【upload靶场1-11】基础关卡:特点、分析、利用

最新推荐文章于 2024-03-15 12:10:44 发布
最新推荐文章于 2024-03-15 12:10:44 发布
阅读量802 收藏 5
点赞数 3
分类专栏: # 【全】upload靶场 文章标签: web安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/125846616
版权

目录

Pass1(前端验证)

特点:

分析:

利用:

Pass2(MIME之content-type验证)

特点:

分析:

利用:

Pass3(黑名单后端验证)

特点:

分析:

利用:

Pass4(.htaccess文件配置)

特点:

分析:

利用:

Pass5(用户自定义配置文件)

特点:

分析:

利用:

Pass6(大写未统一,绕过黑名单)

特点:

分析:

利用:

Pass7(未去空格,绕过黑名单)

特点:

分析:

利用:

Pass8(未去点号,绕过黑名单)

特点:

分析:

利用:

Pass9(添加::$DATA,绕过黑名单)

特点:

分析:

利用:

Pass10(检测规则的一次性,绕过黑名单)

特点:

分析:

利用:

Pass11(双写绕过,绕过黑名单)

特点:

分析:

利用:

Pass1(前端验证)

特点:

上传文件后缀限制

分析:

要求上传jpg png gif 类型文件

 右键查看元源码

这里调用了一个checkFile函数,找到它

是前端验证

可以知道这个函数是用来检测文件类型的

利用:

1、可以尝试把checkFile函数删了,变成return true ,或者直接删了

2、使网页处在JS disabled状态,再上传(Script Switch插件)

3、上传shell.png,而后使用bp抓包改为shell.php

使用方法三:

 改后---->放包

 上传成功了

 打开图片获得图片地址

 复制shell地址

 粘贴shell地址,和自己设置的密码

 连接成功

Pass2(MIME之content-type验证)

特点:

后端检测

content-type检测

分析:

 右键查看元源码

这里调用了一个checkFile函数

未在前端找到这个函数,应该是后端检查

上传正常的jpg文件

 

 上传非正常后缀的php文件

 

 

正常文件和非正常文件的content-type值不一样,可能是这里存在后端检查

利用:

1、上传正常文件(png,jpg,gif),bp抓包修改文件

2、上传非正常文件(php),bp抓包修改content-type值

使用方法一:

 改后---->放包

 

 

 上传成功了

 

 打开图片获得图片地址

 复制shell的地址

蚁剑(菜刀、冰蝎)连接

 粘贴shell地址,和自己设置的密码

Pass3(黑名单后端验证)

特点:

绕过黑名单

分析:

 右键查看元源码

这里调用了一个checkFile函数

未在前端找到这个函数,应该是后端检查

上传非正常后缀的php文件无法上传

考虑是否是后端设置了白名单、黑名单

利用:

1、上传配置的.htaccess(将所有文件解析为php)(针对白名单)

2、上传非正常文件(php),bp抓包对后缀进行爆破(针对黑名单)

使用方法二:

 抓包---->爆破

 ​​​​​​

 这里可以使用爆破的字典

 

 推测是基于黑名单的过滤,因为存在能够注入的

 

 上传成功了

 

 打开图片获得图片地址

 复制shell的地址

蚁剑(菜刀、冰蝎)连接

 粘贴shell地址,和自己设置的密码

Pass4(.htaccess文件配置)

特点:

.htaccess文件(分布式配置文件):

1、默认:不开启此功能

2、作用:针对目录改变配置的方法

3、位置:在特定的文档目录中放置一个包含一个或多个指令的文件

4、影响:作用于当前目录及其所有子目录

5、功能:文件夹密码保护、用户自定义重定向、自定义404页面、扩展名伪静态化、禁止特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表

6、用法:(有效影响范围内)

AddType application/x-httpd-php .png (.png文件会被当做php文件解析)

SetHandler application/x-httpd-php(所有文件都被当做php文件来解析)

分析:

.htaccess前提:

1、服务器:apache

2、功能点:能够上传.htaccess文件

3、配置:httpd.conf中AllowOverride All 并且有LoadModule rewrite_module modules/mod_rewrite.so

4、权限:上传的目录有可执行权限

右键查看元源码

这里调用了一个checkFile函数

未在前端找到这个函数,应该是后端检查

使用第二、三关方法,上传修改后的非正常后缀的文件都无法上传

所有可能的都已经进黑名单(从题目设计目的理解)

考虑利用特殊后缀去除问题

利用:

1、上传配置的.htaccess(将所有文件解析为php)

