【upload-labs】图片马绕过pass13~16

最新推荐文章于 2024-08-17 15:44:12 发布
最新推荐文章于 2024-08-17 15:44:12 发布
阅读量2k 收藏 4
点赞数 1
分类专栏: unsafefileupload 文章标签: php 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/115052442
版权

【upload-labs】图片马绕过pass13~16


【pass-13】文件头检查绕过

1、源码分析
function getReailFileType($filename){
    $file = fopen($filename, "rb");  //以字节流的形式打开上传的文件
    $bin = fread($file, 2);   //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);  //unpack()解包,标识前两个字符按照c格式,数组索引chars1、chars2  
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);   //将两个字节转换为十进制的字符串拼接起来 
    $fileType = '';    
    switch($typeCode){      //根据文件头前两个字节判断是哪种文件类型
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';     //若不是jpg、png、gif中的任意一种,则设为unknown
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);   //获取文件类型

    if($file_type == 'unknown'){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = $UPLOAD_ADDR."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        }
        else{
            $msg = "上传失败";
        }
    }
}

从源码可以看出,这一关没有对后缀进行过滤,而是对上传文件内容的前两个字节进行校验,并且结合白名单过滤机制只允许jpg、png、gif文件上传。

2、 测试流程

漏洞利用思路:

1、用burp抓包,在文件内容的头部添加jpg、png或gif标识的字符串,然后放包来绕过检查。

常用文件头:详细

1、.JPEG; .JPE; .JPG “JPGGraphic File”

2、.gif “GIF 89A”

3、.zip “ZIP Compressed”

4、.doc; .xls; .xlt; .ppt; .apr “MS Compound Document v1 or Lotus Approach APRfile”

2、制作图片马上传,利用文件包含漏洞getshell。

  • 方法一:

    先上传一个木马:

    image-20210320192737341

    用burp抓包

    在文件头部添加.gif文件的标识头(GIF 89A),然后放包:

    image-20210320193143212

    如图所示,文件成功上传。

    image-20210320193159404

    再结合文件包含漏洞,将该文件包含到php代码中,用菜刀连接即可getshell。

  • 方法二:

    制作一个图片木马:

    用window下的cmd制作:

    copy  meinv.png /b + muma.php /a  muma.png

    其中/b代表二进制文件binary,放在图片后面,/a代表文字文件ascii

    image-20210320195746607

    image-20210320195721272

    image-20210320195633712

    如图所示,图片马制作成功!

    直接上传:

    image-20210320200049447

    上传成功,然后结合文件包含漏洞getshell。

小结:

这一关没有对后缀进行过滤,而是对上传文件内容的前两个字节进行校验,并且结合白名单过滤机制只允许jpg、png、gif文件上传。所以制作图片马即可绕过。

intval()函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。

unpack()函数解包详解


【pass-14】getimagesize()检查绕过

源码分析
function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
        $info = getimagesize($filename); //函数用于获取图像大小及相关信息(根据文件头),成功返回一个数组,失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。  
        $ext = image_type_to_extension($info[2]);  //根据指定的图像类型返回对应的后缀名。
        if(stripos($types,$ext)){   //判断后缀是否在白名单内
            return $ext;
        }else{
            return false;
        }
    }else{
        return false;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = $UPLOAD_ADDR."/".rand(10, 99).date("YmdHis").$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        }
        else{
            $msg = "上传失败";
        }
    }
}

与上一关不同的是这一关使用了getimagesize()函数,根据文件头部来获取图片的内容信息,这一关需要制作图片马(当然抓包添加头部GIF 89A也可以绕过),漏洞复现过程与上一关类似,这里就不再赘述。但是上述代码中检测方式有一个bug,导致不能上传.jpeg文件,因为if(stripos($types,$ext))这一条语句,如果上传.jpeg文件,stripos()函数会返回.jpeg在$ext中的位置,这显然是0,而0为假,所以不会进if,而是直接进入else后返回false导致文件上传失败。

getimagesize()函数:用于获取图像大小及相关信息,成功返回一个数组,失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。

image_type_to_extension()函数:根据指定的图像类型返回对应的后缀名。详解


【pass-15】exif_imagetype绕过

源码分析
function isImage($filename){
    //需要开启php_exif模块
    $image_type = exif_imagetype($filename);  //判断一个图像的类型
    switch ($image_type) {
        case IMAGETYPE_GIF:
            return "gif";
            //break;
        case IMAGETYPE_JPEG:
            return "jpg";
            //break;
        case IMAGETYPE_PNG:
            return "png";
            //break;    
        default:
            return false;
            //break;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = $UPLOAD_ADDR."/".rand(10, 99).date("YmdHis").".".$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        }
        else{
            $msg = "上传失败";
        }
    }
}

这一关与前两关的区别就是,使用了exif_imagetype函数来判断图像类型,然后结合白名单机制过滤。当然一样可以通过图片马去绕过,然后结合文件包含漏洞来getshell。

