【靶场通关】upload-labs(1-10)

最新推荐文章于 2024-07-31 19:12:18 发布
最新推荐文章于 2024-07-31 19:12:18 发布
阅读量3.3w 收藏 1
点赞数
分类专栏: CTF/靶场 安全类 文章标签: upload-labs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21193587/article/details/117576068
版权

upload-labs

pass-01 (客户端验证-js 脚本绕过)

上传 phpinfo.php 浏览器弹框 提示格式不符合,一般弹框都是本地 JS 控制
本 pass 在客户端使用 js 对不合法图片进行检查
解题思路就是把本地的检查 js 修改或禁用
sources 里把对应脚本所在文件 overrides 到本地修改
修改思路就很多了可以直接返回 ture 也可以加允许的后缀等。这里加上.php
20210505181734
代码如下

function checkFile() {
  var file = document.getElementsByName("upload_file")[0].value;
  if (file == null || file == "") {
    alert("请选择要上传的文件!");
    return false;
  }
  //定义允许上传的文件类型
  var allow_ext = ".jpg|.png|.gif";
  //提取上传文件的类型
  var ext_name = file.substring(file.lastIndexOf("."));
  //判断上传文件类型是否允许上传
  if (allow_ext.indexOf(ext_name + "|") == -1) {
    var errMsg =
      "该文件不允许上传,请上传" +
      allow_ext +
      "类型的文件,当前文件类型为:" +
      ext_name;
    alert(errMsg);
    return false;
  }
}

Pass-02 (MIME 验证 Content-Type 绕过)

第二关提示服务器端对 MIME 做检查。
brupsuite 抓包 修改 为 Content-Type: image/jpeg
也可以直接找张图片文本编辑器打开末尾加入 playload 上传 brupsuit 抓包 content-Type 会识别为正常图片类型,修改文件名为.php 也能达到效果
20210505185645
代码如下

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

##Pass-03 (黑名单验证-文件名后缀 php3 等绕过)

php 换为 php3 phtml 有些服务器配置后缀也是可以做为 php 运行处理 php3 phtml
代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

Pass-04 (.htaccces)

提示

本 pass 禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf 后缀文件!
不过可以尝试利用.htaccess 文件进行攻击
创建一个.htaccess 文件(notepad++即可),写入代码(内容为将 4.jpg 当做 php 文件解析)
<FilesMatch “4.jpg”>
SetHandler application/x-httpd-php

上传.htaccess 文件,再上传 4.jpg 图片马文件
菜刀连接,jpg 文件能被当做 php 文件解析,成功绕过
代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

Pass-05 (.user.ini )未验证

这一关,先上传一个以 auto_prepend_file=1.gif 为内容的.user.ini 文件,然后再上传一个内容为 php 的一句话的脚本,命名为 1.gif,.user.ini 文件里面的意思是:所有的 php 文件都自动包含 1.gif 文件。.user.ini 相当于一个用户自定义的 php.ini。
代码

Pass-06 (黑名单验证,大小写绕过) windows

大小写绕过原理:
Windows 系统下,对于文件名中的大小写不敏感。例如:test.php 和 TeSt.PHP 是一样的。
Linux 系统下,对于文件名中的大小写敏感。例如:test.php 和 TesT.php 就是不一样的。
.php 换成 .Php
代码

Pass-07 (黑名单验证,空格绕过)

Windows 系统下,对于文件名中空格会被作为空处理,程序中的检测代码却不能自动删除空格。从而绕过黑名单。
针对这样的情况需要使用 Burpsuite 阶段 HTTP 请求之后,修改对应的文件名 添加空格。
.php 换成.php 空格
代码

Pass-08 (黑名单验证,点号绕过)windows

.号绕过原理:
Windows 系统下,文件后缀名最后一个点会被自动去除。
20210509114338
代码

Pass-09 (黑名单验证,::$DATA 绕过)windows

特殊符号绕过原理:
Windows 系统下,如果上传的文件名中 test.php::$DATA 会在服务器上生成一个 test.php 的文件,其中内容和所上传文件内容相同,并被解析。
20210509114323
代码

