Pikachu靶场01-文件上传漏洞详解

最新推荐文章于 2024-05-28 08:00:00 发布
最新推荐文章于 2024-05-28 08:00:00 发布
阅读量2.1k 收藏 9
点赞数 3
分类专栏: CTF靶场通关 文章标签: 安全 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li20132273/article/details/128154014
版权

目录

第1章 前端检测

1.1 前端检测代码

1.2 前端检测绕过

第2章 后端检测绕过

2.1 后端MIME类型检测

2.2 绕过后端MIME类型检测

2.3 后端getimagesize()检测

2.4 绕过后端getimagesize()检测

说明:为了更好的理解,需要掌握PHP $_FILES函数以及PHP文件包含相关基础知识

第1章 前端检测

1.1 前端检测代码

 1、上传文件表单

以下代码片段是前端上传文件的form表单,分析可以发现在<input>标签中通过onchange调用了JavaScript函数checkFileExt(),借助该函数实现对文件类型的检测。

<form class="upload" method="post" enctype="multipart/form-data"  action="">
     <input class="uploadfile" type="file"  name="uploadfile" onchange="checkFileExt(this.value)"/><br />
     <input class="sub" type="submit" name="submit" value="开始上传" />
</form>

 2、前端检测代码

以下代码片段是前端JavaScript检测代码,首先通过函数取出上传文件的后缀名,然后去匹配文件类型白名单,只有jpg、png、gif三种图片类型的文件才允许上传,否则返回“上传的文件不符合要求,请重新选择!”

<script>
    function checkFileExt(filename)
    {
        var flag = false; //状态
        var arr = ["jpg","png","gif"];
        //取出上传文件的扩展名
        var index = filename.lastIndexOf(".");
        var ext = filename.substr(index+1);
        //比较
        for(var i=0;i<arr.length;i++)
        {
            if(ext == arr[i])
            {
                flag = true; //一旦找到合适的,立即退出循环
                break;
            }
        }
        //条件判断
        if(!flag)
        {
            alert("上传的文件不符合要求,请重新选择!");
            location.reload(true);
        }
    }
</script>

1.2 前端检测绕过

1、关闭浏览器JavaScript解析器

 FireFox地址栏输about:config-->找到javascript.enabled并将其关闭(默认开启),关闭后便可直接上传php文件

2、BurpSuite抓包修改文件类型 

 首先,将待上传的php文件后缀修改为图片格式,并在前端页面加载修改后的文件,如下:

其次,浏览器开启代理,并使用BurpSuite抓包,将图片格式重新修改为php格式,从而绕过浏览器JavaScript检测,如下:

第2章 后端检测绕过

2.1 后端MIME类型检测

Pikachu靶场提供了两个服务端检测的页面,一个是MIME类型检测,另一个是getimagesize()。我们首先来看看MIME类型检测。如下所示实现MIME检测的文件是servercheck.php,找到这个文件进行代码分析。

以下是从servercheck.php文件中截取的关键代码片段,可以发现通过调用upload_sick()函数来实现MIME检测功能,其中upload_sick()函数在外部文件uploadfunction.php文件中定义,并通过include_once来引入

<?php
    $PIKA_ROOT_DIR =  "../../";
    include_once $PIKA_ROOT_DIR.'inc/uploadfunction.php';
    
    $html='';
    if(isset($_POST['submit'])){
        $mime=array('image/jpg','image/jpeg','image/png');   //指定MIME类型,这里只是对MIME类型做了判断。
        $save_path='uploads';                                //指定在当前目录建立一个目录
        $upload=upload_sick('uploadfile',$mime,$save_path);  //调用函数
        if($upload['return']){
            $html.="<p class='notice'>文件上传成功</p><p class='notice'>文件保存的路径为:{$upload['new_path']}</p>";
        }else{
            $html.="<p class=notice>{$upload['error']}</p>";
        }
    }
?>

定位到uploadfunction.php文件,截取其中关于upload_sick()函数的定义代码,upload_sick()定义了三个参数,分别为$key,$mime,$save_path,其中$key取值为“uploadfile”,代表form表单中<input>的name属性、$mime是一个数组,代表允许MIME类型白名单、$save_path代表文件上传后的存储路径。

