转眼间,就已经12月19号了,2023余额不足咯,辛苦啦各位努力的打工人,无论明天有多少的未知,我们都要坚信" 日日有惊喜,岁岁有期待 " ~!!
"当我们撕开一个个标签,人生便海阔天空。Doge"
(被闻神整e了,😭😭😭😭😭😭😭😭)
咳咳咳~~ 扯远了,最近小编还在想更新什么好(不想水blog捏),既然没想好,那就先把今天网安课的靶场来讲一下吧!!!(你别说,知识还挺多)
本次blog从uploadabs 的第五关开始
5.填坑啦~~
还记不记得,我猜你不记得,,上次的坑(哈,记得了吧上次是靶场配置有问题原来,气鼠我了)
这一关就要涉及到.user.ini这玩意了
- .user.ini:简易的来理解就是用户自定义配置文件
比如:我们现在有一个webshell.jpg 的一句话木马文件,我们不可以直接上传,但是我们可以先上传一个.user.ini ,像这样(文件名就直接是 .user.ini ),下面是文件内容
auto_prepend_file=webshell.jpg
这时候,所有的php文件运行时都会预先加载webshell.gif文件,这时候有人就会好奇了(无中生有,hhh)(webshell不是一个gif吗,为什么会被解析成php代码?)
好问题!!!(自问自答)其实:这是因为在 Web 服务器处理请求时,它关注的是文件的内容和文件类型而不仅仅是文件扩展名,这就说明为什么会成功
然后我们就可以把webshell.jpg传上去啦,然后我们去访问该目录下的readme.php(大部分网页都会有这个文件的啦)更何况,嗯确实挺明显的,HHH~~~
7.空格bypass
至于很多人好奇第六关咋没了,问就是大小写绕过,上一篇blog讲过了
首先我们要知道的是:
- Windows系统下,对于文件名中空格会被作为空处理,这关程序中的检测代码却没有自动删除空格。从而绕过黑名单。
那就简单咯,我们还是直接上传一个webshell.jpg在bp的界面
然后将jpg修改为.php 这里记住是有空格的哦!!!基于前端的js代码没有对空格进行过滤
哈哈,有人就会问,为什么不是蚁剑连接,这是因为我们在挖掘漏洞的过程中,一般不会直接上传木马(甚至不给上传),我们可以先上传一个phpinfo的探针,看看是否能被解析,再考虑后续操作呢!!
8. .号Bypass
还是先来普及一些知识
- Windows系统下,文件后缀名最后一个点会被自动去除,这关的程序中的检测代码却没有自动删除"." ,从而绕过黑名单 。
在bp的页面构造多一个点号不就行了吗
这样,当服务器收到之后,发现它以.结尾,于是就会自动删除掉这个.了
下一关!!@!!
9.特殊符号的Bypass
这里还得补充一点知识(byd咋那么多奇怪的知识)
- Windows系统下,如果上传的文件名中存在 test.php::$DATA ,那么会在服务器上生成一个test.php的文件,其中内容和所上传文件内容相同,并被解析。
简单来说就是::$DATA 在搞鬼哦
那我们吗就直接上构造咯,
但是记得哦::$DATA会被删除,所以你要访问的是webshell.php (事实也确实如此哦)
10.终于没有新的补充了
前几关,关关都有一些奇奇怪怪的东西(烦死了)
这一关,我们就需要审计它的源代码了
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini"); //byd过滤这么多生怕我们过了这关
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
审计完之后,我只想*************,这啥都过率了啊,但是,“山重水复疑无路,*******” 气死我了,真想不出来,于是求助了一下我的老师,才恍然大雾!!!!!
在看多一眼(不会爆炸),他是不是都只过滤了一次 !!!
那我们这样构造 webshell.php. . 来好戏上场
- $file_name = deldot($file_name); 删掉了末尾的. 那就只剩 webshell.php.空格(不要忘它)
- $file_ext = trim($file_ext); //去除了空格 是不是只剩下了 webshell.php OHHHHH!!!!!!!
dangdang~~!!
而且这种关卡需要上传后的文件没有经过随机化重命名,直接保存在服务器上,才行。
11.双写Bypass
这一关有一个神奇的代码,其中的str_ireplace会将我们php过滤掉
$file_name = str_ireplace($deny_ext,"", $file_name);
那我们可以可以构造双写的poc嘛
最后也是能达到效果的
好了,以上就是uploadlabs的黑名单bypass了,下一期我们来通关白名单绕过 !!