文件上传之%00截断(00截断)以及pikachu靶场

已于 2024-10-04 22:40:21 修改
阅读量529 收藏 4
点赞数 7
文章标签: 学习
于 2024-10-04 22:18:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74741186/article/details/142706427
版权

pikachu的文件上传和upload-lab的文件上传

目录

mime type类型

getimagesize

第12关%00截断,

第13关0x00截断

差不多了,今天先学文件上传白名单,在网上看了资料,差不多看懂了,但是还有几个地方需要实验一下,有请我们pikachu靶场登场,ok呀做题,我爱做题,我爱说实话

英文不会。先翻译一下,搞错了,pikachu好像没有文件上传白名单

没事的,把这个靶场也打一遍,

mime type类型

 先看mime type教程MIME 类型 | 菜鸟教程 (runoob.com),这个也是非常简单,意思是只对content-type的内容做了简单的验证,验证是否为图片类型,应该是后端验证吧,毕竟传给服务器了,ok呀这个好像前端验证都没有做,直接可以选择php文件

好像还要把application改成image,content-type: image/png

蚁剑就不连了,路径拼接就好了vul/unsafeupload/uploads/test.php,你妹的,被杀毒软件杀了,我就说半天找不到文件了

pikachu还有一个文件上传的题目,是这个

getimagesize

这个更简单了,只需要在文件头加上个GIF89a的图片格式就好了

ok呀,话不多说直接上uploads靶场第12关好吧

第12关%00截断,

主要是用于get类型(post类型由于不会url编码,所以是0x00截断,0x表示16进制)

前置知识

利用条件(参考文章WEB-00截断与%00截断 | wh1te (lddp.github.io)

利用条件
00截断的限制条件是PHP<5.3.29,且GPC关闭。

%00截断
url中的%00(只要是这种%xx)的形式,webserver会把它当作十六进制处理,然后把16进制的hex自动翻译成ascii码值“NULL”,实现了截断burpsuite中16进制编辑器将空格20改成了00。本质上来说,都是利用0x00是字符串的结束标识符,进行截断处理。

ok呀也是不太明白,但是我好像知道单引号在url会自动转化为%27,

所以%27就是assci值中的单引号,ok呀,同理那%00就是assci值中的null字符

就不继续深入思考了,明白了这个,就开始做题

ok啊,上传了个文件,发现他自动把我文件名改了,也只能上传jpeg、png格式的

把Content-Type: image/png改成这样也不行,发现是 白名单上传

继续看代码,在网上找的文章也是没看太懂啊

 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

网上说这是get就是%00,是post就是0x00,

12关源代码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

但是burp又是post传过去的,怎么又是get呢,ok不想分析,在去网上找一下,没找到,就时看

 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;是get还是post,

但是我在实战中怎么看他是post传参还是get传参

好了,直接在要拼接的地方加上我们的test.php%00,后面随机产生的名字就被忽略了

第13关0x00截断

ok呀,好像发现了,这一关和上一关不一样,这一关好像是在代码里面,上一关在url头中,

按照这么理解的话,在url头中是get传参,代码里是post传参吗,

先在php里加上个a,然后再hex找到a,把61改成00,记着要把test.php改成test.png,因为后端会检测图片的格式,但是他又会拼接内容,如果他不拼接路径,是不是就没有这个漏洞了

我把a的61改成00了,这里是16进制,00也就是0x00(0x就是16进制的意思)