//只通过MIME类型验证了一下图片类型,其他的无验证,upsafe_upload_check.php
function upload_sick($key,$mime,$save_path){
    $arr_errors=array(
        1=>'上传的文件超过了 php.ini中 upload_max_filesize 选项限制的值',
        2=>'上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值',
        3=>'文件只有部分被上传',
        4=>'没有文件被上传',
        6=>'找不到临时文件夹',
        7=>'文件写入失败'
    );
    if(!isset($_FILES[$key]['error'])){
        $return_data['error']='请选择上传文件!';
        $return_data['return']=false;
        return $return_data;
    }
    if ($_FILES[$key]['error']!=0) {
        $return_data['error']=$arr_errors[$_FILES[$key]['error']];
        $return_data['return']=false;
        return $return_data;
    }
    //验证一下MIME类型
    if(!in_array($_FILES[$key]['type'], $mime)){
        $return_data['error']='上传的图片只能是jpg,jpeg,png格式的!';
        $return_data['return']=false;
        return $return_data;
    }
    //新建一个保存文件的目录
    if(!file_exists($save_path)){
        if(!mkdir($save_path,0777,true)){
            $return_data['error']='上传文件保存目录创建失败,请检查权限!';
            $return_data['return']=false;
            return $return_data;
        }
    }
    $save_path=rtrim($save_path,'/').'/';//给路径加个斜杠
    if(!move_uploaded_file($_FILES[$key]['tmp_name'],$save_path.$_FILES[$key]['name'])){
        $return_data['error']='临时文件移动失败,请检查权限!';
        $return_data['return']=false;
        return $return_data;
    }
    //如果以上都通过了,则返回这些值,存储的路径,新的文件名(不要暴露出去)
    $return_data['new_path']=$save_path.$_FILES[$key]['name'];
    $return_data['return']=true;
    return $return_data;
    
}

在以上代码中,实现MIME类型检测的代码如下,这段代码含义是:只有上传文件的MIME类型包含在预定义的MIME白名单之中时,才允许上传,即只允许上传'image/jpg'、'image/jpeg'、'image/png'这三种MIME类型的文件

    //验证一下MIME类型
    if(!in_array($_FILES[$key]['type'], $mime)){
        $return_data['error']='上传的图片只能是jpg,jpeg,png格式的!';
        $return_data['return']=false;
        return $return_data;
    }

2.2 绕过后端MIME类型检测

当后端检测机制是MIME类型检测时,由于后端是通过HTTP请求头中Content-Type字段获取的,所以一般借助BurpSuite抓包,直接修改HTTP请求中Content-Type类型为图片类型即可,如下:

2.3 后端getimagesize()检测

在了解完MIME类型检测后,接下来看看getimagesize()检测。如下所示实现getimagesize()检测的文件是geimagesize.php,找到这个文件进行代码分析。

以下是从getimagesize()文件中截取的关键代码片段,可以发现通过调用upload()函数来实现getimagesize()检测功能,其中upload()函数在外部文件uploadfunction.php文件中定义,并通过include_once来引入

<?php
	$PIKA_ROOT_DIR =  "../../";
	include_once $PIKA_ROOT_DIR.'inc/uploadfunction.php';
	$html='';
	if(isset($_POST['submit'])){
		$type=array('jpg','jpeg','png');                               //指定类型
		$mime=array('image/jpg','image/jpeg','image/png');
		$save_path='uploads'.date('/Y/m/d/');                          //根据当天日期生成一个文件夹
		$upload=upload('uploadfile','512000',$type,$mime,$save_path);  //调用函数
		if($upload['return']){
			$html.="<p class='notice'>文件上传成功</p><p class='notice'>文件保存的路径为:{$upload['save_path']}</p>";
		}else{
			$html.="<p class=notice>{$upload['error']}</p>";
		}
	}
?>