注:使用exif_imagetype函数时要开启php_exif模块,在php.ini文件中详解

exif_imagetype()函数: 读取一个图像的第一个字节并检查其签名,如果发现了恰当的签名则返回一个对应的常量,否则返回 false。返回值和 getimagesize() 返回的数组中的索引 2 的值是一样的,但本函数快得多。

image-20210320211900033

【pass-16】二次渲染

1、源码分析
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);  //basename函数返回路径中的文件名部分。

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){   //对文件扩展名和mime类型做了判断
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path); //imagecreatefromjpeg()函数由jpeg文件或URL创建一个新图象。

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);   //删除图片
            }else{
                //给新图片指定文件名
                srand(time());  //srand()随机数种子生成器
                $newfilename = strval(rand()).".jpg";  //strval()获取变量的字符串值
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);  //输出图象到浏览器或文件。
                @unlink($target_path);   //删除原来图片
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

后端对上传的图片先进行后缀和mime的校验,若通过则会将图片二次渲染,也就是说如果我们在图片中插入php代码,经过二次渲染后php代码很可能会丢失

2、测试流程

  • gif

    先上传一张gif图片:

    image-20210321165613434

    将上传的图片下载下来:

    image-20210321165640630

    用十六进制分析工具winhex对比一下该文件与原文件的变化:

    image-20210321162918345

image-20210321165824469

如图所示,白色部分为没有改变的,黑色部分是改变过的。此时我们需要将php代码插入到没有改变的区域(白色区域),注意尽量不要改变头部,插入到中间就行。

image-20210321170138307

然后保存。

image-20210321170223308

如图所示,打开更改后的图片,发现代码插入成功!

将更改后的图片上传:

image-20210321170413328

小姐姐变成了这个样子。

利用文件包含漏洞测试一下:

image-20210321170636381

成功!

关于jpg和png二次渲染的制作还比较困难,可以参考大佬文章

小结:

二次渲染的绕过,本质上是要对比渲染前后的变化,利用winhex在没有变化的区域插入php代码即可实现绕过。

0ak1ey
关注
专栏目录
文件上传之文件内容检测与绕过图片
xdjxi的博客
02-22 2707
实验原理 文件上传从客户端进行检测显然是防护不足的,所以需要从服务器端进行防护。服务端的检测与绕过方法有很多,常见的有: 1.后缀名检测绕过 2.MIME类型检测与绕过 3,文件内容检测与绕过 4. 80截断绕过 5,条件竞争检测与绕过 文件内容的检测是利用 getimagesize)函数获取图片的宽高等信息,如果上传的不是图片,那么则获取不到信息。 文件内容检测的绕过常见的有两种方式: ·在脚本文件前面补充对应的文件头 常见的图片文件头 JPG:FF D8 FF Ee 0e 104A
Upload-Labs-Pass-08
龙狼刺的博客
04-21 1218
一、相关知识 1、特殊符号绕过原理: Windows系统下,如果上传文件的文件名为test.php::$DATA,则会在服务器中生成一个为test.php文件,其中内容和所上传的文件内容相同,并被解析。 二、环境搭配 攻击机: kali IP: 192.168.0.112 靶机: Windows2008 IP: 192.168.0.130:9006 三、文件上传 1、创建webshell 格式:weevely generate 密码 ...
【漏洞靶场】文件上传后端检测图片绕过--upload-labs
m0_46344990的博客
05-01 1535
一、漏洞描述 在upload-labs第十四关,服务器用检测上传图片两个字节是否为图片格式来验证上传文件合法性。可以通过制作图片绕过,再配合文件包含漏洞解析文件来获取服务器配置信息。 二、漏洞发现 先在本地写php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php。但是在这里不能用php文件直接上传,需要制作图片绕过服务器检测文件二进制头信息。 有两种方法,但都是一个意思,将写入图片里面 方法一:准备z.php和一个真jpg图片用cmd命令行
upload-labs(Pass-10 ~ Pass-13)
最新发布
m0_64849639的博客
08-17 221
upload-labs
文件上传之图片混淆绕过与条件竞争
求大佬师傅带
09-07 1243
文件上传之图片混淆绕过与条件竞争
2-7 【实验】14-图片绕过+代码审计
山兔的博客
03-27 3544
这节课,我们要开始讲pass-13,讲的跟我们之前稍有点不一样,因为这个漏洞,它不是单个的利用,是结合其它漏洞一块去利用 今天的漏洞是上传图片到服务器,图片就是图片的一种木,就是带有木图片图片 注意的有三点: 1.保证上传后的图片中仍然包含完整的一句话或webshell代码。 2.使用文件包含漏洞能运行图片中的恶意代码。 这点就是我们这篇文章讲的组合漏洞的一个利用,就是利用文件包含漏洞 3.图片要.jpg,.png,.gif三种后缀都上传成功才算过关! 图片就是我们在图片当中插入一句
【文件上传绕过】——后端检测_内容检测图片绕过
weixin_45588247的博客
07-27 4924
文章目录一、实验目的:二、工具:三、实验环境:四、漏洞说明:五、实验过程:1. 图片制作:1.1 文件头检测+文件内容检测文件类型(没有进行后缀名白名单检测):1.1.1 webjianshangchuan靶场uploadgetimagesize上传:1.2 文件头检测(文件内容检测)+白名单(jpg png gif)文件后缀名检测:1.1.1 upload-labs闯关游戏(Pass-13):1.1.2 upload-labs闯关游戏(Pass-14): 一、实验目的: 1、通过本次实验掌握内容验证上
upload-labs19-20以及总结1
08-08
在Pass19中,可以通过在`save_name`参数中添加"00"来尝试绕过黑名单,但这可能需要特定环境支持。 6. **文件名处理**:在Pass20中,程序不仅检查文件扩展名,还检查MIME类型,提高了安全性。然而,它依然没有验证...
5.upload-labs—Pass05
qwsn
03-13 3024
一、Pass05 1、上传一个shell.php shell.php内容为:<?php @eval($_POST['123']);?> //结果如下图所示,提示我们此文件不允许上传 2、扩展名黑名单绕过方法: ①、上传,shell.php.jpg //尝试是否存在apache的解析漏洞 //结果,不能解析 ②、上传.htaccess //尝试,是否被过滤 //结果,被过滤 ③、打开...
upload-labs上传漏洞靶场(pass1-10)
zwish的信安之路
06-23 1733
pass 1 上传文件发现会弹窗提示 然后直接f12找到上传按钮所在的代码,将onsubmint事件删除即可 pass 2 发现上传时提示我们文件不允许上传,猜测是服务器端对文件的mime类型进行了验证 直接抓包修改mime类型为image/jpg,即可上传成功 pass 3 不允许上传.asp,.aspx,.php,.jsp后缀文件,但是可以上传其他任意后缀 .php .phtml .phps...
Upload-Labs-Pass-09
龙狼刺的博客
04-23 261
目录 一、相关知识 1、路径拼接绕过原理 二、环境搭配 三、文件上传 1、创建webshell 2、修改文件名 3、文件上传 四、Weevely连接 一、相关知识 1、路径拼接绕过原理 在没有对上传文件进行重命名的情况下,用户可以自定义文件名并在服务器中上传新建,就会造成对应的绕过黑名单。 二、环境搭配 攻击机: kali IP: 192.168.0.112 靶机: Windows2008 IP: 192.168.0.130...
文件包含+文件上传漏洞(图片绕过
woshicainiao666的博客
02-19 1439
文件上传+文件包含(图片上传)
upload-labs:pass-13
羽的博客
07-09 226
$is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); if(in_array($file_ext,$ext_arr)){ ...
文件包含-Uploadlabs-pass13关卡测试
Rnan_prince的博客
07-12 723
图片一句话制作方法 copy 1.png /b + shell.php /a webshell.jpg test13.php: <?php phpinfo(); ?> test1.jpg C:\Users\Rnanprince\Desktop\学习文档>copy test1.jpg/b + test13.php/a webshell.jpg test1.jpg 已复制 1 个文件。 生成文件 : 打开文件末尾有: 上传: 打开 ...
3-1 【实验】15-图片绕过+代码审计
山兔的博客
03-30 288
我们这篇文章,讲的是pass-14,14和13,它的方法是一样的,它们的区别是后台代码不一样,我们先按照13的步骤来,然后在根据后台代码进行分析一下,看看13和14,到底有什么区别 我们上传图片,菜刀连接 这样,我们就可以得到webshell,和上一篇文章是一摸一样的,我们这篇文章讲的就是,它的后台代码是如何实现的 函数声名isImage,代码执行到这里,只能加载到内存,不能执行 $res = isImage($temp_file); 判断一个文件是不是isImage,就到了我们的函数里面了 $ty
Upload-labs文件上传漏洞(图片)——Pass13
Zichel77的博客
07-28 9007
0×00 题目概述 0×01 源代码 function getReailFileType($filename){ $file = fopen($filename, "rb"); $bin = fread($file, 2); //只读2字节 fclose($file); $strInfo = @unpack("C2chars", $bin); $typeCode = intval($strInfo['chars1'].$strInfo['char
upload-labs_pass14_pass15_pass16_图片的制作_结合文件包含漏洞_getimagesize_exif_imagetype
qq_51550750的博客
04-11 1772
pass14-环境说明 phpstudy中php版本为7.3.4nts 补充一点:upload-labs这个靶场要想全部通过,必须要 调整环境(phpstudy的环境不行,就自行搭建一个apache和php的环境),而且在我已经做好的前13关靶场中,php的版本切换非常正常。所以如果你没有做出来,也很正常,关键是要理解各种绕过的姿势。 pass14-提示和源码 检查图标内容开头2个字节 这里牵扯到一个知识点。先买个小关子。 这一关跟前几关都很不一样: 要求上传的是图片。 源码: function g
文件上传漏洞练习 upload-labs(11~15)【双写绕过,get%00截断绕过,post 00截断绕过图片上传及绕过
bin789456的博客
08-24 933
写在前面 下面几道题目与php源码有关,如果你对php并不是很熟悉,或者看起来较为吃力,可以点击下方 源码分析链接 会有基础知识准备,同时在pass-03中有源码分析和对各个函数的讲解。 Pass-11 这里点开源码都不一样了,不再是之前的去点,转小写,去特殊字符等等函数。 来看看吧: $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $den
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值