【漏洞靶场】文件上传后端检测双写绕过--upload-labs

最新推荐文章于 2024-07-23 23:17:15 发布
最新推荐文章于 2024-07-23 23:17:15 发布
阅读量1.1k 收藏
点赞数
分类专栏: 漏洞发现-文件上传 文章标签: php 安全 web安全 系统安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46344990/article/details/124485572
版权

一、漏洞描述

在upload-labs第十一关中,服务器脚本才用了黑名单的形式检测非法文件后缀,用了一系列函数来取得文件后缀名。使用str_ireplace()函数将非法后缀替换为空函数意思是使用一个字符串替换另一个字符串中的一些字符,对大小写不铭感。因为只替换一次,可以采用双写文件后缀的方法绕过检测。

二、漏洞发现

先在本地写php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php

直接看第十一关的代码,先用file_exists函数判断文件是否存在,array数组函数中就是服务器的黑名单,几乎包含过滤了所有非法后缀。

trim() 函数:移除字符串两侧的空白字符或其他预定义字符。这里将上传的文件名去掉两边的字符串

str_ireplace()函数:使用一个字符串替换字符串中另一些字符串,对大小写不敏感,所以不能用windows的大小写不敏感的默认属性绕过。将只要是黑名单中包含的后缀替换为空。

str_replace()函数:和str_ireplace只有一个区别,就是这个对大小写敏感

若我将z.php上传后,通过这个函数,我的脚本文件会变得没有后缀。所以就算上传上去也没用,不可执行。

经过上面的处理,img_path定义了上传到的路径,看后面它直接将我原文件的名字做上传完成的文件名字,没有加一些什么随机数的改变。

$_FILES['myFile']['name']文件上传时候本身的名字,用户定义的名字

$_FILES['myFile']['tmp_name'] 文件被上传后在服务端储存的临时文件名,一般是系统默认

但是还是有办法绕过的,我可以将文件后缀改为z.pphphp,当通过str_ireplace函数的时候,因为从前向后遍历过滤。我的文件名字就会变为z.php。过滤的是中间的php。

