描述

Pass-12(白名单验证,0x00截断)

查看源码和提示,上传路径可控,并且是最终文件的存放位置是以拼接的方式,可以使用%00截断,但需要php版本<5.3.4,并且magic_quotes_gpc关闭。原理是:php的一些函数的底层是C语言,而move_uploaded_file就是其中之一,遇到0x00会截断,0x表示16进制,URL中%00解码成16进制就是0x00。

在这里插入图片描述

Pass-13(白名单验证,0x00截断)

与Pass-12的区别是这里使用POST传地址,POST不会对里面的数据自动解码,需要在Hex中修改。

在这里插入图片描述

Pass-14(白名单验证,图片马)

上传图片马,查看源码后,意思是:读取上传文件的前两个字节内容,unpack解码后,使用intval转换为10进制,默认为10进制,根据转换后的结果判断图片类型。

copy 1.png /b + shell.php /a  webshell.jpg
makven60
关注
  • 8
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通关选择】upload-labs通关攻略(大全)
Continuejww的博客
11-02 1935
前提条件:1.文件能够成功上到服务器2.攻击者能够知道文件的上路径。
upload-labs 通关攻略
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-15 4022
项目地址:https://github.com/c0ny1/upload-labs 1、上漏洞总结 2、upload_labs 1、客户端使用JS校验 直接禁用JS即可,或者直接F12重新定义一下校验函数,使校验函数无效。 2、修改content-type 使用burp抓包,修改Content-Type的值为image/jpeg,成功绕过。 3、使用特殊后缀绕过 使用特殊后缀php3、phtml等。 4、.htaccess AddType application/x-httpd-php .png
upload-labs详解1-19关通关全解(最全最详细一看就会)
最新发布
qq_53058639的博客
04-16 560
upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上漏洞靶场。旨在帮助大家对上漏洞有一个全面的了解。目前一共19关,每一关都包含着不同上方式。
upload--labs通关详解
m0_52051132的博客
10-15 2051
利用方法:设置上路径为 upload/phpinfo.php%00 ,添加 phpinfo.php%00 内 容为了控制路径,上文件后缀为白名单即可 例:test.jpg ,保存后为 /upload/phpinfo.php%00test.jpg ,但服务端读取到%00 时会自动结束,将文件 内容保存至 phpinfo.php 中。.user.ini。漏洞描述:后缀名做了白名单判断,然后会一步一步检查文件大小、文件是否 存在等等,将文件后,对文件重新命名,同样存在条件竞争的漏洞
文件-uploadlab通关手册
李安北的博客
05-03 3381
11
网安upload靶场1-10通关技巧
liushaojiax的博客
01-13 405
第二种从代码中可以看到后端验证的是mimi-type,直接bp抓包直接改就行;第三种将一句话木马文件伪装成图片,利用bp拦截直接修改文件后缀再提交;第一种将一句话木马文件伪装成图片,利用bp拦截直接修改文件后缀再提交;服务器中的一个配置文件,它负责相关目录下的网页配置。系统下,对于文件名中的大小写不敏感。解析,那么无论上任何文件,只要文件内容符合。Pass-05和Pass-04一样的方式。Pass-04可以看的比之前更严谨了;删除最后一个点之后,不再进行删除,和所上文件内容相同,并被解析。
PHP、Apache环境中部署upload-labs(文件漏洞靶场)
01-08
这就是 upload-labs(文件漏洞靶场)的价值所在。 upload-labs 是一款开源的练习 web 漏洞靶场工具,用 PHP 代码编写而成。需要 PHP 和 Apache 环境运行。下面我们将详细介绍如何在 PHP、Apache 环境中部署 ...
渗透测试上漏洞经典靶场学习-upload-labs
07-02
渗透测试上漏洞经典靶场学习-upload-labs
文件漏洞靶场upload-labs
09-27
文件漏洞靶场upload-labs,用于练习上文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
文件漏洞练习靶场upload-labs
07-05
文件漏洞练习靶场upload-labs内有文件漏洞的各种类型绕过的例题,非常全面,对加深文件漏洞的理解、利用非常有帮助。
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件漏洞专项练习靶场,内涵各种文件漏洞类型,采用关卡制,一共21关,由易到难,适合刚接触该漏洞的新手巩固练习
Upload-labs(1-21关详细教程)【简单易懂】【万字教程】
墨鱼菜鸡
09-10 3429
目录 思维导图 练习网站: 注意: 知识点 Pass-01 代码: 提示: 解题思路: Pass-02 知识点: 代码: 提示: 解题思路: Pass-03(本关需要使用自己搭建upload-labs) 代码: 提示: 解题思路: Pass-04 代码: 提示: 解题思路: Pass-05(建议使用本机搭建的...