2、添加特殊文件名后缀拼接php后

因为windows系统限制,当0x81~0x99(使用Hex添加)在文件名结尾时,会被自动去掉,结尾的空格和点(在文件名后加)也是同理

配置好.htaccess文件

SetHandler application/x-httpd-php

 上传.htaccess文件

(如果禁止上传,可以先命名为1.htaccess,后抓包修改为.htaccess)

 

上传图片马 

 ​​​

上传成功

 

 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass5(用户自定义配置文件)

特点:

.user.ini用户自定义配置文件使用

分析:

.user.ini使用前提:

1、脚本语言:PHP

2、服务器:使用CGI/FastCGI模式

3、配置:php.ini中user_ini.filename = ".user.ini",user_ini.cache_ttl =某个数

4、权限:上传的目录有可执行权限

右键查看元源码

这里调用了一个checkFile函数

未在前端找到这个函数,应该是后端检查

使用第二、三、四关方法,上传修改后的非正常后缀的文件都无法上传

考虑:

是否将大小写统一后过滤

是否可利用系统特性

是否存在爆破可能

是否可以利用配置文件

利用:

1、使用bp抓包后,将文件名改为shell.php. .(点空格点)

2、本关未将大小写统一,然后验证,可以尝试爆破

3、利用用户自定义配置文件.user.ini

配置好.user.ini文件

auto_propend_file=shell.png

 

 

 上传.user.ini配置文件

(如果禁止上传,可以尝试修改后改包)

 

 

上传图片马 

 

上传成功

 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass6(大写未统一,绕过黑名单)

特点:

未使用strtolower()函数,是大小写统一

分析:

后面关卡应该基本上是后端检查

前面的.htaccess文件.user.ini等都在黑名单中了

考虑:

是否将大小写统一后过滤(strtolower函数)

是否可利用系统特性(即点空格点,还有考虑能否被解析)

是否存在爆破可能(即黑名单过滤不全)

利用:

1、使用大写绕过黑名单

上传图片马 

 

上传成功

 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass7(未去空格,绕过黑名单)

特点:

没有使用trim()函数,进行首尾去空

分析:

后面关卡应该基本上是后端检查

考虑:

是否可利用系统特性(即点空格点,还有考虑能否被解析)

是否存在爆破可能(即黑名单过滤不全)

是否能够利用空格绕过

利用:

1、后缀首位加空格

在后缀点后面加一个空格

上传图片马 

 

上传成功

 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass8(未去点号,绕过黑名单)

特点:

没有使用deldot()函数,去掉文件名末尾的点号

分析:

后面关卡应该基本上是后端检查

考虑:

MIME检测:如content-type值

点空格点:是否可利用系统特性(还有考虑能否被解析)

过滤不全:是否存在爆破可能

空格:是否能够利用空格绕过黑名单

点号:是否能够利用点号绕过黑名单

利用:

1、在文件名后加点号

(windows可能会将点号直接去掉,需要在bp里面改)

上传图片马 (在bp里面加点号)

 

上传成功

 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass9(添加::$DATA,绕过黑名单)

特点:

没有对::$DATA(流文件)进行过滤

分析:

后面关卡应该基本上是后端检查

考虑:

MIME检测:如content-type值

点空格点:是否可利用系统特性(还有考虑能否被解析)

过滤不全:是否存在爆破可能

空格:是否能够利用空格绕过黑名单

点号:是否能够利用点号绕过黑名单

流文件:是否能够利用::$DATA流文件进行绕过

利用:

1、在文件名后加点号

(windows可能会将点号直接去掉,需要在bp里面改)

还是需要在bp里面改

 

上传图片马 (在bp里面加::$DATA)

 不知道对这个content-Type有没有检测

在文件名后加上::$DATA

 

上传成功

 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass10(检测规则的一次性,绕过黑名单)

特点:

检测规则,会去掉对应的预先设定字符

但未循环执行

分析:

后面关卡应该基本上是后端检查

考虑:

MIME检测:如content-type值

点空格点:是否可利用系统特性(还有考虑能否被解析)

过滤不全:是否存在爆破可能

空格:是否能够利用空格绕过黑名单

点号:是否能够利用点号绕过黑名单

流文件:是否能够利用::$DATA流文件进行绕过

逻辑漏洞:是否循环执行检测

利用:

1、使用.空格.来绕过,即shell.php. .

