【upload靶场12-16】截断、图片马

已于 2022-07-19 19:35:41 修改
阅读量591 收藏 3
点赞数 3
分类专栏: # 【全】upload靶场 文章标签: web安全 数据库
于 2022-07-19 18:09:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/125870738
版权

目录

推荐

Pass12(get 00截断,绕过白名单)

特点:

分析:

利用:

Pass13(post 00截断,绕过白名单)

特点:

分析:

利用:

Pass14(图片马,判断文件类型)

特点:

分析:

利用:

Pass15(图片马,检测是否为图片)

特点:

分析:

利用:

Pass16(图片马,检查字节、后缀)

特点:

分析:

利用:

推荐

【upload靶场1-11】基础关卡:特点、分析、利用https://blog.csdn.net/qq_53079406/article/details/125846616?spm=1001.2014.3001.5501

Pass12(get 00截断,绕过白名单)

特点:

%00截断

前提:

版本:php版本<5.3.4

函数:magic_quotes_gpc为off

原理:move_uploaded_file(底层为C),遇到0x00会截断(16进制),%00(URL编码)

分析:

后面关卡应该基本上是后端检查

考虑:

MIME检测:如content-type值

点空格点:是否可利用系统特性(还有考虑能否被解析)

过滤不全:是否存在爆破可能

空格:是否能够利用空格绕过黑名单

点号:是否能够利用点号绕过黑名单

流文件:是否能够利用::$DATA流文件进行绕过

逻辑漏洞:是否循环执行检测

特殊字符利用:%00(即0x00)截断

利用:

1、使用%00来截断

上传图片马 (在bp里面加%00去截断)

在文件路径后加上shell.php%00

 

将filename传入的文件名改为合法的

 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

(删除图片URL地址中shell.php后面多余部分)

粘贴shell地址,和自己设置的密码

Pass13(post 00截断,绕过白名单)

特点:

%00截断

前提:

版本:php版本<5.3.4

函数:magic_quotes_gpc为off

原理:move_uploaded_file(底层为C),遇到0x00会截断(16进制),%00(URL编码)

分析:

后面关卡应该基本上是后端检查

考虑:

MIME检测:如content-type值

点空格点:是否可利用系统特性(还有考虑能否被解析)

过滤不全:是否存在爆破可能

空格:是否能够利用空格绕过黑名单

点号:是否能够利用点号绕过黑名单

流文件:是否能够利用::$DATA流文件进行绕过

逻辑漏洞:是否循环执行检测

特殊字符利用:%00(即0x00)截断

利用:

1、使用%00来截断

上传 (在bp里面加%00去截断)

1、在文件路径后加上shell.php+(+是为了给00留一个位置)

2、将filename传入的文件名改为合法的

 

在Hex中将+改为00 

打开图片获得图片地址

复制shell的地址

蚁剑(菜刀、冰蝎)连接

(删除图片URL地址中shell.php后面多余部分)

粘贴shell地址,和自己设置的密码

Pass14(图片马,判断文件类型)

特点:

通过判断文件的前两个字节,判断文件类型

1、Png:89 50 4E 47 0D 0A 1A 0A
2、Jpg:FF D8
3、Gif:47 49 46 38 39|37 61 
4、Bmp:42 4D

分析:

后面关卡应该基本上是后端检查

考虑:

图片马:向图片中植入语句

利用:

1、使用图片木马

php5.6以上的版本才能成功解析图片木马

制作图片马

1、可以直接使用Hex软件(如010 Editor、winhex等)在合适位置写入代码

2、在cmd命令中,将图片与php文件拼接

或者

(要先进入文件夹内,使用cd)

copy 文件名.png/b + 文件名.php 文件名.png 

 

上传 图片马

打开图片获得图片地址

利用文件包含漏洞upload-labs/include.php?file=upload/文件名

(图片显示为乱码则解析成功了)

复制图片马的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass15(图片马,检测是否为图片)

特点:

通过getimagesize()函数检查是否为图片文件

1、Png:89 50 4E 47 0D 0A 1A 0A
2、Jpg:FF D8
3、Gif:47 49 46 38 39|37 61 
4、Bmp:42 4D

