upload-labs通关记录

已于 2022-06-12 15:23:08 修改
阅读量662 收藏 2
点赞数
文章标签: 前端 php web安全
于 2022-06-07 21:04:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kindyyy/article/details/125172218
版权

PASS-01js前端验证

本题主要是考察js前端验证,在我还没有上传题目的时候就一直提示只允许上传png/jpg文件,就是最典型的前端验证。在火狐浏览器上我们用about:config将javascrip-enabled关闭即可直接上传

记得在WWW/upload-labs文件下创建一个upload的文件夹,存放上传成功的,马儿文件

上传成功:

 测试后文件存在,用蚁剑连接

连接成功即可

 PASS-02 MIME验证

 

 经过提示,本题是mime验证。MIME类型校验就是我们在上传文件到服务端的时候,服务端会对客户端也就是我们上传的文件的Content-Type类型进行检测,如果是白名单所允许的,则可以正常上传,否则上传失败。其实只要记住是对concent-type类型的文件进行检测。

只允许上传image/jpeg、png、gif的文件

上传文件,用bp抓包,将concent-type的类型修改为image/png上传成功

用蚁剑连接: 

打开即可找到相关的马儿位置。 

PASS-03 黑名单限制

浅浅看了一下提示,应该是黑名单绕过

查看一下源码: 

 可以将这几个后缀用php1,php2,php5等来替换,用bp和蚁剑解题即可 (可以直接上传php3文件)

上传成功 

不知道是不是靶场的问题蚁剑没有连上,我们先追一下进度。

PASS-04 .hataccess文件上传

看一下源码:

s_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
                $is_upload = true;
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

被过滤了许多的,但是不要忘记了还有.hataccess类型的文件,本题主要考察的就是hataccess文件的上传。现在上传一下试一试

补充:.htaccess 文件使用

上传成功。 

用蚁剑连接一下试一试 

连接成功

PASS-05  .ueser.ini

查看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . '/' . $file_name;
                $is_upload = true;
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

发现第五题和第四题大同小异,但是第五题将.htaccess文件也过滤了,要换一种上传方法,通过看大神的wp后要用ini配置文件上传。(今天发现我的靶场多多少少有点问题,我用buuctf上面的做题)

用ini配置文件我的确也传不上。后来我用点空格点的方式绕过了

用bp抓包后修改它的文件后缀,加上. .

上传成功后用蚁剑连接成功。 

(我感觉文件上传的题目真的做的好懵啊,害) 

PASS-06 黑名单绕过——大小写绕过

在我的靶场出问题后重新安装了一个靶场。查看源码发现将.ini和.htaccess类型的文件都禁止了。在用. .然过后我学习了一种新的绕过方法:大小写绕过。

分享一下源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

trim()是去除空格,所以不能使用空格绕过。

上传一个php文件,用bp抓包,更改php后缀为PHp,即可上传成功

用蚁剑连接。

PASS-07 黑名单绕过—— 空格绕过

首先查看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

本关没有trim()过滤空格,所以相比起大小写绕过可以用空格绕过。

先上传一个 php文件用bp抓包,在后缀名处加上一个空格点击forward放包之后 ,上传成功,用F12找文件位置

 用蚁剑连接即可连接成功。

 PASS-08 黑名单绕过—— . 绕过

查看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

发现没有delot()函数去除文件名末尾的点。所以可以用末尾加.的方式绕过 

上传成功。

查看当前文件所在的位置 

用蚁剑连接试一试 。连接的时候记得在末尾加上.

连接成功。

PASS-09 黑名单绕过——特殊字符串绕过:::$DATA

对比源码得知,本题没有过滤::$DATA这个特殊字符串。所以使用::$DATA绕过。在文件名末尾加上::$DATA

上传成功

查找文件的位置: 

用蚁剑连接成功 

PASS-10 黑名单绕过——综合绕过

查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

 看似把所有绕过方式都过滤了。但是有一个新的知识点。有关delot()函数

deldot()函数从后向前检测,当检测到末尾的第一个点时会继续它的检测,但是遇到空格会停下来。所以可以用. .进行绕过。

如图,用bp抓包后更改后缀名。

放包后,上传成功 

查看文件所在位置。 

用蚁剑连接。文件名末尾一定记得加上. 。连接成功 

 PASS-11 黑名单绕过——双写绕过

查看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

发现有一个全新的函数:str_ireplace()函数

 于此,我们可以得出结论,将文件名中的php,phtml等文件后缀替换为空格。所以我们用双写绕过该函数。如图:

上传成功: 查找文件的位置:

