uoload-labs pass1-21关详解

最新推荐文章于 2024-04-18 12:13:41 发布
最新推荐文章于 2024-04-18 12:13:41 发布
阅读量738 收藏 3
点赞数
分类专栏: 靶机靶场 文章标签: upload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qlqlulu/article/details/111769160
版权

文章目录

第一关

发现有一个checkFile()函数,推测可能是这个函数进行判断的,我们把它删除后再上传。
上传成功
在这里插入图片描述

第二关

仅仅判断content-type,于是修改content-type绕过:
在这里插入图片描述在这里插入图片描述在这里插入图片描述

第三关

发现是黑名单判断,于是尝试用php3,phtml绕过
在phpstudy的配置文件httpd-conf取消注释
在这里插入图片描述在这里插入图片描述

第四关

虽然还是黑名单,但几乎过滤了所有有问题的后缀名,除了.htaccess,于是首先上传一个.htaccess内容如下的文件:

在这里插入图片描述再上传图片马
在这里插入图片描述

第五关

还是黑名单,加上了.htaccess,但是没有将后缀进行大小写统一,于是可以通过大小写绕过:
windows忽略大小写
直接在后面干数字
在这里插入图片描述

第六关

还是黑名单,但是没有对后缀名进行去空处理,可在后缀名中加空绕过:
php文件后缀大小写
在这里插入图片描述

第七关

后面加"."
在这里插入图片描述

第八关

后缀加点,这里加俩
在这里插入图片描述

第九关

后缀加::$DATA
在这里插入图片描述

第十关

黑名单过滤,注意第15行和之前不太一样,路径拼接的是处理后的文件名,于是构造info.php. . (点+空格+点),经过处理后,文件名变成info.php.,即可绕过。
在这里插入图片描述

第十一关

依旧是黑名单过滤,注意到,这里是将问题后缀名替换为空,于是可以利用双写绕过:
在这里插入图片描述在这里插入图片描述

第十二关

.条件:php版本小于5.3.4 2、php.ini的magic_quotes_gpc为OFF状态
知识点:这里利用的是00截断。move_uploaded_file函数的底层实现类似于C语言,遇到0x00会截断。
看到是白名单判断,但是$img_path直接拼接,因此可以利用%00截断绕过
在这里插入图片描述

第十三关

这题和上一题基本一样,只是save_path不在URL中了,而在POST数据里面,由于POST里面的数据不会被url自动解码,所以要稍微改变一下,首先,先改好路径,然后再路径后面加上一个字符,什么字符都可以,这里我为了方便用+号。

因为是十六进制所以这种截断叫做是0x00截断,其实是%00截断最终被url解码还是会变成0x00的。在url中%00表示ascll码中的0,而ascii中0作为特殊字符保留,表示字符串结束,所以当url中出现%00时就会认为读取已结束。这是一样的道理,所以这里还有另外一种做法。
在这里插入图片描述在这里插入图片描述

第十四关

需要上传图片木马
在这里插入图片描述
正常是可以上传上的,因为本身就是jpg格式
在这里插入图片描述访问查看居然是正常页面
在这里插入图片描述以文本方式打开图片马,发现php代码前面为乱码
在这里插入图片描述再木马文件前面随便加几个
在这里插入图片描述
合成新的木马文件
在这里插入图片描述
上传后使用DVWA的文件包含查看
在这里插入图片描述

第十五关

和上一关差不多
在这里插入图片描述

第十六关

估计下载的源码错误,点击上传显示空页面上传页面的框架内什么也没有,所以放弃。

第十七关 二次渲染

上传图像成功再下载下来
在这里插入图片描述上一关在图片马最后输入的php代码没有了
找个空的地方输入php代码
没用十六进制工具,尝试可不可以
在这里插入图片描述好像废掉了
在这里插入图片描述使用十六进制试试
在这里插入图片描述吐了,又废了
用这个方法试了一个gif文件成功了
在这里插入图片描述

第十八关

上传php文件,抓包
发送到intruder,情书$变量
在这里插入图片描述设置没有载荷,无限期循环,开始攻击
在这里插入图片描述python启动脚本文件
在这里插入图片描述
命令行运行
Python 脚本名.py
上传成功返回ok
第十九关(条件竞争)
代码可以看出,代码先检查后缀,然后上传文件,然后更改文件名。这里又有条件竞争,在文件改名之前访问到它就行(配合文件解析漏洞)
我去看了看checkExtension()函数的代码
checkExtension()函数检查最后一个点之后的文件名,也就是后缀,存在文件解析漏洞

上传123.php.xxx ,在后缀后面再加个后缀,我直接上传的图片马就成功了,看别的教程和上一关一样需要不停跑,这就有点复杂了,图片马不香吗
在这里插入图片描述

