upload 通关pass16-pass20

最新推荐文章于 2024-05-30 12:54:24 发布
最新推荐文章于 2024-05-30 12:54:24 发布
阅读量527 收藏
点赞数
分类专栏: 靶机及靶场通关 文章标签: php 前端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207170/article/details/130044821
版权

1.pass16 白名单 二次渲染

需要先上传一个正常图片,然后下载下来,跟原图片进行比对,用010 16进制编辑器,把php代码放到没有改变的位置,即一样的地方

在这里插入图片描述

访问:
在这里插入图片描述

2.pass17 白名单 条件竞争

在这里插入图片描述
这题先是上传文件并保存该文件,然后在检查后缀,不是允许上传的文件就删除(unlink),可以利用条件竞争在文件删除前在新建一个文件
burp抓包,随便设一个变量,使用intruder模块进行爆破
在这里插入图片描述

观察文件是否产生,使用python去访问
1.php

<?php file_put_contents('2.php','<?php phpinfo()?>'); ?>

python

url='http://192.168.85.120/upload-labs/upload/1.php'
    while True:
        html=requests.get(url=url)
        if html.status_code==200:
        	print('ok')
            break

访问
在这里插入图片描述

3.pass-18 白名单 文件包含图片马

在这里插入图片描述
这题看着很多代码,检查了后缀名所以后缀需要是允许的那几个
myupload.php改一下文件上传的位置
在这里插入图片描述

burp抓包改后缀
在这里插入图片描述

访问
在这里插入图片描述

4.pass-19 黑名单 ./绕过

在这里插入图片描述
通过代码审计,发现保存的文件名可控,这个地方没有检查上传时的文件后缀,即上传时文件后缀是什么也可以,检查的是保存的文件名的后缀,windows流一些特征都可以使用,没有过滤

burp抓包 加上/.,空格,::$data,点都可以绕过
或者%00截断 upload-19.php%00.jpg %00解码upload-19.php .jpg
需要小于5.3.4,且magic_quote_gpc为off
访问在这里插入图片描述

5.pass-20 白名单 数组绕过

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {

        $is_upload = false;
        $msg = null;
        if(!empty($_FILES['upload_file'])){
            //mime check
            $allow_type = array('image/jpeg','image/png','image/gif');
            if(!in_array($_FILES['upload_file']['type'],$allow_type)){
                $msg = "禁止上传该类型文件!";
            }else{
                //check filename
                $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
                if (!is_array($file)) {
                    $file = explode('.', strtolower($file));
                }

                $ext = end($file);
                $allow_suffix = array('jpg','png','gif');
                if (!in_array($ext, $allow_suffix)) {
                    $msg = "禁止上传该后缀文件!";
                }else{
                    $file_name = reset($file) . '.' . $file[count($file) - 1];
                    $temp_file = $_FILES['upload_file']['tmp_name'];
                    $img_path = UPLOAD_PATH . '/' .$file_name;
                    if (move_uploaded_file($temp_file, $img_path)) {
                        $msg = "文件上传成功!";
                        $is_upload = true;
                    } else {
                        $msg = "文件上传失败!";
                    }
                }
            }
        }else{
            $msg = "请选择要上传的文件!";
        }
        
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

进行代码审计,刚开始进行了检查mime类型,需要修改为允许的那三种类型
之后判断文件名是不是没有,没有就从文件原先的名字获取,有从post方式获取save_name的值,然后判断文件是不是数组,不是数组就拆分成数组,如果是数组的话,获取数组的最后一个元素,判断是不是那三种图片类型,不是就继续进行移动文件,在移动文件之前需要获取文件名,reset函数把内部指针指向数组中的第一个元素,加上一个.,获取file数组的所有元素数量-1的元素
通过代码可以看出可以使用传入数组
下方传入的数组为一个,数组元素为2个。索引分别为0和2,这样的话文件命令时会使最后一个为空,因为 f i l e [ 1 ] 为空 , 传入索引为 0 元素的值还可以用 w i n d o w s 一些环境特性的值,点空格 : : file[1]为空,传入索引为0元素的值还可以用windows一些环境特性的值,点 空格 :: file[1]为空,传入索引为0元素的值还可以用windows一些环境特性的值,点空格::data,或/.(windows和linux都可以使用)
burp抓包
在这里插入图片描述
访问
在这里插入图片描述
总结:
在这里插入图片描述
参考文章:
pass-20数组绕过