三、漏洞利用

用burp抓包,将z.php改包为,z.pphphp成功绕过并且上传,因为靶场会将上传的图片文件返回展示给用户。通过响应包可得上传后的文件路径。

成功利用脚本,获取服务器配置信息。也可上传一句话木马,通过蚁剑,菜刀等后门工具链接获取webshell。

Edward Hopper
关注
专栏目录
【CTFHub】 文件上传双写绕过
cx_sam的博客
08-06 2506
CTFHub WEB 文件上传
CTFHub技能树web(持续更新)--文件上传--双写绕过
jiuyongpinyin的博客
12-01 592
双写绕过 题目提示双写绕过,首先我们上传一个一句话: 发现后缀被过滤掉了,构造双写的后缀: 上传成功,使用蚁剑或菜刀,获得flag: 注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正。 ...
文件上传绕过(基于upload-labs)
最新发布
weixin_74761057的博客
07-23 756
文件上传的过滤前端检测:浏览器禁用js即可绕过MIME类型检测修改MIME类型为合法类型即可常见的MIME类型超文本标记语言.html文件:text/html普通文本.txt文件:text/plainPDF文档.pdf:application/pdfPNG图像.png:image/pngGIF图像.gif:image/gifJPG图像.jpg:image/jpgMPEG文件.mpg、.mpeg:video/mpeg后缀名检测| 黑名单。
漏洞靶场文件上传后端检测get%00绕过白名单--upload-labs
m0_46344990的博客
04-29 723
一、漏洞描述 在uplaods-labs的第十二关中,服务器采用了白名单验证,意思为只能上传规定范围内的文件后缀。又将上传后的文件名改为了随机数。但是因为服务器上传路径用get方式可控,且php版本小于5.3.4还得magic_quotes_gpc需要off状态。可以利用%00截断服务器后面拼接路径达到绕过。 二、漏洞发现 先在本地写php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php 直接来看服务器的代码。 strrpos()函数:查找字
文件上传--Upload-labs--Pass10--双写绕过
2302_79800344的博客
02-19 798
双写绕过str_ireplace()函数
文件上传————ctfhub之双写绕过
qq_45655564的博客
05-29 696
CTFHub 文件上传——双写绕过 可以看到源代码 $name = basename($_FILES['file']['name']); $blacklist = array("php", "php5", "php4", "php3", "phtml", "pht", "jsp", "jspa", "jspx", "jsw", "jsv", "jspf", "jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer", "swf",
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
### 渗透测试上传漏洞经典靶场学习-upload-labs #### 第一关:绕过前端JS限制 **漏洞概要**:此关卡中的漏洞主要体现在仅在前端JavaScript脚本中进行文件类型的简单验证,而服务器端(后端)并未进行任何有效的...
手把手教你玩转upload-labs靶场(1--20关超详细保姆级)
weixin_52796034的博客
08-23 851
Upload-labs靶场是一个内容全面且开源的PHP文件上传漏洞训练场所。它以真实的文件上传漏洞场景为基础,为安全研究人员和开发人员提供了一个实践和学习的平台。靶场提供了多种不同类型的漏洞场景,涵盖了文件类型绕过、文件名绕过、MIME类型绕过、大小限制绕过等多个方面。每个场景都有详细的解题思路和说明,帮助用户深入理解漏洞的原理和利用方式。通过上传恶意文件,用户可以亲身体验漏洞的利用技巧,并学习如何防范这些漏洞Upload-labs靶场不仅提供了实践性,还提供了防御机制的实践,帮助用户全面了解如何保护系统
文件上传upload-labs(一)
01-08
文件上传漏洞是网络安全领域中常见的安全问题,它允许攻击者通过上传恶意文件(如木马、病毒或恶意脚本)来绕过服务器的安全检查,并执行任意代码。这种漏洞的存在可能导致服务器被控制,数据泄露,或者成为其他攻击...
文件上传绕过总结(附upload-labs 21关通关教程)
一期一会的博客
02-11 3702
0x01 前端绕过(Less-1) 数据上传后为提交到服务器,而是由于网站页面的js对其进行过滤,确认是否可以上传,删除限制上传js规则即可。 0x02 后端绕过 1.黑名单绕过 1) 上传特殊可解析后缀 (Less-3) 按照往常改后缀为php发现不允许上传.asp,.aspx,.php,.jsp后缀文件!黑名单 尝试php2、php3、php4等特殊后缀 2) 上传.htaccess (Less-4) $deny_ext=array黑名单中没有限制.htaccess后缀的文件,因此使用.htacc
27-3 文件上传漏洞 - 文件类型绕过后端绕过
weixin_43263566的博客
03-17 313
MIME类型由类型和子类型组成,中间由斜杠分隔,例如"text/html"表示HTML文档,"image/jpeg"表示JPEG图像等。MIME类型通常用于Web服务器和浏览器之间传输文件时确定文件的正确处理方式,比如指示浏览器将文件下载或者用特定程序打开。当服务器无法识别文件类型或者不知道如何处理特定类型的文件时,通常会使用application/octet-stream作为默认的MIME类型,将文件视为二进制流数据。当服务器无法确定特定文件的MIME类型时,通常会将其视为普通文本文件来处理。
Upload-labs文件上传漏洞双写绕过)——Pass10
Zichel77的博客
07-28 1002
0×00 题目概述 所以说是双写吗? 0×01 源代码 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv",.
28-2 文件上传漏洞 - 双写绕过
weixin_43263566的博客
03-19 357
在代码编写过程中,双写绕过原理指的是只对黑名单中的内容进行一次空替换。由于只进行一次替换,导致了双写绕过的情况。具体来说,这种绕过技术可以通过在文件名后面添加额外的字符来实现。例如,将黑名单中的后缀名替换为空,而实际上添加了额外的字符(比如"pph"),使得最终文件后缀名变为。这种方法利用了只替换一次的特性,在绕过黑名单检测的同时保留了原本的文件类型(如。正常的上传一个php文件看看。
渗透测试-文件上传双写文件名和::$DATA绕过(四)
lza20001103的博客
04-17 3616
渗透测试-文件上传双写文件名和::$DATA绕过
文件上传绕过】十、利用后缀名双写绕过
ssrf
10-11 2673
文章目录一、实验环境二、源码三、双写后缀进行绕过 一、实验环境 服务端对敏感后缀名替换为空 本pass会从文件名中去除.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.asp
文件上传绕过
weixin_43271438的博客
10-01 884
黑名单绕过: 第一种:大小写绕过:打开上传界面,弹出“不能上传php文件”的提示,猜测是通过客户端黑名单来限制上传文件的类型。修改文件扩展名为.PhP,利用大小写绕过 第二种:修改为*.php3 php5 php.abc 第三种:先上传一个带有一句话木马的文件,再上传一个解析的文件 `<FilesMatch "abc.jpg">` //匹配名称中带有abc.jpg的文件 `Set...
文件上传常用绕过方式
weixin_43077878的博客
04-02 3410
1.前端。
Upload-Labs上传绕过
weixin_50464560的博客
05-21 941
环境 upload-labs为上传漏洞测试,除了上传漏洞外,测试过程也依托中间件的解析漏洞,所以选用的不通中间件可能测试部分会有略微不同,我用的phpstudy,所以中间件是apache。 靶机环境:https://github.com/c0ny1/upload-labs 操作系统:windows php版本:推荐5.2.17(其他版本可能会导致部分Pass无法突破) php组件:php_gd2、php_exif(部分Pass需要开启这两个组件) apache:以moudel方式...
PHPApache环境下部署upload-labs漏洞靶场教程
PHPApache环境中部署upload-labs是一款针对Web开发人员进行安全实践和学习的文件上传漏洞靶场工具。这个开源项目主要用于模拟和测试开发者在实际应用中可能遇到的文件上传漏洞情况,以便提高安全意识并提升防护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Edward Hopper

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值