Upload-Labs学习记录(Less1-Less10)

最新推荐文章于 2023-11-17 18:15:00 发布
最新推荐文章于 2023-11-17 18:15:00 发布
阅读量300 收藏
点赞数
分类专栏: 网络安全 文件上传漏洞 web 文章标签: 网络安全 安全漏洞 安全 经验分享 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18994019/article/details/116999622
版权

Upload-Labs 学习记录

前言

Upload-Labs项目链接:

https://github.com/c0ny1/upload-labs

本文靶场环境于2021.5月份在Kali Linux下Docker中搭建

本文内容为Pass1-Pass10,后续Pass会另开一篇文章写

搭建过程中出现的问题

1. github所给出的创建容器指令有误
所给出的

docker run -d -p 80:80 upload-labs:latest

应改为

docker run -d -p 80:80 c0ny1/upload-labs:latest

2. 搭建后容器网站根目录下无upload文件夹,需手动创建并加权

3. 搭建后靶场内配置文件需根据实际操作进行更改,如增加对php5,phtml等类型文件的解析,在做部分Pass时还会因为中间件版本问题,导致已上传的文件的后缀还会有过滤所用的字符。

Pass1-Pass10 学习记录:

—Pass1

拦截方法:使用js对不合法图片进行检查

思路:既然用js,那就把js禁用掉,打开浏览器(本人用的Chrome)调试设置(F12),禁用掉JavaScript,进行上传
在这里插入图片描述
在这里插入图片描述

上传成功
此处上传的info.php,写的内容为(如下),后续相同

<?php
phpinfo()
?>

在这里插入图片描述

访问http://ip:port/upload/info.php可解析,证明成功
在这里插入图片描述

—Pass2

拦截方法:检测文件后缀(包中的Content-Type)

思路:上传文件,burpsuite抓包,修改Content-Typen内容image/jpeg
抓包
在这里插入图片描述

修改
在这里插入图片描述

上传成功,可访问解析,效果和Pass1一样,后续关同样不放图了

—Pass3

拦截方法:对后缀名进行黑名单拦截,检测并禁止上传.asp,.aspx,.php,.jsp后缀文件

思路:可以上传php5,phtml后缀等服务器同样会解析的类型的文件

此处会遇到的问题为:在docker内搭建的uploadlabs环境的apache2服务器配置文件,没有写对php5,phtml等文件进行解析,需要我们手动去到uploadlabs内的apache2.conf增添语句

方法

docker ps

显示正在运行的容器信息
在这里插入图片描述

docker exec -it 容器id/容器名称 /bin/bash

进入对应的容器文件夹中
在这里插入图片描述

移动到/etc/apache2目录下
在这里插入图片描述

对apache2.conf文件进行修改,写入

AddType application/x-httpd-php .php .phtml .phps .php5 .pht

在这里插入图片描述

重启apache2及容器,即可上传并解析php5,phtml后缀的文件

:容器内的编辑器vim需自己手动安装(用自带的vi也行)

扩展知识点:apache的配置文件是httpd.conf,因为容器内的是apache2,所以配置文件是apache2.conf
关于 /etc/apache2/下sites-enable 和 sites-available的区别,enable是要用的配置文件,sites-available是所有的配置,包括临时不启用的站点的配置。即available是所有配置,enable是要用的配置的调用,当有需要更改的配置的时候,只用在enable里删除或增加指向链接即可,无需更改available这个大配置文件。enable依靠available,enable负责配置文件调用进行连接,是软连接,available是负责配置文件的存放。

—Pass4

拦截方法:对后缀名进行黑名单拦截,检测并禁止上传,包括php5,phtml等后缀

思路:Pass4可以看作是Pass3的一个加强版,既然无法解析那就想办法上传一个.htaccess文件,文件内容为

SetHandler application/x-httpd-php

文件名就是

.htaccess

在这里插入图片描述

htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。我们要在目录里上传一个配置文件,写的文件内容是让它把所有上传的文件全按照php文件进行解析。
我们先上传.htaccess文件,然后再上传我们的php文件,后缀可以是jpg,gif,因为无论后缀是什么都会被解析成php

上传成功,解析成功
在这里插入图片描述

—Pass5

拦截方法:对后缀名进行黑名单拦截,检测并禁止上传特殊文件(全面)
在这里插入图片描述

思路:Pass5又是一个黑名单加强版,这次连.htaccess也无法上传了,但是有一个简单的方法,大小写,例如把后缀php改成phP,就是这么简单
在这里插入图片描述

上传成功,解析成功

—Pass6

拦截方法:对后缀名进行黑名单拦截,但是未过滤空格

思路:在文件后缀加上“ ”(空格)进行绕过
例如“info.php”,则改成“info.php ”

上传成功,解析因靶场配置,版本问题未解析成功

—Pass7

拦截方法:对后缀名进行黑名单拦截,但是未过滤“.”

