DAY14:Upload-labs 通关教程

最新推荐文章于 2024-04-15 19:44:34 发布
最新推荐文章于 2024-04-15 19:44:34 发布
阅读量656 收藏 8
点赞数 1
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49433473/article/details/126002913
版权

DAY14:Upload-labs 通关教程

Pass-01、客户端 JS 检测

请添加图片描述

试着传了一个 php 发现浏览器弹窗 JS 提示,那么直接上 bp,勾选 Remove all JavaScript,对页面进行刷新,在进行上传。

请添加图片描述

请添加图片描述

上传成功。蚁剑连接getshell

Pass-02、MIME 文件类型检测

超文本标记语言.html文件:     text/html
普通文本.txt文件:			 text/plain
PDF文档.pdf: 				application/pdfPNG
图像.png: 				image/png
GIF图像.gif: 				image/gif
MPEG文件.mpg、.mpeg: 		video/mpeg
二进制流:				  application/octet-stream

$_FILE['upload_file']['type']        #获取上传文件的MIME-Type类型

这里我们可以通过 bp 抓包修改 Content-type 文件类型来进行绕过上传,具体可以修改为什么根据其允许类型修改

f (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {

这里我们看到允许jpeg、png、gif 类型上传。直接上传 php 文件。

请添加图片描述

将 application/octet-stream 改为 image/gif

发包,上传成功,蚁剑连接getshell

Pass-03、后缀名修改绕过

$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空

根据代码发现,本关不允许上传第一行代码后缀,空格绕过,文件流格式绕过,大小写绕过,点后缀绕过,但是,我们有很多种不同后缀名的 php :

php、php2、php3、php5、phtml

随意修改名字上传即可。

请添加图片描述

蚁剑连接 getshell

Pass-04、apache配置 .htaccess 解析文件方式绕过

$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

​ 通过一个.htaccess文件调用php的解析器去解析一个文件名中只要包含"as.png"这个字符 串的任意文件,所以无论文件名是什么样子,只要包含"as.png"这个字符串,都可以被以php的 方式来解析,一个自定的.htaccess文件就可以以各种各样的方式去绕过很多上传验证机制。

新建一个 .htaccess 文件名,内容为

SetHandler application/x-httpd-php

意思是将上传的所有文件以 php 方式解析,即 php 格式。

那么首先上传 .htaccess 文件 。接下来上传图片马。

图片马制作方式:

准备一张纯净图片和写好的一句话代码,在此目录下打开终端输入下面的代码:

copy name1.jpg/b + name2.php  name3.jpg

请添加图片描述
请添加图片描述
请添加图片描述

可以看到解析成功,蚁剑连接geishell

Pass-05、大小写绕过

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

本关禁止使用点后缀绕过、空格绕过、文件流传输绕过,考虑使用大小写绕过,

windows系统下,对于文件名中的大小写不敏感,Linux系统下,对于文件名中的大小写敏感。

可以上传文件名为 111. PhP 文件名上传成功,上传111.PHP 成功
请添加图片描述

蚁剑连接getshell

Pass-06、空格绕过

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = $_FILES['upload_file']['name'];
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

审代码,容易发现是空格绕过

​ windows系统中,对于文件名中空格会被作为空处理,程序中的监测代码却不能自动删除空格,从而绕过黑名单,针对这样的情况需要用到bp截断httpp请求后,修改对应文件名+添加空格

1.php + 空格

请添加图片描述

上传成功,蚁剑连接 getshell

Pass-07、. 号绕过

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

根据代码分析得出可以进行点后缀绕过

1.php + .

请添加图片描述
请添加图片描述

解析成功,蚁剑连接 getshell

Pass-08、路径拼接绕过

​ windows系统下,如果上传的文件名中text.php::$DATA会在服务器上生成一个text.php文件,其中内容和所上传文件内容相同,并被解析

1.php  +  ::$DATA

请添加图片描述

上传成功,蚁剑连接 getshell

Pass-09、路径拼接绕过

 $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

本关禁止点后缀,大小写,::$DATA,空格,等绕过

可以进行考虑路径拼接绕过

1.php .+ 空格 +.

