upload-labs 21关解析

最新推荐文章于 2024-09-15 00:30:13 发布
最新推荐文章于 2024-09-15 00:30:13 发布
阅读量560 收藏 3
点赞数 10
文章标签: 前端 服务器 upload php upload-labs github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46493912/article/details/139144851
版权

目录

一、代码审计

二、实践

三、总结

一、代码审计

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

对源代码进行分析

$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];

这是个三元运算符,判断 'save_name' 是否为空 

(A ? B : C  ,如果A成立,则运行B,否则运行C)

如果用户提交的'save_name'为空,则使用上传文件的原始文件名,若不为空则使用该参数值作为文件名

 if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

判断 $file 是不是数组,如果不是数组,则使用 . 进行切分变为数组

比如 cooper.php.jpg,切分为 cooper php jpg 分别对应数组三个元素

 $ext = end($file);

从数组中获取最后一个元素作为扩展名

经过这两条分析,想想为什么要判断 'save_name' 参数是否为数组呢?

难道POST提交的不都是字符串吗?

那么就进行测试

发现请求参数可以直接以数组的方式提交

那么我们能否去构造一个POST请求的save_name参数,将文件后缀名改为jpg,但文件本身还是cooper.php

问题保留一下,接着分析

$file_name = reset($file) . '.' . $file[count($file) - 1];

reset函数为调用第一个元素

拼接文件名:数组第一个元素 + . + 数组最后一个元素

比如文件名为cooper.php,则 $file_name = cooper + . + php

那么如果直接上传的不是字符串,而是数组会怎么样?

比如save_name[0] = cooper.php , save_name[2] = jpg

按照拼接方法那我们构造的文件最后的方式为:

$file_name = cooper.php . $file[1]   ==> cooper.php.空

理论可行,实践开始!

二、实践

首先上传一个带有木马的php文件,使用burp抓包

.

将其修改为以下格式

提示上传成功,那么就来测试一下

试验成功!

三、总结

复盘一下:先进行代码审计,然后看到分割数组,思考为什么要进行分割,难道POST可以上传数组吗?然后进行实验,实验验证确实可以上传数组形式。接着代码审计,发现文件拼接时具有漏洞,那么构造payload进行尝试,最后成功!