接下来,我们分析具体实现文件类型检测功能的upload()函数,定位到uploadfunction.php文件,截取其中关于upload()函数的定义代码,upload()定义了5个参数,分别为$key,$size,$type,$mime,$save_path,其中$key取值为“uploadfile”,代表form表单中<input>的name属性、$size限制上传文件大小、$type代表允许上传的文件类型白名单,$mime代表允许MIME类型白名单、$save_path代表文件上传后的存储路径

可见,在Pikachu靶场getimagesize检测时,分别依次检测文件大小、检测文件类型、检测文件MIME类型3中方式来实现检测,加强文件上传过滤效果,且在进行文件保存的时候以随机数为文件名进行保存,因此在绕过的时候需要同时绕过这三个检测手段

function upload($key,$size,$type=array(),$mime=array(),$save_path){
    $arr_errors=array(
        1=>'上传的文件超过了 php.ini中 upload_max_filesize 选项限制的值',
        2=>'上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值',
        3=>'文件只有部分被上传',
        4=>'没有文件被上传',
        6=>'找不到临时文件夹',
        7=>'文件写入失败'
    );
    if(!isset($_FILES[$key]['error'])){
        $return_data['error']='请选择上传文件!';
        $return_data['return']=false;
        return $return_data;
    }
    if ($_FILES[$key]['error']!=0) {
        $return_data['error']=$arr_errors[$_FILES[$key]['error']];
        $return_data['return']=false;
        return $return_data;
    }
    //验证上传方式
    if(!is_uploaded_file($_FILES[$key]['tmp_name'])){
        $return_data['error']='您上传的文件不是通过 HTTP POST方式上传的!';
        $return_data['return']=false;
        return $return_data;
    }
    //获取后缀名,如果不存在后缀名,则将变量设置为空
    $arr_filename=pathinfo($_FILES[$key]['name']);
    if(!isset($arr_filename['extension'])){
        $arr_filename['extension']='';
    }
    //先验证后缀名
    if(!in_array(strtolower($arr_filename['extension']),$type)){//转换成小写,在比较
        $return_data['error']='上传文件的后缀名不能为空,且必须是'.implode(',',$type).'中的一个';
        $return_data['return']=false;
        return $return_data;
    }
    
    //验证MIME类型,MIME类型可以被绕过
    if(!in_array($_FILES[$key]['type'], $mime)){
        $return_data['error']='你上传的是个假图片,不要欺骗我xxx!';
        $return_data['return']=false;
        return $return_data;
    }
    //通过getimagesize来读取图片的属性,从而判断是不是真实的图片,还是可以被绕过的
    if(!getimagesize($_FILES[$key]['tmp_name'])){
        $return_data['error']='你上传的是个假图片,不要欺骗我!';
        $return_data['return']=false;
        return $return_data;
    }
    //验证大小
    if($_FILES[$key]['size']>$size){
        $return_data['error']='上传文件的大小不能超过'.$size.'byte(500kb)';
        $return_data['return']=false;
        return $return_data;
    }

    //把上传的文件给他搞一个新的路径存起来
    if(!file_exists($save_path)){
        if(!mkdir($save_path,0777,true)){
            $return_data['error']='上传文件保存目录创建失败,请检查权限!';
            $return_data['return']=false;
            return $return_data;
        }
    }
    //生成一个新的文件名,并将新的文件名和之前获取的扩展名合起来,形成文件名称
    $new_filename=str_replace('.','',uniqid(mt_rand(100000,999999),true));
    if($arr_filename['extension']!=''){
        $arr_filename['extension']=strtolower($arr_filename['extension']);//小写保存
        $new_filename.=".{$arr_filename['extension']}";
    }
    //将tmp目录里面的文件拷贝到指定目录下并使用新的名称
    $save_path=rtrim($save_path,'/').'/';
    if(!move_uploaded_file($_FILES[$key]['tmp_name'],$save_path.$new_filename)){
        $return_data['error']='临时文件移动失败,请检查权限!';
        $return_data['return']=false;
        return $return_data;
    }
    //如果以上都通过了,则返回这些值,存储的路径,新的文件名(不要暴露出去)
    $return_data['save_path']=$save_path.$new_filename;
    $return_data['filename']=$new_filename;
    $return_data['return']=true;
    return $return_data;
    }

