Upload-Labs(1-5)

最新推荐文章于 2024-04-26 21:25:15 发布
最新推荐文章于 2024-04-26 21:25:15 发布
阅读量78 收藏
点赞数
分类专栏: 文件上传 文章标签: php web js upload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44022113/article/details/114239189
版权

介绍

大部分的网站和应用系统都有上传功能,而程序员在开发任意文件上传功能时,并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。这时攻击者可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(jsp、asp、php、aspx文件后缀)到服务器上,从而访问这些恶意脚本中包含的恶意代码,进行动态解析最终达到执行恶意代码的效果,进一步影响服务器安全。

在线靶机地址:

Pass-01

​ 尝试上传php木马,发现提示上传错误

在这里插入图片描述

​ 提示只能上传jpg、png、gif类型的图片。查看源码发现是一个前端的后缀过滤,那么我们尝试绕过前端的JS代码。

​ 源码:

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
        alert(errMsg);
        return false;
    }
}

​ 把文件后缀名改成jpg格式上传,使用burp suit抓包。把.jpg后缀重新改为.php即可实现绕过前端JS代码。

在这里插入图片描述

​ 然后右键打开图片,代码成功执行。完工

​ 注:后面题目的php代码都使用2333.php

<?php eval(phpinfo());

​ 执行结果是打印出php版本信息。

Pass-02

​ 源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

​ 发现文件判断是根据image/jpeg、image/png...进行过滤判定,这些值都是Http请求中的Content-Type常见的值,通常浏览网页中各种各样的文件类型的就是通过它判断。那么这道题的目标就是绕过它。贴一个我参考值种类的博客:Http请求中Content-Type

​ 同样是burp抓包修改Content-Type的值。

​ 打开图片,php代码成功执行。完工

Pass-03

源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

​ 发现只过滤了.asp、.aspx、.php、.jsp文件,那么可以使用php3、phtml、phps、php5文件绕过过滤,并执行语句。通常,在嵌入了php脚本的html中,使用 phtml作为后缀名;而php3,我的理解是php之前版本的文件后缀,如php5

​ 直接把2333.php改为2333.php3上传打开,执行成功。完工

在这里插入图片描述

Pass-04

源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

​ 好家伙,这次直接一大堆文件都被过滤了,几乎有问题的都在数组里。发现没有.htaccess文件过滤,所以上传一个.htaccess文件内容如下:

SetHandler application/x-httpd-php

​ 原理的话我讲一下个人的见解:.htaccess文件是一个apache服务器的配置文件,它的作用就是对于该目录下的所有文件都需要符合这个配置文件。然后上传的文件内容作用是:所有文件访问时都会解析为php。参考的博客:htaccess使用方法介绍