然后后面的要拼接的路径都被0x00忽略了,最后就是test666.php了

上传成功

不灭锦鲤
关注
Pikachu靶场文件上传漏洞详解
m0_46467017的博客
05-23 5910
Pikachu靶场之不安全的文件下载漏洞详解前言文件包含漏洞简述什么是文件上传漏洞?文件上传的原理文件上传漏洞有哪些危害文件上传漏洞如何查找及判断第一关 client check绕过方法问题分析第二关 MIME type绕过方法问题分析第三关 getimagesize绕过方法问题分析 前言 本篇文章用于巩固对自己文件上传漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu Unsafe Fileupload 不安全的文件上传(皮卡丘漏洞平台通关系列)) 文件包含漏洞简述 什么是文件上传漏洞
Pikachu靶场——文件上传漏洞
知世郎
08-21 1652
​ 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞。
Pikachu靶场之文件包含漏洞详解
m0_46467017的博客
05-19 7016
Pikachu靶场之文件包含漏洞详解前言文件包含漏洞简述1.漏洞描述2.漏洞原因3.漏洞危害4.如何防御第一关 File Inclusion(local)1.尝试读取"隐藏"文件2.读取不同文件夹文件3.读取系统文件4.结合文件上传getshell第二关 File Inclusion(remote)包含写木马的文件 前言 本篇文章用于巩固对自己文件包含漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu File Inclusion 文件包含漏洞 (皮卡丘漏洞平台通关系列) 链接: 【
Pikachu靶场——文件包含漏洞(File Inclusion)
来日可期的博客
10-05 9047
大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。 但是有些时候文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞。
Pikachu靶场全级别通关教程详解
weixin_52385170的博客
12-02 4万+
Pikachu靶场通关教程,超详细,欢迎评论区留言,一起进步
pikachu靶场通关
热门推荐
无言道的博客
12-03 6万+
皮卡丘靶场详解,有什么问题可以在评论区留言。
Web文件包含/上传/下载漏洞-pikachu靶场
qq_43936524的博客
10-16 520
文章目录文件包含漏洞文件包含漏洞概述文件包含函数实例本地文件包含漏洞远程文件包含漏洞文件下载漏洞文件下载漏洞概述实例文件上传漏洞文件上传漏洞概述文件上传漏洞测试流程 文件包含漏洞 文件包含漏洞概述 在web后台开发中,程序员往往为了提高效率以及让代码看起来更加简洁,会使用“包含”函数功能。 比如把一系列功能函数都写进fuction.php中,之后当某个文件需要调用的时候就直接在文件头中写上一句<?php include fuction.php?>就可以调用函数代码。 但有些时候,因为网站功能需求
pikachu笔记之文件上传漏洞
weixin_53255260的博客
08-07 1045
一、概述 一般web站点会有用户注册功能,而当用户登入之后大多数情况下都会存在类似头像 上传、 附件上传一类的功能,这些功能点往往存在上传验证方式不严格的安全缺陷,是在web渗透中非常关键的突破口,只要经过仔细测试分析来绕过上传验证机制,往往会造成被 攻击者直接上传 web后门,进而控制整个 web业务的控制权,复杂一点的情况是结合 web server的解析漏洞来上传后门获取权限。 上传漏洞主要的产生原因,是由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致攻击者能够向某个可通过
pikachu靶场通关(下)
qq_65950075的博客
04-17 723
一、什么是RCE? RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。1、远程系统命令执行 出现原因:因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如常见的路由器、防火墙、入侵检测等设备的web管理界面上,一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。而如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想不到”的命令,从而控制整
网络安全实验-文件上传漏洞、文件包含漏洞、CSRF漏洞
qlbahuang的博客
07-21 1040
网络安全实验:文件上传,文件包含,CSRF
Pikachu靶场——文件上传漏洞_pikachu文件上传漏洞,十年网络安全编程开发生涯
m0_60226911的博客
04-18 1003
​ 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞。
pikachu靶场练习通关加知识点总结
qq_45584159的博客
12-11 7868
pikachu靶场练习 文章目录pikachu靶场练习前言一.暴力破解1.1 基于表单的暴力破解1.2验证码绕过(on sever)1.3验证码绕过(on client)1.4tokon防爆破二、xssxss概述DOM:文档对象类型xss形成的原因:xss漏洞的测试流程:1.1反射型xss(get)1.2反射型xss(post)三.CSRF四.SQL注入五.RCE六.文件包含七.不安全的文件下载八.越权九.目录遍历十.敏感信息泄露十一,PHP反序列化十二.XXE十三.重定向十四.SSRF十五.管理工具