Pass-10 (黑名单验证,点号绕过拼接并绕过前面的两次过滤)

20210509114246
代码
Zack_snair
关注
专栏目录
手把手教你玩转upload-labs靶场(1--20详细保姆级)
weixin_52796034的博客
08-23 849
Upload-labs靶场是一个内容全面且开源的PHP文件上传漏洞训练场所。它以真实的文件上传漏洞场景为基础,为安全研究人员和开发人员提供了一个实践和学习的平台。靶场提供了多种不同类型的漏洞场景,涵盖了文件类型绕过、文件名绕过、MIME类型绕过、大小限制绕过等多个方面。每个场景都有详细的解题思路和说明,帮助用户深入理解漏洞的原理和利用方式。通过上传恶意文件,用户可以亲身体验漏洞利用技巧,并学习如何防范这些漏洞Upload-labs靶场不仅提供了实践性,还提供了防御机制的实践,帮助用户全面了解如何保护系统
文件上传靶场upload-labs通关
p36273的博客
07-03 3215
upload-labs是一个专门用来练习文件上传靶场一共20,现在,我们开始通关吧。
upload-labs之1-20通关(超详细,全程干货,没有废话)
qq_64652650的博客
10-23 2654
通关记录,干货,无废话
upload-labs靶场:1—10通关教程
最新发布
weixin_68416970的博客
07-31 1215
upload-labs靶场:1—10通关教程(1、2、3、4、5、6、7、8、9、10)超详细!!
Upload-labs 1-21 靶场通关攻略(全网最全最完整)
热门推荐
晚安這個未知的世界
03-21 7万+
Pass-1(前端验证) 因为是进行前端JS校验,因此可以直接在浏览器检查代码把checkFile()函数(即如下图红色框选中的函数)删了或者也可以把红色框改成true,并按回车,即可成功上传php文件 复制图片地址并用蚁剑进行连接 Pass-2(MIME验证) 分析代码,可以看到,后端PHP代码只对content-type进行了检查 使用bp抓包,修改上传的PHP的content-type为image/png Pass-3(黑名单验证,特殊后缀) 这题本人使用的是PHP5.2.17环境 分析代码
Upload-labs通关攻略
三舍的博客
06-03 1万+
Upload-labs通关攻略 Pass-01 JS绕过 开启代理抓包,发现没有产生流量就进行验证了,说明是前端JS验证 直接firebug修改前端代码,添加允许上传类型.php 直接上传Webshell,比如1.php,菜刀连接,网站根目录下发现flag.txt Pass-02 文件类型绕过 进行上传尝试,发现提示:文件类型不正确,请重新上传! 应该是文件类型Content-Type检测,BP抓包截断上传数据包,修改Content-Type为image/jpeg,然后放行数据包,成功绕过 Pas
upload-labs靶场(1-21)详解全套通关
waqqy的博客
12-12 4392
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞靶场。旨在帮助大家对上传漏洞有一个全面的了解。
靶场upload-labs-master通关笔记
qq_51860400的博客
01-05 521
本文简要记录upload-labs-master靶场通关
安装upload-labs
10-22
1. 下载靶场文件:首先,您需要下载upload-labs靶场文件,可以从官方网站或其他可靠的渠道下载。 2. 解压到WWW目录下:将下载的靶场文件解压到WWW目录下,请注意不要嵌套文件夹,否则可能会导致安装失败。 3. 启动...
upload-labs靶场通关指南
07-02
Upload-labs靶场通关指南 Upload-labs靶场是一款文件上传漏洞靶场,旨在帮助安全研究员和渗透测试人员练习文件上传漏洞的检测和利用。本指南提供了 Upload-labs靶场通关指南,涵盖了从基础的文件上传漏洞到高级...
upload-labs安装及攻略
K_ShenH的博客
01-14 2万+
upload-labs靶场的安装搭建(windows) (1)首先当然是需要phpstudy的环境,所以要先下载安装phpstudy。 (2)然后到github的网址中下载源码的压缩包。 github网址:https://github.com/Tj1ngwe1/upload-labs (3)下载后解压缩到phpstudy目录下的WWW子文件夹中,这里要注意吧压缩包的名字改成upload-labs,不然靶场的页面会显示得不对。 (4)然后在输入url HTTPS:...
upload-labs】文件上传总结
多喝i热水的博客
01-28 460
