【upload-labs】文件上传通关攻略

已于 2024-03-26 10:18:18 修改
阅读量3.6k 收藏 7
点赞数
分类专栏: web安全 文章标签: 文件上传 web安全
于 2021-11-02 14:35:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kongzhian/article/details/120414847
版权
pass-01源码解析:function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; } //定义允许上传的文件类型 var allow_ext = ".jpg|.png|.gif"
摘要由CSDN通过智能技术生成

目录

pass-01 前端js过滤

pass-02 修改MIME类型

pass-03 换后缀别名过滤

pass-04 htaccess利用

pass-05 .user.ini利用

pass-06 大小写过滤

pass-07 空格过滤

pass-08 点过滤

pass-09 ::$DATA过滤

pass-10 点空格绕过

pass-11 双写绕过

pass-12 %00截断

pass-13 00截断

pass-14 添加头或图片马:检查文件头字

pass-15 图片马:getimagesize

pass-16 图片马:exif_imagetype

pass-17 二次渲染

pass-18 条件竞争1

pass-19 条件竞争2+解析漏洞

pass-20 斜杠点绕过

pass-21 斜杠点+数组绕过

总结

文件上传的思路有:

pass-01 前端js过滤

源码解析:

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name) == -1) {
        var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
        alert(errMsg);
        return false;
    }
}

在这一关中,当用户点击上传文件时,会触发一个点击事件,调研js中的函数checkFile,先判断有没有选择文件,然后设置允许上传文件的格式,通过最后一个“ . ”获取上传文件的后缀,然后判断其是否在允许上传的范围。

利用:

方法一:因为这是在用js代码在前端进行校验,我们可以直接利用插件禁用script绕过上传

方法二:也可以将上传的文件后缀修改为合法后缀,然后抓包修改为原来的后缀

pass-02 修改MIME类型

源码解析:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

在进行文件上传时,浏览器会设置一个请求头Content-Type对上传文件的类型进行说明,而这一关在后台中采用$_FILES['upload_file']['type']对文件上传的类型(Content-Type)进行校验

利用:

上传一个shell.php文件,将Content-Type的application/octet-stream改为image/jpeg,即可上传成功

 查看upload文件夹也可以发现shell.php文件,即上传成功

pass-03 换后缀别名过滤

源码解析:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.'); //去掉.加文件名称,只保留文件后缀
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//将file_ext中的字符串::$DATA替换成空
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

$deny_ext制定了黑名单,紧跟着六行将上传的文件后缀提取出来

$temp_file = $_FILES['upload_file']['tmp_name']获取文件被上传后在服务端储存的临时文件名

$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;     待修改文件名       

if (move_uploaded_file($temp_file,$img_path))  移动即为修改

利用:

可直接将php改为php5|phtml|phps|pht等

前提是apache的httpd.conf中有如下配置代码:

AddType application/x-httpd-php .php .phtml .phps .php5 .pht

 另外,在upload文件夹上也可以看到上传成功的文件

pass-04 htaccess利用

源码解析:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

这一关源码跟上一个类似,只不过黑名单的范围更大的,无法通过修改同义后缀直接进行文件上传

但是没有过滤htaccess,而当htaccess文件中存在以下配置时:

SetHandler application/x-httpd-php

会将所有的文件都当初php文件执行(前提条件:1.mod_rewrite模块开启。2.AllowOverride All

利用:

1上传htaccess文件

2抓包修改htaccess,去掉前面的文件名

 3利用成功

附:开启前提条件

Apache/conf/conf.httpd 

 