第二十关 文件解析漏洞

在这里插入图片描述在这里插入图片描述

第二十一关

相比较于上一关的源码,此处服务器端先是检查了MIME类型,然后判断save_name参数是否为空,为空就把文件本来名称赋值给 f i l e , 否 则 就 是 将 s a v e n a m e 参 数 的 值 赋 给 它 。 紧 接 着 判 断 file,否则就是将save_name参数的值赋给它。紧接着判断 file,savenamefile是否是数组。
如果不是数组则将其拆成数组,然后数组最后一个的值(end函数就是取数组最后一个的值)同白名单做比较,符合jpg、png、gif中的一种就允许上传了。
在允许上传之后还要把数组的值拼接在一起对文件进行重命名。所以我们可以构造save_name[0]=cs.php/ save_name[1]置为空 save_name[2]=jpg(一个白名单的合法后缀)。
这样的话,reset( f i l e ) 取 的 是 数 组 的 第 一 个 元 素 即 c s . p h p / , 然 后 接 了 一 个 ′ . ′ 符 号 , 之 后 又 将 数 组 最 后 一 个 元 素 内 容 拼 接 到 一 起 。 可 能 有 的 人 会 疑 问 数 组 最 后 一 个 值 不 是 j p g 吗 ? 其 实 当 我 们 只 设 置 了 两 个 数 组 元 素 的 时 候 , 数 组 的 元 素 个 数 就 只 有 两 个 了 。 ! [ 在 这 里 插 入 图 片 描 述 ] ( h t t p s : / / i m g − b l o g . c s d n i m g . c n / 20201226210831139. p n g ) 既 然 一 共 只 有 两 个 元 素 , 这 里 就 是 file)取的是数组的第一个元素即cs.php/,然后接了一个'.'符号,之后又将数组最后一个元素内容拼接到一起。 可能有的人会疑问数组最后一个值不是jpg吗?其实当我们只设置了两个数组元素的时候,数组的元素个数就只有两个了。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20201226210831139.png) 既然一共只有两个元素,这里就是 file)cs.php/.jpg![](https://imgblog.csdnimg.cn/20201226210831139.png)file[2-1]也就是$file[1]。因此拼接的就是空的,最终得到的文件名就是cs.php/.。
对于像cs.php/.这样的文件路径,move_uploaded_file()函数会忽略掉文件末尾的/.。如此一来我们上传到服务器的文件还是被重命名为了php后缀。
第一步:上传文件,抓包修改参数
在这里插入图片描述在这里插入图片描述