目录 Pass01(前端验证) Pass02(MIME验证) Pass03(黑名单验证,.htaccess) Pass04(黑名单验证,.htaccess) Pass05(黑名单验证,.user.ini.) Pass06(黑名单验证,大小写绕过) Pass07(黑名单验证,空格绕过) Pass08(黑名单验证,点号绕过) Pass09(黑名单验证,特殊字符::\$DATA绕过) Pass10(黑名单验证, 构造文件后缀绕过) Pass11(黑名单验证,双写绕过) Pass12~1.
【web漏洞】弱口令
qq_21193587的博客
06-04 4万+
弱口令 漏洞介绍 弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或 破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形 式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母 或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口 令;设置的口令属于流行口令库中的流行口令。 漏洞危害 绝大多数企业有一定用户数,对安全密码复杂对没有安全基准或落实不到位,都会存在弱密码,会看似符合密码复杂度要求的密码,
【tools】信息收集-灯塔资产扫描 ARL
qq_21193587的博客
06-04 4万+
灯塔资产扫描 ARL 介绍 斗象 TCC 团队正式发布「ARL 资产安全灯塔」开源版,该项目现已上线开源社区 GitHub。ARL 旨在快速侦察与目标联的互联网资产,构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。 ARL 采用 Python3.6 开发,Web API 接口通过 flask 构建,数据存储在 mongo 中,任务调度采用 celery 进行分发(目前暂不支持 windows 平台,Linux 和 MAC 建议采用 Docker 运行) 原
【bypass】403绕过
qq_21193587的博客
06-03 3万+
403可能的原因: 1、你的IP被列入黑名单。 2、你在一定时间内过多地访问此网站(一般是用采集程序),被防火墙拒绝访问了。 3、网站域名解析到了空间,但空间未绑定此域名。 4、你的网页脚本文件在当前目录下没有执行权限。 5、在不允许写/创建文件的目录中执行了创建/写文件操作。 6、以http方式访问需要ssl连接的网址。 7、浏览器不支持SSL 128时访问SSL 128的连接。 8、在身份验证的过程中输入了错误的密码。 9、DNS解析错误,手动更改DNS服务器地址。 10、连接的用户过多,可以过后再试。
伪协议知识汇总
qq_21193587的博客
06-04 3万+
伪协议常常用于文件包含漏洞之中。 在 php 中能够造成文件包含的函数有 include、require、include_once、require_once、 highlight_file、show_source、file_get_contents、fopen、file、readfile 函数 include 函数 可以放在 PHP 脚本的任意位置,一般放在流程控制的处理部分中。当 PHP 脚本执行到 include 指定引入的文件时,才将它包含并尝试执行。这种方式可以把程序执行时的流程进行简单化。当第二次
nginx配置不允许通过IP只允许通过域名进行访问
qq_21193587的博客
06-03 3万+
文章目录httphttps检查及 reload http 做运维的时候出过一次生产事故,官网被封了,原因说是有未备案的域名直接解析到我们公司官网的IP, 导致直接封对IP封锁。 多方沟通溯源发先是我们开发同学自己买了个域名直接解析的官网的地址.针对这个事件,做了复盘,提出了写优化方案。其中nginx上配置可允许域名访问就是其一 具体配置如下。 # 禁止通过ip地址访问 server { listen 80 default_server; listen [::]:80 default_ser
Upload-labs靶场攻略:文件上传漏洞分析
"Upload-labs通关手册.pdf - 一个于渗透测试的靶场平台,专注于文件上传漏洞的学习与实践。" Upload-labs是一个专门为安全研究人员和渗透测试者设计的在线靶场,它涵盖了各种类型的文件上传漏洞,帮助用户了解并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zack_snair

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值