pass-05 .user.ini利用

源码解析:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

跟上一关类似,但这里将htaccess也过滤了,但是没有对文件进行复制式重命名,另外.ini文件也没有过滤

 利用

1 上传一个.user.ini文件(用户自定义配置文件),此文件内容为auto_propend_file=1.jpg,即所有的php文件都包含一个1.jpg文件

2 将webshell命名为1.jpg

3 利用readme.p

最低0.47元/天 解锁文章
kzaaa
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安装upload-labs
10-22
同时,upload-labs还提供了详细的课程讲解和write up(通关指南),可以帮助您更好地理解和掌握文件漏洞的防御方法。 结语 安装upload-labs是一个非常重要的步骤,它可以帮助您快速掌握文件漏洞的基础知识...
web安全-文件漏洞-图片马制作-相关php函数讲解-upload靶场通关详细教学(3)
ran的博客
01-30 6223
getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。的知识,比如我们平时在进行文件时,在我们上文件后,网站会对图片进行二次处理(格式、尺寸、保存、删除要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。
upload-labs靶场通关全网最详细
m0_68976043的博客
03-14 2027
我们本关的任务是上一个webshell,当我们上php文件的时候,会直接阻止我们去看看很明显这个是对前端进行验证的代码那我们直接进入开发者模式可以清楚的看到checkFile()【文件类型校验函数】那就很简单了,我们删除校验改为true,即可成功上我们的php上成功:看看结果第二种方法,我们可以使用burp抓包实现,先上一个.jpg正常的文件但是内容是一句话木马,抓包后修改后缀放行也可实现第三种方法:关闭网页的js能,这样js也被我们绕过了我们现在重新进行提交。
[网络安全]upload-labs Pass-14 解题详析_upload-labs-linux pass14(1)
2401_84972580的博客
05-13 360
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
upload文件通关记录
2302_76641228的博客
09-24 732
先上.htaccess文件,(若上不成功,可改名为x.htaccess,然后bp抓包改名)这样可以使任何类型文件作为php解析,然后上php文件,改名为shell.hph后上。php一些函数的底层是C语言,C语言字符串中,结尾是/0,十六进制就是0x00,会把该字符串截断,0x表示十六进制,URL中%00解码成16进制就是0x00。在windows中,如果文件名+"::$DATA",会把“::$DATA”之后的数据当成文件流处理,不会检测后缀名,且保持“::$DATA”之前的文件名。
upload-labs 通关
s0mor
11-19 423
1.Pass-01(前端验证绕过) 上一个php文件,提示 用burp抓包发现并没有发送数据包 判断是前端验证 上一个图片马 burp抓包,把文件名jpg改成php 用蚁剑连接成功 2.Pass-02(Content-Type方式绕过) burp抓包,改请求头中的Content-Type为image/jpeg 连接成功 3.Pass-03(黑名单绕过) burp抓包改后缀名为php3...
通关选择】upload-labs通关(大全)
Continuejww的博客
11-02 2389
前提条件:1.文件能够成功上到服务器2.击者能够知道文件的上路径。
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
upload-labs通关手册
12-03
详细记录了upload-labs靶场的通关步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
upload-labs靶场通关指南
07-02
本指南提供了 Upload-labs靶场的通关指南,涵盖了从基础的文件漏洞到高级的文件包含漏洞的利用方法。 Pass-1:文件漏洞基础 在 Pass-1 中,我们发现了文件漏洞的基础知识。我们创建了一个 PHP 文件,...
Upload-labs通关的一些关键步骤和思路
最新发布
07-13
Upload-labs通关的一些关键步骤和思路
web安全-文件-::SDATA相关知识-三种截断方法-自动编解码问题-upload靶场通关详细教学(2)
ran的博客
01-29 791