Abc_Kimball
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
upload-labs 上传训练
09-02
转自GitHub,是一个文件上传演练的靶场,练习文件上传思路轻松加愉快,附带源码查看,以及提示
upload-labs之第一
田田云逸的博客
10-27 4948
一、靶场简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20,每一都包含着不同上传方式。 靶场安装 由于upload-labs 是一个由php 语言编写的靶场,因此需要在php环境下进行使用。我这里推荐用phpstudy集成环境。 靶场项目地址:GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场 将源码下载下来之后,在www目录.
Upload-labs 1-20靶场通攻略(全网最全最完整),想提高开发效率的必看
最新发布
2401_83621541的博客
04-18 428
(这里我不理解,既然要用文件包含,并且文件上传上去后,就算图片重命名了,但图片还是显示出来了,显示出来不就知道了文件路径,直接用文件包含不就直接解析了一句话木马,对吧。我们可以看到img_path是通过get传参传递的,那么我们不妨在这块将路径改掉,改为upload/web.php%00,那么后面不管是什么东西都会被截断掉,然后经过move_uploaded_file函数将临时文件重新复制给我们的截断之前的文件路径,当然,我们还是要上传jpg文件的,使得我们可以进行下面程序的运行。不在则对其进行删除。
upload-labs通
小小明-代码实体的专栏
10-19 1万+
最近,我有个朋友老是反映部署的网站老是被黑客攻击,我看了下就是普通的PHP框架搭建的网站,经过一番排除也清除了木马。为此我专门花1天时间研究一下文件上传漏洞,知己知彼方能百战百胜。这里我选择了一个开源的靶场upload-labs。
生命在于折腾——upload-labs
易水哲的博客
08-25 1031
Upload-labs练习
upload-labs大详解
gankjk的博客
11-03 1万+
第一 前端JS绕过 上传一个php一句话文件(记得改成php格式) 发现不允许上传php类型的,只能上传jpg,gif,pngl的我们打算用burp抓包,先上传jpg的,然后用burp改成php的。 放包后,打开upload文件夹查看上传成功。 第二 MIME-TYPE验证绕过 我们尝试用第一个的方法,发现还是可以直接上传成功,但是这里还有第二种方法。 直接上传php格式的文件,用burp抓包。更改这里的值。 上传php文件时,Content-Type的值是application/octet
upload-labs详细教程
shayebudon的博客
11-09 1万+
第一 js检查 查看源码 由源代码可知,允许上传的文件为.jpg|.png|.gif 我们上传一个.jpg文件 利用burp suite进行抓包 将jpg改为php后,放包 上传成功。 第二Content-Type 查看源码 有源码可知,发现只判断Content-Type类型,所以我们只需修改Content-Type进行绕过即可 首先上传php文件,抓上传包 将箭头所指的内容改为image/jpeg或image/png或image/gif后...
upload-labs通攻略(更新中)
weixin_68070435的博客
03-13 2544
1.靶场介绍upload-labs是一个使用php语言编写,专注于文件上传漏洞的靶场。该靶场可以让练习者了解文件上传漏洞的原理、利用方法。
upload-labs·文件上传(靶场攻略)
duoba_an的博客
03-19 4422
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。文件上传漏洞成因: 具备上传文件功能的Web等应用,未对用户选择上传的文件进行校验,使得非法 用户可通过上传可执行脚本而获取应用的控制权限。
Upload-labs 1-20靶场通攻略(全网最全最完整)
dragon的博客
03-15 4073
在github上找upload-labs-0.1环境,部署在小皮面板上也可以直接下载他的集成的环境。 Sethandler将该目录及子目录的所有文件均映射为php文件类型。 Addhandler使用 php5-script 处理器来解析所匹配到的文件。 AddType将特定扩展名文件映射为php文件类型。 简单来说就是,可以将我们所的文件都解析成php或者是特定的文件解析为php 当 PHP 在处理文件名或路径时,如果遇到 URL 编码的 %00,它会被解释为一个空字节(ASCII 值为 0)
upload-labs(文件上传练习)
blalaa的博客
09-04 2874
upload-lab-Pass-01】–前端js绕过 ①验证是否能正常上传图片,成功 ②上传phpinfo.php文件不成功 ③使用burpsuit抓包,发现抓不到任何东西,查看源码,发现有一段js代码,只允许上传.jpg|.png|.gif文件,其他后缀的文件全都被过滤 ④在火狐浏览器中下载js插件并开启,可以禁用js代码功能 ⑤再次上传phpinfo.php文件,成功上传,右键点击复制图像地址,在浏览器访问,成功 【upload-lab-Pass-02】–MIME验证 ①验证是否能正常上
upload-labs详解1-19全解(最全最详细一看就会)
qq_53058639的博客
04-16 872
upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共19,每一都包含着不同上传方式。
Upload-labs文件上传漏洞练习(1-5)
a1b2c3是弱口令
07-28 7162
文件上传漏洞练习 Upload-labs是一个帮你总结所有类型的上传漏洞的靶场,包括常见的文件上传漏洞: 项目地址:https://github.com/c0ny1/upload-labs 第一 直接上传php木马,发现前端报错: 使用传统的抓包,修改后缀名。是可以上传成功的,但是不是这一的目的,我们看看源代码分析一波。 function checkFile() { ...
文件上传漏洞——upload-labs靶场安装和通记录17
m0re's blog
05-12 2225
前言:之前在DVWA靶场上了解了upload文件上传漏洞,并进行了学习,现在来安装upload-labs来打一下靶场。 本文目录搭建靶场开始闯Pass-01Pass-02Pass-03黑名单验证Pass-04黑名单 搭建靶场 phpstudy集成环境。 upload-labs项目地址upload-labs,下载压缩包解压到本地phpstudy的www文件夹下,将文件夹命名为upload-labs...
文件上传漏洞—upload-labs(Pass-01—Pass-21)通大合集
qq_46874275的博客
03-22 1842
~目录~开始Pass-01 JS绕过Pass-02 Content-Type绕过Pass-03 部分黑名单绕过Pass-04 .htaccess绕过Post-05 .user.ini绕过 / .空格.绕过Post-06 大小写绕过Post-07 空格绕过Post-08 点绕过Post-09 ::$DATA绕过Post-10 .空格.绕过Post-11 双写绕过Post-12 GET型00截断绕过Post-13 POST型00截断绕过Post-14 图片马绕过Post-15 getimagesize()-图片
前端判断上传的文件是否为同一个文件_文件上传漏洞uploadlabs靶场16
weixin_39959126的博客
12-16 1085
文件上传漏洞upload-labs靶场文件上传靶场环境:https://github.com/c0ny1/upload-labsLess1 前端JS绕过0x01 Less1说明查看源代码function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file =...
upload-labs 安装教程&&第一
m0_52701599的博客
02-24 1671
upload-labs 安装教程&&第一
jQuery-file-Upload使用介绍
热门推荐
li741350149的博客
07-05 3万+
前言开发过程中有时候需要用户在前段上传图片信息,我们通常可以使用form标签设置enctype=”multipart/form-data” 属性上传图片,当我们点击submit按钮的时候,图片信息就会自动的保存在预定义变量$_FILES中,我们在后台就可以通过这个预定义变量得到前台上传的图片信息,除了这种方法还有很多插件可以实现上传图片功能的。jQuery-file-Upload就是其中一种。
java ftp uoload
11-04
Java可以通过FTP客户端实现文件上传,具体步骤如下: ```java //引入FTP客户端包 import org.apache.commons.net.ftp.FTPClient; //创建FTP客户端对象 FTPClient ftpClient = new FTPClient();...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值