upload-labs通关小记 Pass11-16 含代码审计

已于 2023-03-21 17:37:07 修改
阅读量717 收藏
点赞数 1
分类专栏: OWASP Top10 文章标签: php 服务器 前端
于 2022-10-26 19:31:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51789211/article/details/127538781
版权

upload-labs通关小记 Pass11-16

"upload-labs通关小记"系列相关:
01:upload-labs通关小记 Pass1-10
02:upload-labs通关小记 Pass11-16 含代码审计(当前文章);
03:upload-labs通关小记 Pass17-20 含代码审计

文章目录

第十一关——%00绕过(GET)

审计代码:

请添加图片描述

我们上传有合法名称的文件,并GET提交方式中修改"save_path"的值。

在其后添加"webshell.php%00",php在解析到%00时会认为是结束标识,从而将停止对$img_path的后续字符拼接,那么save_path的值即是$img_path的最终值,所以我们的文件被服务端保存为"…/upload/webshell.php"。

请添加图片描述

不过此时若要使用蚁剑连接webshell,注意要找对webshell.php的正确路径。

请添加图片描述

第十二关——0x00绕过(POST)

审计代码:

请添加图片描述

原理同第十一关,我们需要在POST提交方式中修改"save_path"的值。

但由于GET和POST对于00截断的处理有所不同:POST不会对%00进行解码,我们只能用0x00绕过。

请添加图片描述

具体操作:

请添加图片描述

webshell上传成功

第十三关——文件内容检查

审计代码:

服务端对文件前两个字节的数据进行了读取,并验证是否对应各类型图片的文件头。

更多关于php中pack()和unpack(),请阅读:PHP中pack、unpack的详细用法PHP:pack - Manual

请添加图片描述

Ⅰ.上传图片马

两种上传图片马的方法可行:

(更多图片马的制作方式:图片木马制作大法

①用copy命令制作一个图片木马并上传。

先准备一个内含"一句话木马"的.php文件和一个trojan.png图片文件:

请添加图片描述

在cmd中,找到对应目录,并使用copy命令制作图片马(pic_trojan.png):

请添加图片描述

此时上传pic_trojan.png即可。

②将webshell.php更改为图片后缀名,并为其添加对应的文件幻数

常见的图片文件格式对应的文件幻数
JPGFF D8 FF E0 00 01 4A 46 49 46
GIF47 49 46 38 39 61
PNG89 50 4E 47 0D 0A 1A 0A

先直接上传webshell.png。

请添加图片描述

然后在Burp Suite中修改其文件内容,在文件前面添加89 50两个字节。

请添加图片描述

然后便可成功上传。

Ⅱ.利用本pass中的文件包含漏洞来运行图片马中的恶意代码

请添加图片描述

分析如下:

请添加图片描述

在本页面以GET方式提交file=上传至服务端的图片马路径。

请添加图片描述

蚁剑也可以成功连接

请添加图片描述

第十四关——文件内容检查

审计代码:

请添加图片描述

更多关于getimagesize(),请阅读:PHP: getimagesize - Manual

制作图片马:

添加GIF文件头(HEX)构造了webshell.gif

请添加图片描述

PNG文件头(HEX)构造了webshell.png

请添加图片描述

但不知为何,此pass中,有jpg文件头的webshell.jpg不能成功上传,另选择用copy命令直接将恶意代码写入一张.jpg图片的文件尾,可以成功上传jpg_webshell.jpg。

请添加图片描述

添加了jpg文件头却无法成功上传的webshell.jpg

请添加图片描述

本Pass的文件包含漏洞的利用方式同Pass-13。

第十五关——文件内容检查

审计代码:

请添加图片描述
exif_imagetype()如果发现了文件中恰当的签名则返回一个对应的常量,否则返回false,返回值和getimagesize()返回的数组中的索引 2 的值是一样的;更多关于exif_imagetype(),请阅读:PHP: exif-imagetype - Manual

此Pass需要打开php的exif扩展,否则无法正常交互,关于详细内容,请阅读:PHP exif扩展方法开启详解

  1. 先在phpstudy中勾选php_exif选项
    请添加图片描述
  1. 然后在php.ini中删除extension=php_exif.dll之前的分号’‘;’’