请添加图片描述

上传成功,蚁剑连接getshell

Pass-10、后缀名双写绕过

$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);

1.p+ php +hp

经过过滤得到文件名 1.php
请添加图片描述

蚁剑连接 getshell

Pass-11、路径00截断(POST型)

白名单判断,但$img_path是直接拼接,因此可以利用%00截断绕过

截断条件:php版本小于5.3.4,php的magic_quotes_gpc为OFF状态

%00是一个url编码,url发送到服务器后就被服务器解码,这时还没有传到验证函数,也 就是说验证函数里接收到的不是%00字符,而是%O0解码后的内容,即解码成了Ox00,比如

 https://localhost/upfile/?file=test.txt

此时输出的是test.txt 加上%00

 https://localhost/upfile/?file=test.php%00.txt

此时输出的是test.php,绕过了后 缀限制,可以上传webshell

请添加图片描述

上传成功,进入路径发现1.php 后有个一无法编码的字符,去掉,即可 getshell,蚁剑连接。

请添加图片描述
请添加图片描述

Pass-12、路径名00截断(post)

因为POST不会像GET对%00进行自动解码,所以需要在二进制中进行修改

请添加图片描述请添加图片描述

路径上添加空格在 hex中将 相应行数后改为 00 特殊编码然后 run,上传成功

请添加图片描述

对路径中 1.php 后特殊符号删除,访问成功,蚁剑连接 getshell

Pass-13、文件头解析绕过

图片马:上文已经教了如何制作

源码读取前2个字节判断上传文件的类型,判断通过后,便重新给文件赋予新的后缀名

构造:include.php?file=upload/shell.jpg , include 会以本文的形式读取 shell.jpg 的内容,这样存在于 shell.jpg 里的一句话木马就

可以执行

只检查文件头的类型,写上 GIF89a 可解析为 gif 文件,上传后,根据include 函数的特性,上传图片马,找到 include.php 的路径,使用文件包含漏洞即可访问,蚁剑连接 getshell

请添加图片描述

Pass-14、文件内容检测

image_type_to_extension 根据指定的图像类型返回对应的后缀名

方法同上,使用 include 函数,检查文件体的类型

请添加图片描述

蚁剑连接 getshell

Pass-15、文件内容检测

方法同上

请添加图片描述

Pass-16、图片二次渲染,内容检测

is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

同上,需要处理好的图片这里网上搜搜就好啦(能抵挡两次图片渲染代码依旧健在)