(还剩余的未过滤的点号,因为windows会将点号直接去掉)

上传图片马 (在bp里面加. . )

 

 不知道对这个content-Type有没有检测

 

在文件名后加上. .(点空格点)

 

上传成功

 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass11(双写绕过,绕过黑名单)

特点:

检测规则,会去掉对应的预先设定字符

但未循环执行

分析:

后面关卡应该基本上是后端检查

考虑:

MIME检测:如content-type值

点空格点:是否可利用系统特性(还有考虑能否被解析)

过滤不全:是否存在爆破可能

空格:是否能够利用空格绕过黑名单

点号:是否能够利用点号绕过黑名单

流文件:是否能够利用::$DATA流文件进行绕过

逻辑漏洞:是否循环执行检测

双写:绕过一次检测

利用:

1、使用双写来绕过一次检测,如phphpp

上传图片马 (在bp里面加. . )

 

上传成功

 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

黑色地带(崛起)
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Upload-labs 1-20关靶场通关攻略(全网最全最完整),2024年最新2024-2024阿里巴巴网络安全面试真题解析
2401_83947194的博客
04-14 973
试一下我们的结果是否可行,很明显,我们上传成功,执行一下我们的一句话(同第一关)ok,下一关。
webpack-upload-plugin:Webpack插件
05-13
webpack-upload-plugin介绍这是的插件。 主要目的是提供一个工具,用于将html(或其他语言的模板)中使用的js / css / img / font上传到cdn,然后将引用替换为相应的cdn url。环境要求节点> = 10.5.0安装npm i -D ...
upload-labs靶场详解
人若有志,就不会在半坡停止。
11-07 1703
1.定义:是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。本质为Apache配置⽂件,提供 了针对⽬录改变配置的⽅法,在⼀个特定的⽂档⽬录中放置⼀个包含⼀个或多个指 令的⽂件,2.允许.htaccess⽂件使⽤,httpd.conf配置⽂件中AllowOverride参数设置为All。3.参数:type 表示可以被分多个子类的独立类别,subtype 表示细分后的每个类型。以作⽤于此⽬录及其所有⼦⽬录,管理相关⽬录下的⽹⻚配置。
文件上传漏洞(一) upload-labs靶场练习
好好睡觉
03-18 5562
常见文件上传漏洞类型总结、upload-labs靶场
文件上传 —— 靶场upload-labs-master
weixin_54431413的博客
03-23 7761
upload-labs靶场文件上传,前端和黑白名单验证绕过,代码逻辑问题。
Upload-labs 1-20关靶场通关攻略(全网最全最完整)
最新发布
dragon的博客
03-15 3384
在github上找upload-labs-0.1环境,部署在小皮面板上也可以直接下载他的集成的环境。 Sethandler将该目录及子目录的所有文件均映射为php文件类型。 Addhandler使用 php5-script 处理器来解析所匹配到的文件。 AddType将特定扩展名文件映射为php文件类型。 简单来说就是,可以将我们所的文件都解析成php或者是特定的文件解析为php 当 PHP 在处理文件名或路径时,如果遇到 URL 编码的 %00,它会被解释为一个空字节(ASCII 值为 0)
文件上传(做完upload靶场的总结)
m0_73100250的博客
08-12 172
文件上传相关知识
github-upload-release-artifacts-action:将工件上传到GitHub版本
01-30
【github-upload-release-artifacts-action】是一个GitHub Action,用于自动化将工件(如编译的代码、文档、资源文件等)上传到GitHub发布的版本中。这个工具对于持续集成(Continuous Integration, CI)和持续部署...
multipart-Image-Upload-ios-demo:快速上传图片
05-09
pod 'multipart-Image-Upload-ios-demo' 如果您使用上面的参数和URL,则这是库的演示/调试URL。 所以在init mwthod中,我已经通过了调试为true。 在您的URL和参数中,您需要传递debug作为false。 您只能上传JPEG...
ng-quick-upload:angular 的大文件上传器
05-30
NgQuickStart ** NgQuickStart 是一个angulra2+的文件秒传+队列上传+切片上传+断点续传的开源库** 目前暂时实现angular版本,2.0版本的预期是将核心逻辑封装起来做一个vue版本 目前是0.9试用版本 ...
upload-apk-fir-plugin:在里面
05-29
Android APK打包后自动上传并发送钉钉消息的Gradle插件 自定义gradle插件实现自动化打包上传/fir/蒲公英/自己服务器sftp/... classpath 'com.github.jessieeeee:upload-apk-fir-plugin:1.0' //Jitpack插件引用(增加这