请添加图片描述

随后便可成功上传图片马。

而在Pass-14不能上传的webshell.jpg(手动添加jpg文件头构造的那一个图片马)在此pass却可以成功上传。

个人猜测可能是Pass-14的getimagesize()和Pass-15的exif_imagetype()对文件类型的检测机制不同所导致。

本Pass的文件包含漏洞的利用方式同Pass-13。

第十六关——二次渲染

先上传一张gif图片马。
请添加图片描述

上传成功后,保存服务器经过二次渲染后返回的新图片,记为gif_trojan_return.gif。

请添加图片描述

通过WinHex打开两张图片。

请添加图片描述

点击"“查看(V)”=>“同步和比较(&)”,随后WinHex会比较两文件,相同处是白底,不同处是黑底。

请添加图片描述

我们用一句话木马覆盖一块儿未被服务端替换的区域(这里不应该是文件开头,如下图中偏移量未96和112的两行),然后保存修改记录。

在这里插入图片描述

再次上传图片马(我们重新添加过一句话木马后的gif_trojan_return.gif)

请添加图片描述

保存服务器第二次返回各我们的图片文件,记为gif_trojan_return_2.gif,

并使用文件内容查看工具WinHex检查一下,我们之前写的一句话木马是否仍然存在。

请添加图片描述

如上图,一句话木马在gif_trojan_return_2.gif中仍然存在,那么说明我们的一句话木马绕过了服务端的二次渲染。

接下来就可以像Pass-13一样,利用文件包含漏洞打开webshell了。

请添加图片描述

Neonline
关注
专栏目录
Upload-Labs高级+代码审计
afei001
02-24 289
目录 15.Pass-15:图片马绕过getimagesize() 16.Pass-16:图片马绕过exif_imagetype() 17.Pass-17:图片马绕过图像二次渲染 18.Pass-18:条件竞争绕过 19.Pass-19:条件竞争加解析漏洞绕过 20.Pass-20:%00截断或者加.绕过 21.Pass-21:数组结合Windows特性绕过 前言:本文涉及的python脚本不要做伸手党Ctrl+c Ctrl+v,尝试自己去写,你也可以。 ...
Upload-Labs初级+代码审计
afei001
02-09 333
目录 一、Upload-Labs环境搭建 1.Pass-01:前端绕过 2.Pass-02:Content-Type绕过 3.Pass-03:PHP后缀绕过 4.Pass-04:覆盖.htaccess绕过 5.Pass-05:上传.user.ini绕过 6.Pass-06:后缀大小写绕过 7.Pass-07:空格绕过 一、Upload-Labs环境搭建 upload-labs是github上的一个开源项目,可以帮助安全人员学习PHP环境下各种文件上传的绕过方式和原理,...
upload-labs通关手册(10-20)加代码审计
xiao_he0123的博客
03-25 4550
upload-labs通关手册(10-20)前言二、通关手册pass-10(黑名单之双后缀名绕过)源码分析通关方法pass-11(白名单之%00截断绕过)源码分析通关手册pass-12()总结 前言 上篇博文记录了1-9通关手册,这篇文章我们记录一下10-20通关手册 二、通关手册 pass-10(黑名单之双后缀名绕过) 源码如下 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(
upload-labs第十三教程
Estera的博客
06-18 674
将可控参数那块加入eval.php空格—>选择hex模块—>找到eval.php的位置—>修改空格的十六进制为00。/upload/eval.php%00进行手动解码,快捷键ctrl+shift+u。这个是一个php代码,然后保存为png文件就行了。需要注意的是:eval.php背后的一大串会被截断。修改之前和上面的一样。
upload-labs代码审计 1-12
weixin_44747030的博客
11-01 634
upload-labs代码审计
Upload LABS Pass-11
热门推荐
wangyuxiang946的博客
07-05 1万+
uploadlabs11,upload labs 第十一在服务端使用了白名单 , 但文件保存路径外漏 , 可以使用00截断
Upload-Labs-Pass-11
龙狼刺的博客
04-23 1853
目录 一、相知识 1、GET型00截断原理: 二、环境搭配 三、文件上传 1、创建webshell 2、修改文件名 3、设置代理 4、文件上传 四、Weevely连接 一、相知识 1、GET型00截断原理: 0x00是十六进制表示方法,是ASCII码为0的字符,在有些函数处理时,会把这个字符当做结束符。系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。在PHP5.3之后的版本中完全修复了00截断。并且00截断受限于GPC,addslashes函数。 二、环境搭.