2.4 绕过后端getimagesize()检测

此处后端检测手段丰富,具有很强的过滤效果,无法直接上传php脚本文件,但是可以通过构建图片马的方式来获取shell

首先,制作图片马,将恶意脚本文件写入图片之中:

echo "<?php phpinfo();?>" >> eval.png

其次,加载图片马,启动浏览器代理,上传文件:

其次,BurpSuite抓包增加文件幻数,绕过getimagesize()检测

最后,结合文件包含漏洞包含901422638a19e4a4edc568521343.png来getshell即可。

AkangBoy
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Pikachu靶场——文件上传漏洞_pikachu文件上传漏洞,2024年最新网络安全开发中常见的一些问题面试专题
2401_84181481的博客
04-10 746
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
Pikachu靶场文件上传漏洞~保姆级教程!!!
2301_77360738的博客
05-22 632
全网最最最详细的Pikachu靶场Unsafe FileUpload漏洞,看完包会,小白可入!!!
Pikachu靶场——文件上传漏洞
知世郎
08-21 1574
​ 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞
文件上传漏洞pikachu靶场中的文件上传漏洞通关
最新发布
qq_68163788的博客
05-28 2089
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。
Pikachu靶场——文件上传漏洞(Unsafe upfileupload)
来日可期的博客
10-04 1975
文件上传Web应用必备功能之一,如头像上传,附件分享等。如果服务器配置不当或者没有进行足够的过滤,Web用户就可以上传任意文件,包括恶意脚本文件,exe程序等等,这就造成了任意文件上传漏洞
最新upload-labs文件上传漏洞靶场搭建安装,upload-labs Pass01-Pass20 二十关详解靶场源码详解,upload-labs第一关到第二十关详解,一句话木马详细介绍
2302_80946742的博客
04-16 1446
在开始打靶场之前,我们先来介绍一下一句话木马。一句话木马(One-liner Trojan 或 Webshell)是一种常见的网络安全攻击工具,通常用于Web服务器的非法控制。它称为“一句话”,因为攻击者只需在目标服务器上的一个可访问的Web页面中植入一小段代码,就可以实现对服务器的远程控制。这种木马通常以PHP、ASP、JSP等服务端脚本语言的形式出现,因为这些语言能够在服务器上执行。一句话木马的代码很简短,但功能却非常强大,能够接收远程命令并在服务器上执行这些命令。?
pikachu文件上传
qq_62078839的博客
04-03 2550
Client check 打开靶场尝试直接上传一句话木马发现无法上传 正在上传…重新上传取消 又看到此道题目题名为Client check,猜想是在前端上传文件进行判断,我们直接禁止使用js,再尝试上传文件,发现上传成功 正在上传…重新上传取消 使用phpinfo()来确认木马的可用性 正在上传…重新上传取消 MIME type 正在上传…重新上传取消 这里我们看到标题是MIME type就可以想到通过更改文件content-type来成功上传小马 正在上传…重新上传取消 成功上
pikachu靶场全通关教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu靶场环境
02-12
在"Pikachu靶场"中,用户通常会遇到各种网络安全挑战,包括但不限于Web应用漏洞挖掘(如SQL注入、XSS跨站脚本攻击、文件包含漏洞等)、网络服务漏洞利用(如FTP、SMTP、SSH等服务的漏洞)、密码学概念应用(如加密与...
pikachu-master靶场
07-14
这个压缩包文件“pikachu-master”很可能包含了该靶场的所有源代码、配置文件、测试环境和其他相关资源。 在网络安全领域,靶场是模拟真实网络环境的训练平台,用户可以在其中进行安全测试和实验,而不会对实际网络...
pikachu靶场,可用于web渗透练习
05-19
1. **基础漏洞**:Pikachu靶场涵盖了常见的Web漏洞,如SQL注入、XSS跨站脚本、文件包含、命令注入等。通过这些挑战,用户可以学习到如何识别和利用这些漏洞。 2. **认证与授权**:靶场中可能包含对用户认证和权限...