mushangqiujin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
upload(Pass-10~Pass-)
kangzinian的博客
09-26 249
文章目录Pass-10Pass-11Pass-12(失败) Pass-10 查看提示:本pass只允许上传.jpg|.png|.gif后缀的文件! 有预感是白名单,再查看源码 is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".ht
upload(pass01~pass09)
kangzinian的博客
09-26 1675
文章目录Pass-01Pass-02Pass-03Pass-04(未解决)Pass-05(失败)自己的一些尝试:Pass-06Pass-07Pass-08Pass-09 Pass-01 先查看提示: 在客户端使用JS对图片进行检查然后上传。 解决方法:在客户端向服务端发送请求时抓包,对包进行修改,然后发送给服务端。 使用burp进行抓包,抓包内容如下: 把一个php文件的后缀改成jpg上传,在抓包时把filename的参数重新更换为1.php,然后放包。 返回之后,在控制台可以看到,上传的就是我们的p
upload pass20
qq_45106794的博客
11-07 341
$is_upload = false; $msg = null; if(!empty($_FILES['upload_file'])){ //检查MIME $allow_type = array('image/jpeg','image/png','image/gif'); if(!in_array($_FILES['upload_file']['type'],$allow_...
upload-labs文件上传漏洞(Pass-01~Pass-21)
sGanYu
10-09 3084
目录 pass-1(js前端绕过) pass-2(MiMe绕过) pass-3(黑名单绕过) pass-04(.htaccess文件上传) pass-05 pass-06(大小写绕过) pass-07(空格绕过) pass-08(windows特性加点绕过) pass-09(::$DATA绕过) pass-10(点空点绕过) pass-11(双写绕过) pass-12(GET请求00截断) pass-13(POST请求00截断) pass-14(头文件绕过、图片码绕过、文件包含)
upload-labs靶场通关(文件上传漏洞靶场)
Kevin's Blog
05-15 8743
@ 一、靶场介绍   PHP语言编写,持续收集渗透测试和CTF中针对文件上传漏洞的靶场,总共21关,每一关都包含着不同的上传绕过方式。 (绕过点脑图总结:) 二、靶场搭建 2.1 靶机环境 Win2008R2 + PHPStudy2018(php5.2.17) + upload-labs源码 2.2 搭建过程 GitHub项目地址:https://github.com/c0ny1/upload-labs 》》下载 》》将文件解压到PHPStudy站点目录下,并设置建议的php版本5.2.x
upload-labs通关(Pass11-Pass15)
m0_46467017的博客
08-15 599
从下面这段代码的第3和第4行可知,文件名后缀白名单检测的位置是filename参数值,而从第6行可知,本关文件最后保存的路径是由url中save_path的值和一个随机数以及通过filename传入的文件名后缀组成的。本关用getimagesize()函数获取图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度,并将其取出的文件类型信息$info[2]与文件后缀白名单$types进行对比,判断上传的文件是否合法,并将$info[2]作为上传后的文件的后缀名。文件,说明本关是白名单过滤。...
upload通关pass11-15
m0_62207170的博客
04-09 75
upload通关pass11-15
upload-labs通关Pass-11~Pass-15)
箭雨镜屋
10-10 2573
Pass-11 什么鬼,我都做好了上传不成功的准备,结果sh.php居然上传成功了。 一看Response报文,果然事情没有这么简单,后端自动把文件名中的php去掉了,文件名变成sh.了 这样的话,盲猜可以用双写绕过。这关直接在repeater中试一下,就不劳intruder大驾了。 果然,双写php之后,服务器上保存的文件名是sh.php,成功绕过黑名单过滤。 代码分析: 本关代码在文件名中出现黑名单中的字符串时,用str_ireplace()函数替换为啥也没有,但是这个替换它不.
upload-labs通关(Pass16-Pass21)
m0_46467017的博客
08-15 628
2.上传write.php,burp抓包,send to intruder,和上一关一样,positions设置中,不要设置任何注入点,payloads设置中payload type选择null payloads,payload options中genete后面的空格中填写需要发送多少次报文,我这次设置的是10000。然后取数组$file的最后一个元素,与后缀白名单对比,如果不在白名单中,则禁止上传,如果在白名单中,则允许上传,并且文件保存在服务器上的名称为$file[0].$file[元素个数-1]...
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
aliyun-upload-sdk-1.5.0.zip
06-09
aliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-...
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
webpack-upload-plugin:Webpack插件
05-13
webpack-upload-plugin介绍这是的插件。 主要目的是提供一个工具,用于将html(或其他语言的模板)中使用的js / css / img / font上传到cdn,然后将引用替换为相应的cdn url。环境要求节点> = 10.5.0安装npm i -D ...
包含upload-module的nginx-1.21.6的windows平台64位的二进制文件
02-05
包含upload-module的nginx-1.21.6,针对windows平台64位的编译的二进制(exe)文件。 为了upload-module能在window平台编译通过,进行部分代码修改,修改内容详见https://github.com/chnykn/bimface
Steamdeck使用Windows系统游玩雪地奔驰时闪退问题解决方法
fxalll的博客
05-28 446
在github正好有一个叫dxvk的库,能够基于vulkan实现d3d11,因此我们访问https://github.com/doitsujin/dxvk,从 Releases下载dxvk-2.3.1.tar.gz(当前最新版本),解压压缩包,在x64 目录中获取 dxgi.dll 和 d3d11.dll,并将两个dll文件放进Snowrunner.exe根目录所在的位置,再次启动游戏,游戏果然正常运行了。因此我自己分析终于解决该问题。困扰我两天的问题终于解决了,也算这个小众游戏全网的第一个解决方案吧。
PbootCMS后台用户账号密码时进行重置工具
itfans123的博客
05-29 247
2)在浏览器直接访问访问该文件地址,然后按照页面提示输入相关信息进行重置,此处填写的“数据库配置文件”用于重置工具连接数据,如果没有做过特殊改动,一般默认即可,然后输入要重置的账号和新密码,重置后一定要记得删除该工具,切记!1)下载重置工具解压包,解压后将resetpw.php文件直接上传到网站根目录下;使用完之后一定要删除resetpw.php文件!工具用于忘记PbootCMS后台用户账号密码时进行重置。
HackTheBox-Machines--Popcorn
七天
05-28 554
Popcorn 测试过程。
建WordPress主题官网模板
最新发布
xiaoyuya
05-30 282
WordPress主题官网模板
upload-labs靶场通关pass04
09-14
要通过upload-labs靶场的pass04,您需要进行以下步骤: 1. 首先,上传一个符合格式的PHP脚本文件,并将其扩展名改为图片格式。根据引用中的描述,您需要将.htaccess文件上传到服务器。.htaccess文件是Apache服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值