文件上传Upload-labs学习笔记

已于 2022-02-12 00:45:07 修改
阅读量1.1k 收藏
点赞数
文章标签: web安全
于 2022-02-12 00:43:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65244586/article/details/122890969
版权

前言

Upload-labs是一个帮你总结所有类型的上传漏洞的靶场,包括常见的文件上传漏洞,项目地址:

https://github.com/c0ny1/upload-labs

先看下GitHub上的总结:

1、靶机包含漏洞类型分类

在这里插入图片描述

2、如何判断上传漏洞类型

判断上传漏洞类型

第一关

查看源代码,调用的前端js限制上传文件类型

image-20220210200504206

先将php文件命名为.jpg文件,然后上传,抓包修改文件后缀名为.php文件,forword即可。鼠标右键查看图片源码,找到php文件路径,木马连接

image-20220210200821939

第二关

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

上传phpinfo2.php文件,抓包,修改Content-Type内容为 Content-Type: image/jpg

image-20220211005443531

forward,访问上传文件

image-20220211005655236

另外,这一关也可以通过上传phpinfo.png抓包修改为phpinfo.php,因为上传后缀为png时候,这时候

Content-Type默认会是image/png

第三关

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

直接上传php文件,提示:不允许上传.asp,.aspx,.php,.jsp后缀文件!

可以知道是黑名单限制了后缀名,可以尝试用php3,phtml绕过

image-20220211090123795

image-20220211085600101

前提是apache的httpd.conf中有如下配置代码

AddType application/x-httpd-php .php .phtml .phps .php5 .pht .php7等

image-20220211091339123

第四关

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

这一关,可以看到几乎过滤了所有的可利用的文件类型,但是没有过滤.htaccess,可以上传一个.htaccess文件,内容如下:

SetHandler application/x-httpd-php

image-20220211095923684

然后上传后缀为jpg的图片马,也可以正常解析了

image-20220211100032238

第五关

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

同第四关,限制了各种后缀,同时加上了 .htaccess ,但是没有对大小写,直接上传.pHP文件

image-20220211102554896

第六关

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

这关还是黑名单,但是没有对后缀名进行去空处理,可在后缀名中加空绕过:

windows下xx.jpg[空格] 或xx.jpg.这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点此处会删除末尾的点,但是没有去掉末尾的空格,因此上传一个.php空格文件即可。

image-20220211104516013

image-20220211104527789

第七关

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

对比第六关没有去除文件名末尾的点

image-20220211105239669

image-20220211105211631

第八关

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

NTFS文件系统包括对备用数据流的支持。这不是众所周知的功能,主要包括提供与Macintosh文件系统中的文件的兼容性。备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中,此默认数据流称为:$ DATA。上传.php::$DATA绕过。(仅限windows)

image-20220211110756630

image-20220211110839590

第九关

对比上面有个明显的一点就是这里用上传的文件名作为上传后的文件名,未重新命名。

image-20220211112159130

可以利用第7行和第11行,去末尾点和空的方法绕过

image-20220211112532864

image-20220211113048532

第十关

image-20220211113129407

覆写绕过

image-20220211144944210

image-20220211144911747

第十一关

image-20220211145448008

第8行,save_path参数可控,使用%00截断

image-20220211150135290

image-20220211150603860

第十二关

image-20220211150815455

不同于第十一关,第7行save_path参数是用POST方式传递的,这里需要对%00进行url解码,因为POST不会像GET对%00进行自动解码

image-20220211151528898

解码后

image-20220211151759445

image-20220211151328655

第十三关

image-20220211160416177

通过读文件的前2个字节判断文件类型,因此直接上传图片马即可,制作方法:

copy hacker.png/b+phpinfo.php/a muma.png

image-20220211160607033

利用文件包含拿到webshell

image-20220211160513519

第十四关

image-20220211161111956

利用getimagesize()函数获取图像类型,同第十三关,制作图片马

image-20220211161215610

第十五关

image-20220211161330583

利用php_exif模块来判断文件类型,同样可以利用图片马就可进行绕过:

image-20220211161432737

第十六关

在这里插入图片描述

本关综合判断了后缀名、content-type,以及利用imagecreatefromjpg判断是否为jpg图片,最后再做了一次二次渲染,绕过方法:

同样用上面的图片马方法可以绕过

image-20220211162729777

另外制作gif图片马好像更为简单

image-20220211163358092
在这里插入图片描述

第十七关

image-20220211172008079

可以看到文件先经过保存,然后判断后缀名是否在白名单中,如果不在则删除,此时可以利用条件竞争在保存文件后删除文件前来执行php文件

在这里插入图片描述

此时回在upload目录下,不断有phpinfo.php文件出现消失,证明利用该漏洞上传成功了。

另外可以不断抓包请求 ./upload/phpinfo.php证明上传成功了,只不过很快被删了

第十八关

image-20220211231002170

image-20220211231228967

本关对文件后缀名做了白名单判断,然后会一步一步检查文件大小、文件是否存在等等,将文件上传后,对文件重新命名,同样存在条件竞争的漏洞。可以不断利用burp发送上传图片马的数据包,由于条件竞争,程序会出现来不及rename的问题,从而上传成功:

image-20220211231840887

选择空payload,进行爆破

image-20220211232124083

可以在www下面看到有些还未来得及重命名的文件,因此我们可以通过条件竞争来上传图片马。

在这里插入图片描述

第十九关

在这里插入图片描述

发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在save_name利用%00截断绕过:

image-20220212000041977

image-20220212000133547

另外move_uploaded_file会忽略掉文件末尾的/. 因此构造save_name参数为 upload-19.phpjpg/. 也是可以的

第二十关

在这里插入图片描述

可以发现$file_name经过reset($file) . '.' . $file[count($file) - 1];处理。

如果上传的是数组的话,会跳过$file = explode('.', strtolower($file));。并且后缀有白名单过滤

$ext = end($file);
$allow_suffix = array('jpg','png','gif');

而最终的文件名后缀取的是$file[count($file) - 1],因此我们可以让$file为数组。$file[0]upload-20.php/,也就是reset($file),然后再令$file[2]为白名单中的jpg。此时end($file)等于jpg,$file[count($file) - 1]为空。而 $file_name = reset($file) . '.' . $file[count($file) - 1];,也就是upload-20.php/.,最终move_uploaded_file会忽略掉/.,最终上传upload-20.php