upload-labs(1-7)关
weixin_43825758的博客
04-14 421
upload-labs源码地址:https://github.com/c0ny1/upload-labs 第一关 前端js验证 如果上php文件,不允许 f12,查看js代码,删掉 或者burp 把png文件改php文件 打开文件,用菜刀或蚁剑连(其实也可以phpinfo的,不需连,打开文件看效果) 第二关 MIME验证 用burp与第一关类似,仅判断content-type中的类型,故将content-type改为图片类型image/jpeg、image/png、image/gif 第三关 特
Pikachu靶场——文件漏洞
知世郎
08-21 1408
​ 凡是存在文件的地方均有可能存在文件漏洞,关于上文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件漏洞
Fckeditor漏洞利用全面解析
weixin_34413802的博客
06-27 500
第一步:查看编辑器版本 FCKeditor/_whatsnew.html ————————————————————————————— 第二步. Version 2.2 版本 Apache+linux 环境下在上文件后面加个.突破!测试通过。 ————————————————————————————— 第三步.Version <=2.4.2 For php ...
文件绕过】三、黑名单不全绕过
ssrf
10-10 1541
文章目录一、描述二、实验原理三、检测代码四、添加黑名单中未做限制的后缀进行绕过 一、描述 Web系统可能会采用黑名单的方式进行过滤。而过滤的方式存在一定的缺陷,比如存在过滤的黑名单不全,未考虑大小写,以及对上文件名单次进行敏感字符清除。 二、实验原理 当下流行的网站开发语言均存在多个可解析后缀,例如asp脚本语言的可解析后缀,不仅仅是.asp,还有.cer,.asa等等。而由于开发人员相关知识或安全意识的局限性(欠缺),导致设置的黑名单不全。这时就可以通过其他可解析后缀绕过黑名单上可执行的websh
uploads-labs深入学习
JasonCian的博客
07-07 1008
uploads-labs深入学习
pph上文件到window服务器,Upload-Labs通关手册:Pass-01~20
weixin_35555531的博客
08-06 269
大家在看Upload-Labs通关手册前,必看文件漏洞平台:Upload-Labs(环境搭建)此文章!否则,你中途可能会出现很多小BUG,或者说突破不了,效果达不到,不够理想。通关任务上一个webshell到服务器。上图片马到服务器。Pass-01:JS验证绕过本pass在客户端使用js对不合法图片进行检查!示例:这种直接禁用JS,或者 Burpsuit改包等等都可以。我这直接就用了火狐的...
upload-labs靶场1-21通关
08-17
你好!要通关 upload-labs 靶场的第 1-21 关,你需要依次完成每个关卡的任务。以下是通关每个关卡的一些提示: 1. Level 1 - 文件漏洞:尝试上一个恶意文件,看看能否绕过上限制。 2. Level 2 - 文件包含漏洞:尝试利用文件包含漏洞,读取服务器上的敏感文件。 3. Level 3 - XXE漏洞:在上的 XML 文件中尝试触发外部实体注入。 4. Level 4 - SQL注入漏洞:利用输入点进行 SQL 注入攻击,尝试获取数据库中的敏感信息。 5. Level 5 - SSRF漏洞:尝试利用服务器端请求伪造漏洞,发起内部网络请求。 6. Level 6 - 文件漏洞2:绕过上限制,上一个恶意文件。 7. Level 7 - 文件包含漏洞2:利用文件包含漏洞,读取服务器上的敏感文件。 8. Level 8 - 反序列化漏洞:尝试触发反序列化漏洞,执行恶意代码。 9. Level 9 - 文件漏洞3:绕过上限制,上一个恶意文件。 10. Level 10 - 文件包含漏洞3:利用文件包含漏洞,读取服务器上的敏感文件。 11. Level 11 - XXE漏洞2:在上的 XML 文件中触发外部实体注入。 12. Level 12 - SSRF漏洞2:尝试利用服务器端请求伪造漏洞,发起内部网络请求。 13. Level 13 - 文件漏洞4:绕过上限制,上一个恶意文件。 14. Level 14 - 文件包含漏洞4:利用文件包含漏洞,读取服务器上的敏感文件。 15. Level 15 - SQL注入漏洞2:利用输入点进行 SQL 注入攻击,尝试获取数据库中的敏感信息。 16. Level 16 - 文件漏洞5:绕过上限制,上一个恶意文件。 17. Level 17 - 文件包含漏洞5:利用文件包含漏洞,读取服务器上的敏感文件。 18. Level 18 - 反序列化漏洞2:尝试触发反序列化漏洞,执行恶意代码。 19. Level 19 - 文件漏洞6:绕过上限制,上一个恶意文件。 20. Level 20 - 文件包含漏洞6:利用文件包含漏洞,读取服务器上的敏感文件。 21. Level 21 - XXE漏洞3:在上的 XML 文件中触发外部实体注入。 请注意,在完成每个关卡时,要仔细阅读相关提示和代码,理解漏洞的原理,并尝试不同的方法来解决问题。祝你顺利通关

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值