php在window的时候如果文件名+“::SDATA”会把::SDATA之后的数据当成文件流处理,也就是不会检测后缀名,且保持“::SDATA"之前的文件名。然后打开“Hex”,前面占位的空格的16进制为“20”,因此修改16进制内容,将“20”改成“00”即可。“0x”开头表示16进制,“0”在十六进制中是“00”,“ 0x00”就是“%00”解码成的16进制。在“Hex”内找到对应的位置,将上一步添加的末尾的空格对应的“20”,修改为“00”后放包。
upload-labs初学者通关详解
weixin_54072578的博客
11-05 2400
Pass-1 js验证绕过 首先在开始之前我们需要在我们导入的upload-labs文件里面新建一个文件夹,方便我们上php文件 打开第一关我们可以看见这个页面 我们将事先准好好的一句话木马文件上去 可以看到提示,文件夹格式不正确 这时候我们要判断他判断文件代码后缀是在前段还是后端 我们可以查看第一关的文件代码,会发现有一个checkFile()函数,(在浏览器的元素审查中找文件的js代码可以看到) 这个函数就是检查文件后缀的,我们可以删除这个函数再上可以成功。...
php 图片转base64_PHP实现本地图片转base64格式并上
weixin_39633493的博客
03-09 241
我们在开发系统时,处理图片上是不可避免的,例如使用thinkphp的肯定很熟悉import("@.ORG.UploadFile");的上方式,今天我们来讲一个使用html5 base64上图片的方法。主要是用到html5 FileReader的接口,既然是html5的,所支持的浏览器我就不多说啦可以大概的讲一下思路,其实也挺简单。选择了图片之后,js会先把已选的图片转化为base64格式,然...
文件漏洞基础/htaccess重写解析绕过/大小写绕过上/windows特性绕过
ChenD的学习笔记
10-22 3193
htaccess文件可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能!有的黑名单没有对后缀名的大小写进行严格判断(一般不会有),导致可以更改后缀大小写绕过,如PHP、Php、pHp、PhP、pHP....Windows中后缀名.,系统会自动忽末尾的".",所以可以通过在末尾加.来进行绕过。到这里我们能发现,前面的代码没有一行是没用的,每一行都针对一种上方法!
文件(11-19)
weixin_46601374的博客
01-13 2731
%00截断和00截断 了解%00实际上我们要先了解0x00,0x00实际上是一个十六进制表示方式,实际上就是表示ascii码值为0,有些函数在处理这个字符的时候会把这个字符当做结束符,他们就读取到这里认为这一段结束了 在文件时,如果遇到了白名单机制只允许上jpg后缀的,在没有解析漏洞的情况下我们该怎么办? JPG格式并不会被解析,那么我们需要绕过上过滤。 假如我写了1.php%00.jpg 参之后,有些过滤都是直接匹配字符串,他强行匹配到了结尾是.jpg,然后允许上,但是php的函.
upload-labs安装及
drnrrwfs的博客
07-31 2753
利用这一特点,我们可以进行双写后缀名操作,即加一个后缀名让他替换掉,如‘test.php’改写为’test.pphphp’当后缀名被替换掉后会变成空格,可以绕过黑名单的检测,但是存储时空格会被去掉,最后剩下的文件后缀名合并为’test.php’。(3)第三种方法是我们先将要上文件后缀名修改成页面允许上的类型,这样在点击上后就可以通过前端的验证,用burp工具进行抓包,在burp中将文件后缀名改回原本想要上的格式,再进行上,这样就可以上我们想要的类型文件而不会被前端的验证拦截。...
uploads-labs文件漏洞通关记录
Sea_Sand息禅
07-11 1043
Pass-01 js检测 1)抓包改名直接绕过。 2)控制台找到检测代码进行修改 Pass-02 后台对MIME进行检测,上php文件,然后把content-type改为image/jpeg,然后发包马就上去了。 ...
国光师傅文件靶场练习
weixin_63231007的博客
04-23 1537
0x01 JS (1)抓包绕过前端检测 因为存在前段验证的问题,所以我们将一句话木马文件shell.php 重命名为 shell.jpg 上抓包的时候再将文件名修改为 shell.php 即可绕过前段限制,成功上 webshell。蚁剑连接进入后台。 (2)禁用js 看文章题目可知,使用js来检测后缀。所以我们用js禁用插件禁用js。即可上php木马文件。 0x02 .htaccess 上.htaccess文件,写入 AddType application/x-httpd-php .
upload-labs靶场通关:PHP文件漏洞利用
"upload-labs靶场通关指南" 在网络安全领域,特别是针对Web应用程序的安全测试,文件漏洞是一个常见的击点。Upload-labs靶场提供了一系列关卡,模拟了不同的文件防护机制,让测试者练习如何绕过这些防护...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值