思路:在文件后缀加上“.”进行绕过
例如“info.php”,则改成“info.php.”

上传成功,解析成功
在这里插入图片描述

—Pass8

拦截方法:对后缀名进行黑名单拦截,但是未过滤“::$DATA”

思路:在文件后缀加上“::$DATA”进行绕过
例如“info.php”,则改成“info.php::$DATA”
这里利用的原理是 php在window的时候如果文件名加::$DATA会把::$DATA之后的数据当成文件流处理,不会检测后缀名。

上传成功,解析因靶场配置,版本问题未解析成功

—Pass9

拦截方法:先通过deldot函数删除文件名末尾的点后,再对后缀名进行黑名单拦截
思路:在文件后缀加上“. .”(.空格.)进行绕过
例如“info.php”,则改成“info.php. .”
这里利用的原理是deldot函数是从后往前检测“.”符号,从检测到第一个“.”开始,遇到空格后停止检测的原理,所以最后文件后缀仍会保留一个“.”和一个空格

上传成功,解析成功(本不应该有后面的%20即空格,但因为靶场配置问题所以加上才能访问,正常服务器应该会自动去除空格,访问info.php.即可)
在这里插入图片描述

—Pass10

拦截方法:对后缀名进行黑名单拦截,将有问题后缀名替换为空

思路:文件后缀名双写进行绕过
例如“info.php”,则改成“info.pphphp”
识别中间的php并变成空格后,剩余字符组成完整的php后缀名。

上传成功,解析成功
在这里插入图片描述

维埃永恒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
upload-labs 思路总结 less 1-12
yukinorong的博客
08-16 1053
upload-labs笔记 less 1 上传漏洞的方法有很多。 本地配置好upload-labs之后,利用burpsuite无法抓包问题: 原理有可能是本地代理设置成了默认不抓包127.0.0.1。也有可能是无法抓本地回环数据包。具体原因不清楚,解决方式是将127.0.0.1改为自己的ip地址,ip地址可以用cmd ipconfig中查询。 方法一 本题用的是js函数,白名单模式过滤文件,所有在...
安装upload-labs
10-22
1. 学习文件上传漏洞课程:upload-labs提供了详细的课程讲解文件上传漏洞的基础知识和实践经验,您可以通过学习这些课程来了解文件上传漏洞的原理和防御方法。 2. 根据关卡提示信息练习:upload-labs提供了多个关卡...
upload-labs关卡10(点和空格绕过)通关思路
最新发布
zyh1588的博客
11-17 324
小白回顾文件上传靶场第十关
文件上传漏洞(一) upload-labs靶场练习
好好睡觉
03-18 5597
常见文件上传漏洞类型总结、upload-labs靶场
upload-labs 10-14关,操作步骤配截图
jzzer447的博客
04-15 2564
pass10 查看源码 使用burp抓包测试 发现可以使用 点空格点 来绕过黑名单 复制文件地址访问,执行phpinfo(); pass11 查看源码,采用了替换函数,将后缀名php替换成了空格,只替换一次,把中间的php替换为空格后,剩下的也正好组合成php 注意 不能双写为phpphp改成2.pphphp,测试成功。 pass12 分析代码后发现,上传路径是可控的。采用%00截断法,在url中%00...
upload-labs 速通 less01-less21
LztCode
11-06 243
非正常速通 >_< 懒 使用的标准一句话,<?php @eval($_REQUEST[666])?> 使用的标准图片马,copy 1.php/b + 1.png/b 1.jpg 使用标准的中国蚁剑,http://127.0.0.1/upload-labs/include.php?file=upload/1.jpg 使用的标准连接密码,666 使用的标准编码设置,utf-8 使用的标准连接类型,php 使用的标准编码器,default less-01. 图片马 less-02. 图片马
WEB渗透学习-upload-labs靶场
04-20
**WEB渗透学习-upload-labs靶场详解** 在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至关重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础...
upload-labs19-20以及总结1
08-08
1. **文件名过滤**:服务器端检查`save_name`参数,不允许包含如"php", "html", "jsp"等可能含有恶意代码的扩展名。然而,由于只检查了小写的扩展名,我们可以通过将文件名更改为大写(如"PHP")来绕过此检查。这是...
upload-labs-master.zip
06-22
【标题】"upload-labs-master.zip" 是一个用于学习和实践文件上传漏洞的靶场项目。这个压缩包包含了 "upload-labs-master" 目录的多次副本,这可能表示靶场设计的不同阶段或者不同的练习环境。 【描述】描述中的 ...
UPLOAD-LABS详细解题步骤
05-17
UPLOAD-LABS详细解题步骤 UPLOAD-LABS是一个网络安全靶场,旨在帮助用户练习文件上传的安全知识。该靶场提供了多个关卡,每个关卡都有一定的安全挑战和限制,旨在考验用户的安全知识和技术。 在开始之前,需要先...
upload-labs-master Pass1-20笔记
skynet_x的博客
10-27 4020