pikachu靶场-7 不安全的文件下载和上传
weixin_52180702的博客
12-13 1020
很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件。但是,如果文件下载功能设计不当,则可能会导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他的敏感文件。文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。
文件上传漏洞pikachu靶场实操(全网最详细最全面)
qq_64652650的博客
10-18 848
文件上传漏洞实操
文件上传漏洞及upload靶场详细思路wp
2301_77004573的博客
07-26 911
1.先判断存不存在客户端防护(js检查),有的话之后所有步骤都需注意不能直接传php文件2.如果把做题流程比作一棵树,那么其中的主体方法就是树干,细节上的附加绕过就是树叶主体的做题方法(树干)有:解析漏洞,包含漏洞,00截断,条件竞争,二次渲染细节的树叶有:特殊后缀上传,大小写绕过," . / 空格"绕过,::$DATA绕过,双写绕过,MIME绕过,GIF89a文件头绕过而在做题时就是要以树干为主体,为树干补充好树叶,最后达成完美绕过
文件上传漏洞(一) upload-labs靶场练习
好好睡觉
03-18 5600
常见文件上传漏洞类型总结、upload-labs靶场
PortSwigger web实验室(BurpSuit官方靶场)之文件上传漏洞
weixin_60677557的博客
01-31 1176
文件上传漏洞是指Web服务器允许用户将文件上传到其文件系统,而无需充分验证其名称,类型,内容或大小等内容。如果没有适当地执行这些限制,可能意味着即使是基本的图像上传功能也可以用来上传任意和潜在危险的文件。这甚至可以包括支持远程代码执行的服务器端脚本文件。在某些情况下,上传文件的行为本身就足以造成损害。其他攻击可能涉及对文件的后续HTTP请求,通常是为了触发服务器执行该文件。
pikachu靶场分析笔记
RestoreJustice的博客
03-16 952
敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。测试发现,这里输入kobe可以显示,输入kobe’ and 1=1#时也显示,但输入kobe’ and 1=2#时显示不存在,说明,kobe肯定为真的,只要and后面也为真,则返回kobe结果。这样就不会刷新验证码。只要我们爆破时,把上一次的请求响应包中的token值当作这一次的token一起提交到服务端即可完成token验证,也就达到了爆破的目的。
文件包含漏洞详解
热门推荐
m0_55854679的博客
03-12 1万+
文章目录File Inclusion(文件包含)概述漏洞产生原因漏洞特点注小知识文件包含函数includerequireinclude_oncerequire_once文件包含示例pikachu靶场本地文件包含漏洞演示pikachu靶场远程文件包含漏洞演示文件包含漏洞的利用PHP伪协议(文件包含漏洞常用的利用方法)文件包含漏洞的防范措施phpMyadmin靶场练习 File Inclusion(文件包含)概述 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件
pikachu靶场文件上传漏洞挖掘怎么防御
04-03
文件上传漏洞是一种常见的安全漏洞,攻击者可以通过上传恶意文件来执行任意代码或者敏感信息。为了防御文件上传漏洞,可以采取以下措施: 1. 验证文件类型和文件名:在后端对上传的文件进行验证,确保文件类型和文件名符合预期。可以使用文件扩展名、MIME类型等方式进行验证。 2. 限制文件上传路径:将上传文件保存在指定的目录下,并限制上传路径的访问权限,避免上传文件到可执行目录或者敏感目录。 3. 文件内容检查:对上传的文件进行内容检查,可以使用文件头部信息、文件内容的特征等方式进行检查,确保文件内容的合法性。 4. 文件大小限制:限制上传文件的大小,避免上传过大的文件导致服务器资源耗尽。 5. 安全配置:确保服务器的安全配置正确,禁用不必要的文件上传功能,限制上传文件的大小和类型。 6. 文件重命名:将上传的文件重命名,避免使用原始文件名,防止攻击者利用文件名进行攻击。 7. 定期更新和维护:及时更新服务器和应用程序的补丁,修复已知的漏洞,保持系统的安全性。 8. 安全审计:定期进行安全审计,检查系统中是否存在文件上传漏洞,并及时修复。 通过以上措施,可以有效防御文件上传漏洞,提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值