_Cooper_
关注
upload-labs 21大合集
wo41ge的博客
07-19 5126
upload-labs Pass-01 首先直接查看提示
upload-labs通(第20—第21
qq_73985955的博客
08-06 357
如果我们没有修改这个文件后缀名,并且我们上传的php文件里面刚好是一句话的话,那保存为jpg文件后就又变成了图片马了,这时候只能使用文件包含漏洞或者解析漏洞来进行文件读取了。注意:思路二我们绕过的地方是upload-19.php这个地方,也就是我们保存的文件名的地方。:这也是可以使用文件包含漏洞来进行上传图片马,然后用蚁剑进行连接(这里不过多赘述):这可以使用文件包含漏洞来进行上传图片马,然后用蚁剑进行连接(这里不过多赘述)这的原理我也不太懂,我也是看了其他大佬的wp才知道这个方法的。
文件上传及upload-labs闯
anananan145的博客
07-15 2947
文件上传
upload-labs第九教程
Estera的博客
06-11 469
备用数据流(Alternate Data Streams,ADS)是Windows中的一个特性,它允许在一个文件中隐藏额外的信息。这个特性是NTFS(Windows常用的一种文件系统)独有的。可以这样想:可以把备用数据流想象成一本书中的“隐形笔记”。这本书(文件)看起来还是那本书,里面的主要内容没有变,但你可以在书页的空白处(备用数据流)用隐形墨水写一些额外的内容(数据流),只有知道方法的人才能看到这些内容。
upload-labs第二教程
Estera的博客
06-04 1265
upload-labs第二教程
upload-labs-14-21
cike_y
08-26 772
以包含的文件以脚本格式去执行,file为文件包含的参数值。也就是以脚本执行文件包含所具有的特征值,特征值也就是所包含文件的特征
Upload-labs 1-21 靶场通攻略(全网最全最完整)
热门推荐
晚安這個未知的世界
03-21 7万+
Pass-1(前端验证) 因为是进行前端JS校验,因此可以直接在浏览器检查代码把checkFile()函数(即如下图红色框选中的函数)删了或者也可以把红色框改成true,并按回车,即可成功上传php文件 复制图片地址并用蚁剑进行连接 Pass-2(MIME验证) 分析代码,可以看到,后端PHP代码只对content-type进行了检查 使用bp抓包,修改上传的PHP的content-type为image/png Pass-3(黑名单验证,特殊后缀) 这题本人使用的是PHP5.2.17环境 分析代码
upload-Labs靶场“1-5”教程
钟言的博客
03-01 8110
本篇为upload-Labs靶场的第一到第五的通教程,详细内容包含了:环境搭建 第一 前端JS检测后缀 1、源码分析 2、禁用浏览器JS上传 3、burp抓包修改 三、第二 MIME头验证 1、源码分析 2、burp抓包绕过 四、第三 PHP3绕过 1、源码分析 2、PHP3绕过 五、第四 .htaccess重写绕过 1、源码分析 2、.htaccess复写 六、第五 黑名单大小写绕过 1、源码分析 2、大小写绕过上传
upload-labs第十二教程
Estera的博客
06-14 953
PHP中作用是判断解析用户提示的数据,包括post/get/cookie过来的数据增加转义字符"\",以确保这些数据不会引起程序出现致命错误。在magic_quotes_gpc=on的情况下,如果输入数据有单引号/双引号/反斜线/null字符等,都会被加上反斜线。
upload-labs 全21 write-up
ST0new的博客
03-06 4172
upload-labs 从经典靶场入手,看文件上传发展经历 下载 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20,每一都包含着不同上传方式。 下载地址:https://github.com/c0ny1/upload-labs/releases 在 win 环境下 直接解压到phpstudy下即可 绕过方式 从以下练习中提炼出文件上传的绕过方式 上传文件类型不收限制 前端Javascript
手把手教你玩转upload-labs靶场(1--20超详细保姆级)
weixin_52796034的博客
08-23 853
Upload-labs靶场是一个内容全面且开源的PHP文件上传漏洞训练场所。它以真实的文件上传漏洞场景为基础,为安全研究人员和开发人员提供了一个实践和学习的平台。靶场提供了多种不同类型的漏洞场景,涵盖了文件类型绕过、文件名绕过、MIME类型绕过、大小限制绕过等多个方面。每个场景都有详细的解题思路和说明,帮助用户深入理解漏洞的原理和利用方式。通过上传恶意文件,用户可以亲身体验漏洞的利用技巧,并学习如何防范这些漏洞。Upload-labs靶场不仅提供了实践性,还提供了防御机制的实践,帮助用户全面了解如何保护系统
upload-labs 第四攻略】
m0_71635484的博客
02-23 699
upload-labs第四
文件上传绕过总结(附upload-labs 21教程
一期一会的博客
02-11 3705
0x01 前端绕过(Less-1) 数据上传后为提交到服务器,而是由于网站页面的js对其进行过滤,确认是否可以上传,删除限制上传js规则即可。 0x02 后端绕过 1.黑名单绕过 1) 上传特殊可解析后缀 (Less-3) 按照往常改后缀为php发现不允许上传.asp,.aspx,.php,.jsp后缀文件!黑名单 尝试php2、php3、php4等特殊后缀 2) 上传.htaccess (Less-4) $deny_ext=array黑名单中没有限制.htaccess后缀的文件,因此使用.htacc
Vue 3:实现页面返回上一页的功能
最新发布
weixin_73060959的博客
09-15 265
在Vue 3中,可以使用Vue Router库来实现页面返回上一页的功能。首先,确保你已经安装并设置了Vue Router。这两个方法都可以使浏览器的历史记录回退一步。来获取Vue Router实例。然后,我们定义了一个。函数会被触发,从而使浏览器返回到上一个访问的页面。在这个例子中,我们使用。
-webkit-box-reflect属性与倒影效果的实现
读心悦
09-13 594
是一个非标准的 CSS 属性,主要用于在 WebKit 浏览器(如 Chrome 和 Safari)中创建元素的倒影效果。这个属性并不是 CSS 规范的一部分,但在实践中经常被用来实现简单而有趣的视觉效果。
​美​团​一​面​
qq_43858368的博客
09-14 1708
同步代码:按照代码的书写顺序立即执行。异步代码:通过键字,异步操作会被放入微任务队列中等待执行。事件循环:在同步代码执行完毕后,事件循环会检查并执行微任务队列中的任务。async2script endasync1 end这个顺序反映了JavaScript中同步与异步代码的执行机制以及事件循环的工作原理。定义:HEAD请求是一种HTTP方法,它请求服务器返回与GET请求相同的响应头部,但不返回响应的主体部分。用途:主要用于获取资源的元信息,如文件大小、最后修改时间等,而无需下载整个资源。定义。
前端项目node版本问题导致依赖安装异常的处理办法
weixin_44703272的博客
09-14 442
解决前端项目中的Node版本问题通常涉及以下步骤:检查项目文档:查看项目是否有特定的Node版本要求,如果有,确保你的Node版本与之兼容。使用Node版本管理器:如nvm(Node Version Manager)或n。它们可以让你在同一台机器上安装和切换不同版本的Node。
upload-labs第十一
07-25
回答: upload-labs第十一是一个文件上传的挑战。根据引用\[1\]和引用\[2\]的内容,我们可以了解到在这个挑战中,我们需要利用%00截断来绕过文件上传的限制。当我们上传一个文件时,我们可以在文件名后面添加%00来截断后面的文件名,从而绕过后缀检测。此外,根据引用\[3\]的内容,我们还可以利用条件竞争来绕过文件重命名的限制。通过不断发送上传图片马的数据包,我们可以利用条件竞争的漏洞,使得程序来不及进行文件重命名,从而成功上传恶意文件。此外,还可以利用Apache服务器解析漏洞,将上传的文件当做php文件解析,从而执行恶意代码。总之,通过利用%00截断、条件竞争和解析漏洞,我们可以成功绕过文件上传的限制,完成upload-labs第十一的挑战。 #### 引用[.reference_title] - *1* [upload-labs-master 文件上传 第十一和十二](https://blog.csdn.net/dd_c1d/article/details/119894881)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [文件上传upload-labs第十一至十九](https://blog.csdn.net/qq_43480081/article/details/102553732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值