upload-labs 学习笔记(五)Pass 17-21
闵行小鱼塘
09-28 503
继续学习upload-labs,本篇是Pass 17-21,至此upload-labs学习告一段落
安装upload-labs
10-22
同时,upload-labs还提供了详细的课程讲解和write up(通关指南),可以帮助您更好地理解和掌握文件上传漏洞的防御方法。 结语 安装upload-labs是一个非常重要的步骤,它可以帮助您快速掌握文件上传漏洞的基础知识...
Upload-labs通关的一些键步骤和思路
最新发布
07-13
Upload-labs通关的一些键步骤和思路
upload-labs通关攻略教程【1-11】(持续更新中)
m0_55854679的博客
05-23 9959
Pass-01-js检查 查看题目源码,发现三种后缀的文件可以上传。 上传一个后缀为.jpg的文件,文件内容为一句话木马<?php phpinfo();?>使用burp抓包并修改文件后缀为php,查看响应 上传成功后点开图片木马,发现php配置页面,说明上传成功。 Pass-02-MIME验证(content-type验证) 查看题目源码 查看题目提示为MIME验证,分析源码,可以通过burp抓包修改数据包的第二个content-type,并查看响应。 3. 拖拽点击上传成功的图片木马
WEB渗透学习-upload-labs靶场
04-20
**WEB渗透学习-upload-labs靶场详解** 在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个卡,从基础...
文件上传--Upload-labs--Pass11--(GET)00绕过
2302_79800344的博客
02-19 461
00绕过,高版本php已修复
Upload-Labs中级+代码审计
afei001
02-21 244
8.Pass-08:文件末尾加点(.)绕过 利用Windows的特性:windows会对文件中的点进行自动去除,所以可以在文件末尾加点绕过。注意:对Linux系统不适用。 上传成功,上传的PHP文件解析成功,菜刀连接即可。 PHP代码分析: $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_...
upload-labs通关手册(1-9)加代码审计
xiao_he0123的博客
03-23 4828
upload-labs通关手册前言一、文件上传二、通关手册1.pass-012.pass-02(白名单之MIME绕过 )代码分析通关方法3.pass-03(黑名单之特殊解析后缀)代码分析通关方法4.pass-04(黑名单之.htaccess解析)代码分析通关方法5.pass-056.pass-06(黑名单之大小写绕过)代码分析通关方法总结 前言 upload是基于文件上传漏洞的一个靶场,在里面可以学习到文件上传的一些常见方法 一、文件上传 文件上传常见验证:后缀名,类型,文件头等 后缀名: 有白名单和
upload-labs 21超详细通关笔记+部分代码审计(条件竞争等)
m0_51330619的博客
12-02 439
1-1 前端JS校验绕过 右键查看源码,发现是在前端进行JS校验,尝试抓包后修改文件类型绕过 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; } //定义允许上传的文件类型 v
upload-labs】————12、Pass-11
Fly_鹏程万里
08-15 408
界面 前后端检测判断 查看源代码: 这里采用了白名单判断,但是$img_path直接拼接,所以可以先上传一个符合白名单检测的jpg文件,之后再burpsuite中使用%00截断保存路径即可: 截断保存路径: 浏览器中访问~ ...
文件上传之upload-labs闯—白盒审计
内心不种满鲜花就会长满杂草
02-15 1383
先补充前置知识 $_FILES PHP 的全局数组 $_FILES,通过其我们可以向服务器上传文件。全局意味着我们可以在任何位置访问到这个变量 1. 建立一个 form.html 演示上传文件,其中的代码如下: <html> <head></head> <body></body> <form enctype="multipart/form-data" action="upload_file.php" method="POST"...
upload-labs靶场通关pass04
09-14
要通过upload-labs靶场的pass04,您需要进行以下步骤: 1. 首先,上传一个符合格式的PHP脚本文件,并将其扩展名改为图片格式。根据引用中的描述,您需要将.htaccess文件上传到服务器。.htaccess文件是Apache服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neonline

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值