实验环境: Windows 7 X64 Phpstudy 2018 PHP 5.4.45 Apache/2.4.23 pass01 — JS限制 开启burp抓包,尝试上传eval.php,点击上传后页面直接提示该文件不允许上传,而burp并没有截取到数据包,判断为JS限制。 F12将JS限制代码找出来,将代码复制到console,修改允许上传的后缀为php再运行 点击上传后显示上传成功,在下方回显的地方右键复制图片地址即可获取上传后的图片路径。 为了直观查看上传的文件有没有被执行,在上传的文件中均是
upload-labs 环境搭建及闯关总结
weixin_46680243的博客
10-04 3998
upload-labs 环境搭建及闯关总结 靶场环境搭建 环境准备 phpstudy-2018 32位vc9和11运行库 upload-labs-master靶场 解压后,直接双击安装。安装后打开,有系统的弹框说缺少vc9和11的运行库(win7版本),需要单独安装,准备好相应的安装包文件 安装完成之后,就可以直接使用phpstudy环境 开启数据库和mysql,然后浏览器访问本地ip或者127.0.0.1,出现hello world 说明web服务已经准备完成 然后下载好相应的压缩包,将文件解压缩
运用docker搭建靶场(以kali linux为例)
qq_55894976的博客
01-12 1815
安装docker 更新镜像源 apt-get update 安装https协议和CA证书 apt-get install -y apt-transport-https ca-certificates 安装docker apt install docker.io 查看是否安装成功 docker -v //查看版本 出现docker version即安装成功 启动docker systemctl start docker 安装pip .
upload-labs-Less1学习
qq_59416598的博客
03-24 3085
Less1 这一关的源码是判断文件类型是否为jpg、png、gif(且为前端验证) 这里有两种方法 直接禁用js脚本(可能影响一些正常的功能),或者先上传允许上传的文件类型然后使用burp suite抓数据包修改文件类型即可 注意,在前端的验证,如果没有绕过的话,是不会发数据包的 所以我们直接上传一个jpg文件,然后抓包改文件类型为php即可上传成功 ...
upload-labs_less1_less2_绕过前端js校验_MIME检查绕过_
qq_51550750的博客
04-10 1038
关于靶场说几点:单纯用phpstudy 可能无法复现所有的漏洞,而且phpstudy中的php可能是线程不安全的,所以建议大家在自己本机或者虚拟机的中亲自搭建一下apache和php的环境,便于复现upload-labs的所有靶场环境。配置有问题的可以参考我写的这篇文章: https://blog.csdn.net/qq_51550750/article/details/124062273 上面这篇博客记录了我为了搭建有些不能在phpstudy中复现而能在自己搭建的apache+php中复现的过程。 再次补
upload-labs_less3_less4_等价扩展名绕过_.htaccess文件改变文件扩展名
qq_51550750的博客
04-10 505
关于靶场说几点:单纯用phpstudy 可能无法复现所有的漏洞,而且phpstudy中的php可能是线程不安全的,所以建议大家在自己本机或者虚拟机的中亲自搭建一下apache和php的环境,便于复现upload-labs的所有靶场环境。配置有问题的可以参考我写的这篇文章: https://blog.csdn.net/qq_51550750/article/details/124062273 | pass 3 http://172.16.135.186/upload-labs/Pass-03/index.ph
upload-labs靶场-Pass-06关-思路以及过程
weixin_44257023的博客
01-15 2069
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
upload-labs靶机及过关攻略(一)
木尤的博客
07-06 1657
upload-labs靶机及过关攻略(一) 注:由于笔者水平有限,暂时只记录前十二关的攻略 靶机环境:upload-labs 靶场地址:http://59.53.63.23:10772/Pass-02/index.php 靶场到期时间:2020.10.1 shell.php文件内容: <?php phpinfo(); ?> 怎么判断上传类型 第一关: 根据此关源码可知是用过js来设置文件上传白名单,只需要禁用浏览器的js即可轻松过关 第二关: 此关是通过限制文件上传类型来设置上传白名单,用
upload-labs浅谈
tricker2的博客
07-21 485
首先列一下我认为的upload-labs学习要掌握的东西,不仅要有对工具的使用了解,还给有对文件上传的理解。这两天本菜陷入了一个究极难题循环,让我很绝望,在多个视频的观看下,终于大致了解了原因,开始得本菜在burp改包传一句话木马<?php @eval($_POST['pass']);?>之后页面都会直接崩溃无法,久久不能连接的情况(连接被重置入如下图) 开始的我一直以为是代理没有关闭,或者是burp suite操作不当的原因,但实际上貌似是因为我传马的原因,因为本菜是用阿里云服务器搭建的靶场,
upload-labs-less
08-18
根据提供的引用内容,upload-labs-less是一个关于上传漏洞的实验平台,可以用于学习和测试文件上传漏洞。***<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值