用蚁剑连接,连接成功。

PASS-12 

kindyyy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
http 自动跳转https .htaccess 文件设置
weixin_41647577的博客
03-16 1439
<IfModule mod_rewrite.c> Options +FollowSymlinks -Multiviews RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^(.*)$ index.php?/$1 ...
ctfhub--ctf--web--文件上传(1.无验证 2.前端验证 3..htaaccess4.MIME绕过5.00截断6.双写后缀7.文件头检查)
feiniaotjx的博客
10-10 443
ctfhub--ctf--web--文件上传1.无验证2.前端验证3. .htaaccess4.MIME绕过5.00截断6.双写后缀7.文件头检查 1.无验证 上传一句话木马 <?php @eval($_POST['123']);?>,上传成功,显示路径 找到flag文件 查看flag 2.前端验证 将onsubmit里面的return checkfilesuffix()删了,再点提交 找到flag文件 查看flag 还可以使用蚁剑 3. .htaaccess 上传.htaccess
upload-labs靶场详解
最新发布
lizhiiiii的博客
04-17 817
使用小皮集成环境来完成这个靶场 将文件放到WWW目录下就可以进行访问。
关于upload-labs-0.1的Pass-01上传文件时,提示 ../upload文件夹不存在,请手工创建 的解决办法
m0_47505062的博客
03-01 1035
解决办法: 在你设置的 upload-labs-0.1站点里手工新建一个upload文件夹。 再传东西就没问题了。 原理是,站点 upload-labs-0.1 里没带着upload文件夹,需要自己手工创建。 服务器端需要一个装你上传文件的文件夹,../upload/ ../就是服务器的 upload-labs-0.1 站点的根目录,拿我的实验环境就是, C:\phpStudy\PHPTutorial\WWW\upload-labs-0.1 在这里手工建立一个upload文件夹, C:\phpStu.
新建upload文件解决upload-labs问题“提示:../upload/文件夹不存在,请手工创建”
03-07 2823
新建update文件,解决问题
upload-labs靶场第一关——第九关
AmeV_ll的博客
02-23 421
Upload-Labs是一个使用PHP语言编写、专注于文件上传漏洞的闯关式网络安全靶场。练习该靶场可以有效地了解并掌握文件上传漏洞的原理、利用方法和修复方案。
upload-labs通关手册
12-03
详细记录upload-labs靶场的通关步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
安装upload-labs
10-22
安装upload-labs
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件上传漏洞专项练习靶场,内涵各种文件上传漏洞类型,采用关卡制,一共21关,由易到难,适合刚接触该漏洞的新手巩固练习
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
文件上传漏洞之upload-labs打靶笔记
m0_60716947的博客
05-07 1323
(一)文件上传漏洞 (1)文件上传漏洞的定义 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 (2)webshell 的定义 WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp或
upload-labs详细教程
shayebudon的博客
11-09 1万+
第一关 js检查 查看源码 由源代码可知,允许上传的文件为.jpg|.png|.gif 我们上传一个.jpg文件 利用burp suite进行抓包 将jpg改为php后,放包 上传成功。 第二关Content-Type 查看源码 有源码可知,发现只判断Content-Type类型,所以我们只需修改Content-Type进行绕过即可 首先上传php文件,抓上传包 将箭头所指的内容改为image/jpeg或image/png或image/gif后...
upload-labs详解1-19关通关全解(最全最详细一看就会)
热门推荐
qq_53003652的博客
04-05 2万+
upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共19关,每一关都包含着不同上传方式。
upload-labs大详解
gankjk的博客
11-03 1万+
第一关 前端JS绕过 上传一个php一句话文件(记得改成php格式) 发现不允许上传php类型的,只能上传jpg,gif,pngl的我们打算用burp抓包,先上传jpg的,然后用burp改成php的。 放包后,打开upload文件夹查看上传成功。 第二关 MIME-TYPE验证绕过 我们尝试用第一个的方法,发现还是可以直接上传成功,但是这里还有第二种方法。 直接上传php格式的文件,用burp抓包。更改这里的值。 上传php文件时,Content-Type的值是application/octet
upload-labs·文件上传(靶场攻略)
duoba_an的博客
03-19 2982
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。文件上传漏洞成因: 具备上传文件功能的Web等应用,未对用户选择上传的文件进行校验,使得非法 用户可通过上传可执行脚本而获取应用的控制权限。
FLASH免激活js
weixin_33874713的博客
01-30 88
&lt;script language="javascript" src="flash.js"  type="text/javascript" &gt;&lt;/script&gt; 使用插件的代码  &lt;script language="javascript" type="text/javascript"&gt; //代码开始 functi
真的没办法一心一意麽? php 文件操作
想个标题偏头痛
06-14 507
"r" (只读方式打开,将文件指针指向文件头) "r+" (读写方式打开,将文件指针指向文件头) "w" (写入方式打开,清除文件内容,如果文件不存在则尝试创建之) "w+" (读写方式打开,清除文件内容,如果文件不存在则尝试创建之) "a" (写入方式打开,将文件指针指向文件末尾进行写入,如果文件不存在则尝试创建之) "a+" (读写方式打开,通过将文件指针指向文件末尾进行写入来保存文件
upload-labs通关
05-12
以下是一些通关Upload-labs的建议: 1. 熟悉文件上传的原理和常见的文件上传漏洞类型,如未授权上传、文件类型绕过、文件名绕过等。 2. 仔细阅读每个挑战的题目和描述,理解题目要求和目标。 3. 使用常见的文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值