react-upload-file-progress-bar:帖子 https 的代码仓库
05-30
总的来说,`react-upload-file-progress-bar`是一个专注于文件上传和进度反馈的React组件库,它利用了JavaScript的文件操作API和React的组件化特性,为开发者提供了安全、易用的文件上传解决方案。通过研究其源代码...
Upload-to-serverless-offline:使用multer上载无服务器离线环境的示例
02-11
这是使用multipart / fom-data上传二进制文件的示例无服务器离线HTTP代理$ npm i && npm start从命令行将文件上传到端点Httpie( ) $ http -vf POST localhost:3000/dev/serverless-http/upload file@"./image1....
upload-release-asset:通过GitHub Release API上传发布资产的操作
05-07
这个GitHub Action(用JavaScript编写)包装了 (特别是端点),以允许您利用GitHub Actions来上传Release资产。 用法 先决条件 在存储库.github/workflows目录中创建一个工作流程.yml文件。 下面提供了。 有关更多...
ember-file-upload:用于Ember应用程序HTML5文件上传
02-05
Internet Explorer 11可能可以运行,但不官方支持。 严格的内容安全策略(CSP),海市rage楼的路由处理程序除外,该处理程序需要data:协议包含在image-src和media-src指令中。 安装 ember install ember-file-...
vue-core-image-upload:用于裁剪和上传图像的vue插件
02-06
或选择1.xx版本。 安装 npm i vue-core-image-upload --save 代码示例(ES6) < vue-core-image-upload :class =" ['btn', 'btn-primary'] " :crop =" false " @imageuploaded =" imageuploaded " :data =...
文件上传漏洞类型靶场——upload-labs靶场安装(Windows系统)
edsion4的博客
12-04 828
所有上传漏洞类型的靶场——upload-labs安装(Windows)
文件上传:Upload靶场11到17关详解。
lxz021202的博客
01-04 594
web渗透测试之文件上传:Upload靶场11到17关。
upload-labs 11(00截断)
LuckySec
11-07 2248
题目 查看源码 从代码中可以发现红线处,对上传的文件名进行重新拼接 可以通过%00进行截断上传 小提示:%00截断的条件 (1)php版本必须小于5.3.4 (2)打开php的配置文件php-ini,将magic_quotes_gpc设置为Off 验证 文件成功上传! ...
upload-labs靶场1-21通关
08-17
你好!要通关 upload-labs 靶场的第 1-21 关,你需要依次完成每个关卡的任务。以下是通关每个关卡的一些提示: 1. Level 1 - 文件上传漏洞:尝试上传一个恶意文件,看看能否绕过上传限制。 2. Level 2 - 文件包含漏洞:尝试利用文件包含漏洞,读取服务器上的敏感文件。 3. Level 3 - XXE漏洞:在上传的 XML 文件中尝试触发外部实体注入。 4. Level 4 - SQL注入漏洞:利用输入点进行 SQL 注入攻击,尝试获取数据库中的敏感信息。 5. Level 5 - SSRF漏洞:尝试利用服务器端请求伪造漏洞,发起内部网络请求。 6. Level 6 - 文件上传漏洞2:绕过上传限制,上传一个恶意文件。 7. Level 7 - 文件包含漏洞2:利用文件包含漏洞,读取服务器上的敏感文件。 8. Level 8 - 反序列化漏洞:尝试触发反序列化漏洞,执行恶意代码。 9. Level 9 - 文件上传漏洞3:绕过上传限制,上传一个恶意文件。 10. Level 10 - 文件包含漏洞3:利用文件包含漏洞,读取服务器上的敏感文件。 11. Level 11 - XXE漏洞2:在上传的 XML 文件中触发外部实体注入。 12. Level 12 - SSRF漏洞2:尝试利用服务器端请求伪造漏洞,发起内部网络请求。 13. Level 13 - 文件上传漏洞4:绕过上传限制,上传一个恶意文件。 14. Level 14 - 文件包含漏洞4:利用文件包含漏洞,读取服务器上的敏感文件。 15. Level 15 - SQL注入漏洞2:利用输入点进行 SQL 注入攻击,尝试获取数据库中的敏感信息。 16. Level 16 - 文件上传漏洞5:绕过上传限制,上传一个恶意文件。 17. Level 17 - 文件包含漏洞5:利用文件包含漏洞,读取服务器上的敏感文件。 18. Level 18 - 反序列化漏洞2:尝试触发反序列化漏洞,执行恶意代码。 19. Level 19 - 文件上传漏洞6:绕过上传限制,上传一个恶意文件。 20. Level 20 - 文件包含漏洞6:利用文件包含漏洞,读取服务器上的敏感文件。 21. Level 21 - XXE漏洞3:在上传的 XML 文件中触发外部实体注入。 请注意,在完成每个关卡时,要仔细阅读相关提示和代码,理解漏洞的原理,并尝试不同的方法来解决问题。祝你顺利通关!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值