image-20220211235414622

image-20220211235459550

明明如月001
关注
文件上传(File-Upload)与下载
weixin_44949182的博客
09-30 1291
文件上传 1.文件或图片的指定路径,用于包含静态资源 便于 动静分离 2.前端代码 input 标签内 type=”file”,表示类型为文件上传或下载类型 对应后台收参类型为 MultipartFile file 3.后端代码 4. 添加商品 –- 添加上传入口 4.1修改商品描述为上传入口 4.2 商品添加的controller里添加 图片上传 的代码 4.3 修改实体...
upload-labs安装及攻略
热门推荐
K_ShenH的博客
01-14 2万+
upload-labs靶场的安装搭建(windows) (1)首先当然是需要phpstudy的环境,所以要先下载安装phpstudy。 (2)然后到github的网址中下载源码的压缩包。 github网址:https://github.com/Tj1ngwe1/upload-labs (3)下载后解压缩到phpstudy目录下的WWW子文件夹中,这里要注意吧压缩包的名字改成upload-labs,不然靶场的页面会显示得不对。 (4)然后在输入url HTTPS:...
使用FileUpload组件实现文件上传
记事本
10-12 3136
使用FileUpload组件实现文件上传 文件上传web应用中非常普遍,要在servlet/jsp环境中实现文件上传功能非常容易,因为网上已经有许多用java开发的组件用于文件上传,本文以commons-fileupload组件为例,为servlet/jsp应用添加文件上传功能。common-fileupload组件是apache的一个开源项目之一,可以从http://jakarta.apa
干货 | 最全的文件上传漏洞之WAF拦截绕过总结
最新发布
lza20001103的博客
09-29 497
干货 | 最全的文件上传漏洞之WAF拦截绕过总结
文件上传upload
wgjfxj99的博客
11-12 577
关卡1 上传一句话木马发现不能上传,用代理抓包抓不到,说明其是js前端验证。. 禁用java上传文件或者直接f12删了代码checkfile()函数,或者在后端加上php格式上传
Upload-Labs-Linux_upload-labs-linux 1,网络安全面试必问
m0_60732644的博客
04-06 980
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
upload-labs 学习笔记(五)Pass 17-21
闵行小鱼塘
09-28 513
继续学习upload-labs,本篇是Pass 17-21,至此upload-labs学习告一段落
upload-labs 学习笔记(四)Pass 12-16
闵行小鱼塘
09-27 418
继续学习upload-labs,本篇是Pass 12-16
Upload-labs-文件上传(11-21)
qq_45927819的博客
01-25 1871
文章目录Pass-11-双写绕过Pass-12-get%00截断Pass-13-post%00截断Pass-14-图片马Pass-15-双写绕过Pass-16-双写绕过Pass-17-双写绕过Pass-18-双写绕过Pass-19-双写绕过Pass-20-双写绕过Pass-21-双写绕过 Pass-11-双写绕过 分析源码我们可以发现这里是将违规的后缀名全部替换成了空,但是他只替换一次,我们可以采用双写绕过。 Pass-12-get%00截断 %00截断的触发条件: 需要php版本<5.3.4,并
upload-labs-writeup-master.zip
10-25
upload-labs实验环境,安装直接解压安装到wwwroot即可,方便简单。
upload-labs 文件上传靶场
weixin_45715461的博客
05-22 313
upload-labs 文件上传靶场
上传文件upload
zy的博客
05-10 968
上传文件 enctype:前端设置上传数据的格式 //第一种:键值对 application/x-www-form-urlencoded //第二种 application/json //第三种:上传 multipart/form-data 后端接口需要的操作 下载插件 npm i multiparty 引入插件(表现成/index.js) //引入path插件 const path = require('path'); //引入multiparty的下载文件插件 const multipart
文件上传upload-labs
qq_26771915的博客
03-27 920
文件上传upload-labs 本文为在学习文件上传后所整理的笔记upload-labs项目地址:https://github.com/c0ny1/upload-labs @pass-01 前端js验证 方法1:将文件后缀改为白名单中的后缀然后利用bp抓包修改为php 方法2:f12查看源代码选择其中和上传文件有关的代码复制到本地生成html格式点击经行上传。要注意生成本地html时需要加上发送地址 即action=‘http://192.168.43.232/upload-labs-mas
Python 渗透测试:编写 文件上传 数据包.(传入数据)
网络安全领域___专研者.
05-20 527
文件上传漏洞是一种常见的 Web 应用程序漏洞,它发生在应用程序允许用户上传文件时。这种漏洞可能会给系统带来严重的安全隐患。
upload上传文件
yixiaojing527的博客
09-13 240
https://segmentfault.com/a/1190000013796215
文件上传 Upload-labs
qq_61768489的博客
02-07 1682
Pass-01 不能使用php文件,这里是前端绕过js过滤,有几种方式,但我还是只用能bp实现、 将包含webshell的php文件重命名为png,在上传的过程中使用bp拦截并修改后缀,实现绕过js验证 Pass-02 Pass-03 Pass-04 Pass-05 Pass-06 Pass-07 Pass-08 Pass-09 Pass-10 Pass-11 Pass-12 Pass-13 Pass-14 Pass-15 Pass-16 Pass-17
文件上传下载
weixin_58414150的博客
08-11 750
文件上传下载,java代码实现,Spring框架在spring-web包中对文件上传进行了封装,大大简化了服务端代码,我们只需要在Controller的方法中声明一个MultipartFile类型的参数即可接收上传的文件。
Upload-labs靶场攻略:文件上传漏洞分析
"Upload-labs通关手册.pdf - 一个关于渗透测试的靶场平台,专注于文件上传漏洞的学习与实践。" Upload-labs是一个专门为安全研究人员和渗透测试者设计的在线靶场,它涵盖了各种类型的文件上传漏洞,帮助用户了解并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值