​ 接下来上传2333.jpg图片木马,再打开就会被成功解析为php文件并执行:
在这里插入图片描述

https://s1.ax1x.com/2020/11/09/BTqqc6.png

​ 完工

Pass-05

源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

​ 细心的话可以发现,这道题的源码中在末尾添加了.htaccess文件过滤,但是也少了一条语句

$file_ext = strtolower($file_ext); //转换为小写

目标就很明确了,直接使用大小写绕过过滤。

​ 打开图片成功执行。完工

深海神奇舰舰长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
upload-labs的搭建与通关1-5
h0ld1rs的博客
07-16 2135
文章内容搭建upload-labsdocker 搭建upload-labs浏览器无法加载出来正常页面upload-labs的通关1-5 搭建upload-labs docker 搭建upload-labs 我们正常搭建 docker search upload-labs docekr pull xxx docekr run -it --name xxx -p 80:80 --rm xxx 浏览器无法加载出来正常页面 因为此前我们做过sqli-labs,所以可能环境搭好后可能会有页面缓冲,像这样。 u
File Upload(文件上传)(upload-labs 1-5)
hclimg的博客
07-30 913
文件上传介绍 在现代的互联网WEB应用程序中,上传文件是一种常见的功能,它有助于提高业务效率,比如企业的OA系统,允许用户上传头像、照片等许多类型的文件。然而,开放的功能越多,WEB应用受到攻击的风险越大。如果WEB应用存在文件上传漏洞,那么攻击者就可以利用这个漏洞将可执行脚本程序上传到服务器中,获得网站的权限从而进一步危害服务器 文件上传原理 文件上传漏洞通常是未对客户端上传文件的类型、...
upload-labs靶场 1-5关 详细教学 上传漏洞
小明师傅博客
06-02 737
第一关 我们来上传一个一句话木马 php格式的 发现不允许上传php类型,只能上传图片类型 我们打算用bp抓包改包,实现上传通关 先把文件改成jpg类型,然后打开代理和bp抓包,再改成php类型 放包 上传成功 我们来查看上传地址,f12审查找到上传地址 菜刀连他 通关 第二关(记得把第一关的上传文件删了) 继续用第一关的方法试一下 发现还是可以直接成功的 但这里也可以有第二种方法 直接用php上传,抓包,看Content-Type的值 上传php文件时,Content-Type的.
当黑客就入门 Upload-Labs 1-5关
Tuye的博客
07-23 548
小马代码 <?php eval(@$_POST['a']); ?> 或者使用 <?php echo "Hello world!"; ?> Pass-01 Pass-02 Pass-03 Pass-04 Pass-05 **
upload-labs1-5
shangMD01的博客
02-24 4098
用浏览器打开upload: 第一关 -js检查 上传文件会获得提示 把文件后缀改为.jpg/.png/.gif,我这里用的是jpg: 打开burpsuite在upload上传修改后的文件进行爪包: 在burpsuite中修改文件进行回显: 第二关 仅判断Content-type类型 上传文件失败,对文件进行爪包: 在burpsuite修改Content-type类型为image/jpeg、image/png、image/gif的任意一种进行回显: ...
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
安装upload-labs
10-22
安装upload-labs
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
UPLOAD-LABS详细解题步骤
05-17
UPLOAD-LABS详细解题步骤
php开发工程师系统性教学】——Laravel框架(验证码)的配置和使用的保姆式教程
php优质创造者
04-21 1605
👨‍💻。
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
ALex_zry的博客
04-22 466
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
webman 事务回滚失效问题记录
juan9872的博客
04-21 679
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
Laravel 6 - 第十五章 验证器
逆旅岁月的博客
04-22 1465
用于验证输入数据是否符合特定规则的一个组件,Laravel 6 提供了一个简洁且强大的验证系统,可以轻松验证来自用户输入或其他来源的数据。
攻防世界 easyphp
最新发布
tgmhh的博客
04-26 199
本题主要利用的知识点是php绕过
如何使用PHP进行图片处理?
Xs_layla的博客
04-26 172
如何使用PHP进行图片处理?使用PHP进行图片处理是一项强大的功能,它可以让你在服务器端对图像进行各种操作,如裁剪、缩放、添加水印、调整颜色等。这通常通过使用GD库或Imagick扩展来实现。下面将详细介绍如何使用PHP和这两个工具进行图片处理。
了解HTTP代理服务器:优势、分类及应用实践
qq_42992840的博客
04-26 320
通过缓存服务器的方式,它可以将客户端请求的资源暂时保存在本地,当其他客户端再次请求相同的资源时,它可以直接返回本地缓存的副本,减少了对服务器的访问,从而提高了访问速度。通过配置代理服务器的规则,我们可以限制特定的网络访问,屏蔽恶意网站或内容,保护用户的网络安全。那么,HTTP代理服务器到底是什么?在内容过滤方面,代理服务器可以根据配置的规则过滤恶意网站、广告和垃圾邮件等内容,提供更加清洁和安全的网络环境。在加速访问方面,代理服务器通过缓存和压缩技术,可以加快用户对网页和文件的访问速度,提供更好的用户体验。
木马——文件上传
欢迎大家一起成长
04-21 521
WebShell就是以网页文件形式(asp\php\jsp)存在的一种命令执行环境,客户端通过远程连接,利用W ebS h ell连接到服务器,并可对服务器进行操作。前提是后端一定可以解析这种环境。
使用YOURLS生成短链(统计点击数)
小码过河
04-26 17
http://ip+端口/admin。
Upload-Labs-Linux 1
07-27
回答: Upload-Labs-Linux 1是一个靶场,其中包含了一系列的安全挑战,旨在帮助用户学习和提高对于Web安全的理解和技能。在这个靶场中,有多种方法可以完成挑战。引用\[1\]提供了一种方法,即通过禁用浏览器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值