请添加图片描述

Pass-17、文件内容检测

同上,使用 include.php
请添加图片描述

EdmunDJK
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通关选择】upload-labs通关攻略(大全)
Continuejww的博客
11-02 2064
前提条件:1.文件能够成功上传到服务器2.攻击者能够知道文件的上传路径。
Upload-labs通关攻略(适合新手)
夜思红尘的博客
04-12 2116
这是一篇关于upload-labs通关攻略,适合新手
Upload-labs通关攻略(适合新手)_upload-labs第十四关
最新发布
04-15 755
这是upload文件上传漏洞相关的靶场,适合新手第一关:直接上传发现,有js前端检测。于是我直接修改网页源码,从而绕过检测。成功上传,并连接。
Upload-labs(1-21关详细教程)【简单易懂】【万字教程
墨鱼菜鸡
09-10 3505
目录 思维导图 练习网站: 注意: 知识点 Pass-01 代码: 提示: 解题思路: Pass-02 知识点: 代码: 提示: 解题思路: Pass-03(本关需要使用自己搭建upload-labs) 代码: 提示: 解题思路: Pass-04 代码: 提示: 解题思路: Pass-05(建议使用本机搭建的...
文件上传漏洞的学习和总结(upload-labs第14到21关)
古语静水流深
06-11 1860
第14关:上传图片马来达到后门的效果。图片马如何制作呢:在cmd中执行: copy 9.jpg/b+test.php 2.php.jpg
upload--labs通关详解
m0_52051132的博客
10-15 2067
利用方法:设置上传路径为 upload/phpinfo.php%00 ,添加 phpinfo.php%00 内 容为了控制路径,上传文件后缀为白名单即可 例:test.jpg ,保存后为 /upload/phpinfo.php%00test.jpg ,但服务端读取到%00 时会自动结束,将文件 内容保存至 phpinfo.php 中。.user.ini。漏洞描述:后缀名做了白名单判断,然后会一步一步检查文件大小、文件是否 存在等等,将文件上传后,对文件重新命名,同样存在条件竞争的漏洞。
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
安装upload-labs
10-22
安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 安装upload-labs的...
upload-labs通关手册
12-03
详细记录了upload-labs靶场的通关步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
upload-labs19-20以及总结1
08-08
在本关卡中,我们面对的是一个Web应用程序的文件上传功能。从题目描述和源码分析,我们可以看到存在几个关键的防御措施,但同时也存在明显的漏洞。首先,我们需要理解文件上传的基本流程及其潜在的安全风险。...
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件上传漏洞专项练习靶场,内涵各种文件上传漏洞类型,采用关卡制,一共21关,由易到难,适合刚接触该漏洞的新手巩固练习
upload-labs靶场1~3通关攻略(超详细,适合小白)
qq_34780861的博客
10-01 1338
文件上传漏洞是分为前端(浏览器)、中端(防火墙)、后端(数据库)这三个阶段进行防御的,在upload-labs靶场中均有体现,大家可以根据作者思路进行学习。 第一关 查看提示:本pass在客户端使用js对不合法图片进行检查! 通关思路:既然是在客户端使用js进行检查,那我就把客户端的js给它禁掉,这样就不检查直接上传了。
文件上传之upload-labs-docker通关教程
qq_38634097的博客
11-23 1057
简单说明:文件上传的漏洞和文件解析漏经常配合使用进行攻击,在没有文件解析漏洞的时候,即使上传了木马文件,该文件也无法解析。所以文件上传漏洞利用的前提条件有两个,一是有文件解析漏洞、二是有文件上传漏洞。程序在进行文件类型验证的时候,一般分为前端验证和后端验证,若是前端验证,我们可以通关直接修改源码进行绕过,也可以通过抓包工具来验证,若是没抓到包,则说明是前端验证,因为前端代码拦截了我们上传的文件类型,所以没有向服务器端发送。
upload-labs通关攻略教程【1-11关】(持续更新中)
m0_55854679的博客
05-23 9924
Pass-01-js检查 查看题目源码,发现三种后缀的文件可以上传。 上传一个后缀为.jpg的文件,文件内容为一句话木马<?php phpinfo();?>使用burp抓包并修改文件后缀为php,查看响应 上传成功后点开图片木马,发现php配置页面,说明上传成功。 Pass-02-MIME验证(content-type验证) 查看题目源码 查看题目提示为MIME验证,分析源码,可以通过burp抓包修改数据包的第二个content-type,并查看响应。 3. 拖拽点击上传成功的图片木马
upload-labs通关详解
weixin_45808483的博客
11-04 7934
Pass-01 尝试上传.php文件,提示不成功。只能上传图片类型的文件。 分析原因:是因为前端js拦截了,我们先将php文件后缀修改成合法的格式(.gif ),在使用burpsuite抓包,再修改.php后缀。 我们可以再upload的相应包中看一下我们是否将文件上传成功了。 可以看到我们成功的将一句话木马上传至靶场的服务器。 POST[] 中是自己的密码。 到这里以及成功了,我们可以尝试使用蚁剑连接。 Pass-02 第一步还是...
upload-labs(12-21)通关教程
墨子辰的博客
01-29 3203
目录第十二关:%00截断上传第十三关:00截断第十四关:图片马+文件包含漏洞第十五关:图片马+文件包含漏洞第十六关:图片马+文件包含漏洞第十七关:图片马+二次渲染+文件包含第十八关:条件竞争第十九关:条件竞争第二十关:空格绕过第二十一关:/ + 数组 绕过 第十二关:%00截断上传 从这一关开始,就是白名单上传了。前一期已经对白名单进行了解释,在这就不再BB了 $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr
upload-labs Pass-01--Pass-14
weixin_47387913的博客
03-05 358
upload-labs pass-01~pass-14 接pikachu靶场的练习的文件上传部分,upload-labs靶场是收集了渗透测试和CTF中遇到的各种上传漏洞,对文件上传有全面的了解,若有错误请前辈们指正。 Pass-01 上传一个webshell到服务器,上传图片成功,试试上传一个phpinfo.php文件。 查看提示和源码 只能上传这3种文件,那么通过burp抓包修改文件类型。 上传成功,复制图像地址查看上传结果。 Burp抓包修改文件类型可上传成...
upload-labs】————15、Pass-14
Fly_鹏程万里
08-15 557
闯关界面: 判断是前端检测还收后端检测 查看源代码: 依旧采用刚才的方式利用即可: 成功上传:
upload-labs 通关攻略
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-15 4054
项目地址:https://github.com/c0ny1/upload-labs 1、上传漏洞总结 2、upload_labs 1、客户端使用JS校验 直接禁用JS即可,或者直接F12重新定义一下校验函数,使校验函数无效。 2、修改content-type 使用burp抓包,修改Content-Type的值为image/jpeg,成功绕过。 3、使用特殊后缀绕过 使用特殊后缀php3、phtml等。 4、.htaccess AddType application/x-httpd-php .png
upload-labs靶场通关教程
08-18
下面是一个针对 Upload-labs 靶场的通关教程: 1. 首先,你需要下载 Upload-labs 靶场并将其部署到本地或服务器上。你可以从 GitHub 上的官方仓库(https://github.com/c0ny1/upload-labs)中获取最新版本。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值