Upload-Labs回顾下篇(11-20节)

最新推荐文章于 2023-11-08 13:05:04 发布
最新推荐文章于 2023-11-08 13:05:04 发布
阅读量233 收藏
点赞数
分类专栏: Web-Lab 文章标签: upload-labs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38963246/article/details/101292117
版权

第十一关:%00截断
源码中保存路径是通过参数传递的,可以使用%00截断代码读取的文件扩展名(截断的就是波浪线那块代码生成的文件名),自己设置文件名和扩展名。有两个利用条件:
① php版本小于5.3.4
②php魔术引号关闭
在这里插入图片描述第十二关:00截断
十二关采用POST传输存储路径,而POST不会对%00进行URL解码,所以需要在抓包的hex中修改为0x00,从而进行内存截断。在这里插入图片描述第十三关:图片马制作
copy 1.png /b + phpinfo.php /a phpinfo.png
/A 表示一个 ASCII 文本文件。
/B 表示一个二进位文件。
1.png是一张真正的图片。然后利用文件包含执行phpinfo.jpg。
在这里插入图片描述第十四关:图片马上制作
使用上一关的手法已经无法绕过,可以尝试上传真正的PNG图片,并在末尾添加一句话木马,启用文件包含执行。在这里插入图片描述第十五关:图片木马制作
相比于前几关更关注真实文件格式,使用了exif_imagetype() 读取一个图像的第一个字节并检查其签名。没啥用,用同样方式也可以上传。
在这里插入图片描述第十六关:文件渲染绕过
说多都是泪,百度下载的图片好多不行,要不就是解析出错,我奉上我测试可行的gif。我是用的gif图片绕过。需要找到渲染前后没有变化的位置,然后将php代码写进原gif图片。先上传一个test.gif,然后下载它773.gif,hex对比。我使用的对比工具是beyond compare 4,工具很多,关键是会用。在这里插入图片描述然后点击保存那个图标,重新上传,最后使用文件包含执行。
在这里插入图片描述其他渲染绕过方法。我试了jpg的,没生成所谓的php代码,可能是图片问题。
第十七关:条件竞争
源码存在逻辑漏洞,先上传文件,然后再删除非白名单文件。可以通过大量的上传导致删除跟不上上传,此时再去访问,即可。
在这里插入图片描述第十八关:条件竞争
相比于上一关,这一关用的是上传一个包含php的图片文件。在这里插入图片描述第十九关:CVE-2015-2348
上传图片马,抓包00截断图片扩展,留下php的后缀即可。特别要注意php的版本,小于5.3.4才可以,还有魔术引号关闭。在这里插入图片描述
网传大小写绕过和黑名单绕过都可以,还有/.绕过,实现方法很多。记得访问的时候是1.php,因为后面的jpg后缀已经被内存截断了。
第二十关:数组绕过

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){//这一步是检查上传的文件是否为规定的类型
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];//如果通过post传递的参数save_name为空,$file就为上传文件本来的名字的值,否则为post传递的save_name的值
        if (!is_array($file)) {//因为我们都是填写了保存名称,即用post传递了save_name的值,所以这里判断我们填写的保存名称是否为一个数组
            $file = explode('.', strtolower($file));//不是一个数组就利用.对文件名进行分割
        }

        $ext = end($file);//数组最后一个值即文件后缀名给$ext
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {//再一次进行判断是否为允许上传的类型
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];//将数组count($file)-1的值给了$file_name,最后拼接到数组第一个元素后后,reset()为将读取数组第一个元素
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

它用end()读取最后数组最后一个值来进行过滤,又将file[count(file) - 1]的值拼接到数组第一个元素后后,所以可以上传save_name为一个数组,数组第一个元素为*.php,第二个元素为空,第三个元素为jpg。此时利用jpg通过判断,将空拼接到.php后文件仍为.php。构造payload。在这里插入图片描述在这里插入图片描述

总结:

在这里插入图片描述

痴人说梦梦中人
关注
专栏目录
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
[网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析(一)Python利用永恒之蓝及Win7勒索加密
热门推荐
杨秀璋的专栏
04-14 1万+
这是作者的网络安全自学教程系列,主要是于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的DC-1题目,通过信息收集、CMS漏洞搜索、Drupal漏洞利用、Metasploit反弹shell、提权及数据库爆破获取flag。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,希望这篇基础性文章对您有所帮助。
upload-labs 1-20练习
R4bbit
06-17 2702
php字符串函数: strrchr函数: echo strrchr("I love Shanghai!","Shanghai"); 查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。 strtolower函数: 将字符串中的字母全部转换为小写 str_ireplace函数: 替换字符串 $file_ext = str_i...
upload-labs(11-20)
猎荒者
02-17 487
兵无常势,水无常形,能因敌而致胜者,谓之神 00 截断 前言 Pass 11 -12 利用的是 00 截断。即 move_uploaded_file 函数的底层实现类似于 C 语言,遇到 0x00 会截断。 截断条件: 1、php版本小于5.3.4 2、php.ini的magic_quotes_gpc为OFF状态 1. Pass 11 ① 源码分析 白名单限制,直接把后缀名写死 在前端 f...
Upload-labs通指南(下) 11-20
qq_35664104的博客
08-08 164
承接上篇,这次我们继续做下半部分。 有些题目有其他做法是针对于windows系统特性的,并不能在linux上奏效,因此不在考虑范围之内。 Pass-11 制作图片马直接上传 copy a.jpg /a + b.php /b c.jpg 或者使用%00截断 Pass-12 同11,将%00进行url编码 Pass-13 制作图片马进行上传 Pass-14 直接上传前面题目用过的图片马提示文件类型未知,此时我们的抓个包看看情况 发现并不是MIME拦截,猜测是检测文件头,我们在文件内容前加上GIF89a伪
upload-labs靶场(11---20)通攻略
Cobra的博客
09-13 1816
Pass-11-get 00截断绕过 1、直接上传.php文件,提示:只允许上传.jpg|.png|.gif类型文件! 2、查看源码,发现是白名单判断,但$img_path是直接拼接,因此可以利用%00截断绕过。 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext; 这里使用的是php5.2.17+Apache环境 截断条件:php版本小于5.3.4,php的magic_quotes_g.
文件上传漏洞——upload-labs(11-20)
Lemon's blog
08-07 1592
前言:上次文件上传漏洞学习到第十,这次继续学习 第十一 分析源码 前面几行代码都是对后缀名进行限制,最重要的就是这一句代码 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext; 发现save_path用户是可控的,那么就利用%00截断来绕过 在此之前,先来了解一下截断上传的原理 在url...
upload-labs(1-21)
kfjrlgagkogkhpa的博客
08-15 403
文件上传靶场、upload-labs(1-21)、
Upload-labs 2
hintll的博客
06-15 211
Upload-labs 2 先传一个php的文件上去: 提示说文件类型不正确,请重新上传! 看一下源码 注意到,它有一个:[‘type’] == ‘image/jpeg’) || (FILES[′uploadfile′][′type′]==′image/png′)∣∣(_FILES['upload_file']['type'] == 'image/png') || (F​ILES[′uploadf​ile′][′type′]==′image/png′)∣∣(_FILES[‘upload_file’][‘ty
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
笔记,后期整理
weixin_30278237的博客
08-06 8273
VM 虚拟各种系统的工具 安装目录 不要放在C盘 需要下载的镜像Windows NT win7 xp server08R2 server12类Nnix centos 6/7/8 ubuntu 14/16/18 kali安装 win7 1g=1024M1M=1024KB1KB=1024bit1bit 是一个字 一个字就是8位由0或者1组成(二进制) 10 进制0-9组成的数字...
Upload-labs(21合集)
七天
12-23 916
由于开发人员在对用户文件上传部分的控制不足或者处理缺陷,导致的用户向服务器上上传可执行的动态脚本文件。 这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。"文件上传"本身没有问题,有问题的是文件上传后,服务器怎么处理文件。 靶场下载地址:https://github.com/c0ny1/upload-labs/ 网盘下载地址:https://pan.baidu.com/s/1ecVNi6XgE_yft5GNw-h-6w 提取码:qhsj 文章目录Pass-01Pass-02Pass-0
upload-labs18
qq_46527080的博客
12-25 2407
漏洞介绍 条件竞争漏洞是一种服务器端的漏洞,是由于开发者设计应用程序并发处理时操作逻辑不合理而造成。当应用面临高并发的请求时未能同步好所有请求,导致请求与请求之间产生等待时出现逻辑缺陷。该漏洞一般出现在与数据库系统频繁交互的位置,例如金额同步、支付等较敏感操作处。另外条件竞争漏洞也会出现在其他位置,例如文件的操作处理等。 首先将文件上传到服务器,然后检测文件后缀名,如果不符合条件,就删掉,典型的“引狼入室”。 第十八(条件竞争) 源码分析 首先准备一个创建shell的php <?php fputs
文件上传upload-labs 第18 条件竞争
最新发布
YYYYU_ZHIZZZ的博客
11-08 632
文件上传靶场练习条件竞争
upload-labs 18-21 详解 (完结)
qq_53409748的博客
03-02 1078
upload-labs 18-21 详解 (完结)
upload-labs靶场通指南(18-19
永远是少年
09-16 1055
今天继续给大家介绍渗透测试相知识,本文主要内容是upload-labs靶场通指南(18-19)。 一、第18 二、第19
upload-labs writeup
dianmangji9200的博客
08-04 419
其它的writeup https://github.com/LandGrey/upload-labs-writeup https://cloud.tencent.com/developer/article/1377897 https://www.360zhijia.com/anquan/442566.html upload-labs安装 下载地址:https://github.com/c...
Upload-labs Pass-20 数组绕过
baynk的博客
11-05 1638
Upload-labs Pass-20 数组+/.绕过 和19前面长一个样,肯定要代码审计了,直接看源码。 $is_upload = false; $msg = null; if(!empty($_FILES['upload_file'])){ //检查MIME $allow_type = array('image/jpeg','image/png','image/gif');...
在PHP、Apache环境下部署upload-labs漏洞靶场教程
- 在phpstudy的WWW文件夹(通常位于安装路径下的htdocs或www)创建一个新的目录,例如命名为"upload-labs",并将下载的解压文件内容放置在这个目录中。 2. **配置网站设置**: - 打开phpstudy的控制面板,添加一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值