太厉害了,终于有人能把文件上传漏洞讲的明明白白了
m0_67403272的博客
07-30 303
大部分站点都具有文件上传功能,例如头像更改,文章编辑,附件上传等等。文件上传漏洞是指文件上传功能没有对上传的文件做合理严谨的过滤,导致用户可以利用此功能,上传能被服务端解析执行的文件,并通过此文件获得执行服务端命令的能力。...
web网站的任意文件上传下载漏洞解析
CoffeMilk的博客
09-17 1247
大部分的Web网站都拥有文件上传文件的接口(允许上传图片、视频、头像、文档等其他类型的文件到服务器上);但是如果Web网站的开发人员并没有对上传的文件相关参数、内容信息进行严格的过滤防护,未对安全进行考虑;那么攻击者就可以通过一些方法将恶意文件上传到服务器上,然后通过上传的恶意文件来访问甚至控制整个服务器。 一般来说攻击者上传的恶意文件被称为网页后门(即WebShell)是一种木马程序,该后门的功能非常强大(可以进行查看服务器目录、服务器文件、执行系统命令、拉取或删除服务器文件等操作)。
【信息安全】pikachu-SQL注入篇
Nicky_Zheng的博客
09-02 381
数字型注入 使用 1 or 1=1#探测,使用burpsuite截断post请求,修改提交的请求 使用 1 or 1=2#探测,使用burpsuite截断post请求,修改提交的请求 说明该处存在SQL注入 接下来需要使用order by 判断列数 oder by 2返回结果正常,说明只有2列 确认列数后,可使用union select获取数据库名、用户名 1 union select database(),user()# 通过information_schema获取当前数据库表名 根据表名
深度学习每周学习总结J1(ResNet-50算法实战与解析 - 鸟类识别)
最新发布
qq_33489955的博客
10-04 665
数据导入及处理部分:本次数据导入没有使用torchvision自带的数据集,需要将原始数据进行处理包括数据导入,查看数据分类情况,定义transforms,进行数据类型转换等操作。划分数据集:划定训练集测试集后,再使用torch.utils.data中的DataLoader()分别加载上一步处理好的训练及测试数据,查看批处理维度.模型构建部分:resnet-50。
Go基础学习08-并发安全型类型-通道(chan)深入研究
FLJS_T的博客
09-28 892
在前面学习中了解到对于单值变量,如:int、string;多值变量,如:map存在多协程对资源竞争的并发问题,为了解决并发性通常需要引入sync.Mutex解决。>对于通道的基本声明方式有三种:声明并初始化带缓冲的通道(ch1);声明并初始化一个不带缓冲的通道(ch2);仅仅声明一个通道(ch3) >什么是通道:==一个通道相当于一个先进先出(FIFO)的队列。也就是说,通道中的各个元素值都是严格地按照发送的顺序排列的,先被发送通道的元素值一定会先被接收。Select和for循环实现对channel的多次选
10.2学习
2401_87363162的博客
10-02 1105
​ Spring AOP就是基于动态代理的,如果要代理的对象,实现了某个接⼝,那么Spring AOP会使⽤JDKProxy,去创建代理对象,⽽对于没有实现接⼝的对象,就⽆法使⽤ JDK Proxy 去进⾏代理了,这时候Spring AOP会使⽤基于asm框架字节流的Cglib动态代理 ,这时候Spring AOP会使⽤ Cglib ⽣成⼀个被代理对象的⼦类来作为代理。每个线程中都有一个自己的ThreadLocalMap类对象,可以将线程自己的对象保持到其中,各管各的,线程可以正确的访问到自己的对象。
从0学习React(3)
qq_54432917的博客
09-29 692
在第一篇文章中,我们对index.tsx文件的每一行代码都做了简单的分析。通过第一篇文章的总结,我也大致知道了index.tsx里的很多语法。而第二篇文章,我对index.tsx文件的框架做了一个大致的分析,通过第二篇文章,我对index.tsx有了进一步的认识。按理来讲,第三篇文章我还是解析index.tsx文件,但是我发现,对于前两篇文章,其实我对语法的细节有很多不明白的点。因此这篇文章,我就把React的一些最基础的知识给梳理一下,帮助我更好的理解index.tsx的代码。
文件上传漏洞%00截断绕过原理
08-26
文件上传漏洞中的%00截断绕过(也称为文件包含注入或路径遍历),是一种常见的安全漏洞,通常发生在允许用户上传文件的应用程序中。当应用程序处理用户上传的文件名或路径时,如果对输入数据的验证不足,恶意用户可能会利用%00(也被称为空字节)字符来构造恶意请求。 原理解析: 1. **正常操作**: 当用户上传文件,例如 "example.jpg",服务器会将其保存到特定目录的 "uploads/example.jpg"。 2. **漏洞利用**: 如果黑客上传 "example%00.php",正常情况下会被解析为 "uploads/example.php"。但%00的存在使得后续的路径可以继续,如 "uploads/../../etc/passwd",这样可能导致服务器读取并显示不应该访问的系统文件。 3. **结果**:黑客实际上上传了一个名为 "example.jpg" 的文件,但实际上包含了额外的路径,可能会暴露敏感信息,造成权限提升或其他安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值