分析:

后面关卡应该基本上是后端检查

考虑:

图片马:向图片中植入语句

和Pass14基本上一样

利用:

1、使用图片木马

php5.6以上的版本才能成功解析图片木马

制作图片马

1、可以直接使用Hex软件(如010 Editor、winhex等)在合适位置写入代码

2、在cmd命令中,将图片与php文件拼接

或者

(要先进入文件夹内,使用cd)

copy 文件名.png/b + 文件名.php 文件名.png 

 

上传 图片马

打开图片获得图片地址

利用文件包含漏洞upload-labs/include.php?file=upload/文件名

(图片显示为乱码则解析成功了)

复制图片马的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass16(图片马,检查字节、后缀)

特点:

通过exif_imagetype()函数,读取图像的第一个字节,并检查其后缀名

返回值与getimage()函数返回的索引2相同

1、Png:89 50 4E 47 0D 0A 1A 0A
2、Jpg:FF D8
3、Gif:47 49 46 38 39|37 61 
4、Bmp:42 4D

分析:

后面关卡应该基本上是后端检查

考虑:

图片马:向图片中植入语句

和前几关基本上一样

利用:

1、使用图片木马

php5.6以上的版本才能成功解析图片木马

需要开启php_exif模块

制作图片马

1、可以直接使用Hex软件(如010 Editor、winhex等)在合适位置写入代码

2、在cmd命令中,将图片与php文件拼接

或者

(要先进入文件夹内,使用cd)

copy 文件名.png/b + 文件名.php 文件名.png 

 

 上传 图片马

 打开图片获得图片地址

利用文件包含漏洞upload-labs/include.php?file=upload/文件名

(图片显示为乱码则解析成功了)

复制图片马的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

黑色地带(崛起)
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
手把手教你玩转upload-labs靶场(1--20关超详细保姆级)
weixin_52796034的博客
08-23 820
Upload-labs靶场是一个内容全面且开源的PHP文件上传漏洞训练场所。它以真实的文件上传漏洞场景为基础,为安全研究人员和开发人员提供了一个实践和学习的平台。靶场提供了多种不同类型的漏洞场景,涵盖了文件类型绕过、文件名绕过、MIME类型绕过、大小限制绕过等多个方面。每个场景都有详细的解题思路和说明,帮助用户深入理解漏洞的原理和利用方式。通过上传恶意文件,用户可以亲身体验漏洞的利用技巧,并学习如何防范这些漏洞。Upload-labs靶场不仅提供了实践性,还提供了防御机制的实践,帮助用户全面了解如何保护系统
upload-labs通关攻略教程二【12-18关】
m0_55854679的博客
06-05 1540
upload-labs通关攻略教程一(01-11关) Pass-12-(白名单验证,get型00截断) 查看题目源码 白名单判断,只允许三中文件类型。strrpos(string,find,start)函数查找字符串中最后一次出现的位置,这里是将后缀名提取赋值给file_exit.但$img_path是直接拼接,我们可以通过抓包修改get参数,然后通过file_ext无效,这样就可以上传php文件因此可以利用%00截断绕过。 %00截断的概念和原理: 在url中%00表示ASCll码中的0,而0作为特殊
upload-labs 11(00截断)
LuckySec
11-07 2263
题目 查看源码 从代码中可以发现红线处,对上传的文件名进行重新拼接 可以通过%00进行截断上传 小提示:%00截断的条件 (1)php版本必须小于5.3.4 (2)打开php的配置文件php-ini,将magic_quotes_gpc设置为Off 验证 文件成功上传! ...
upload靶场通关(12-21关)
Fly_Mojito的博客
06-05 1047
upload靶场通关(12-21关)
upload靶场全关通(下)12-21关
weixin_59165176的博客
08-30 1680
本案例以upload靶场为例,若帮到你请点个关注再走呗 第十二关(get00截断) 本关采用%00截断,需要的php版本<5.3.4,且需要将【magic_quotes_gpc】参数关闭 步骤一:上传php文件,进行抓包修改参数 需要修改地方: 1、POST头【save_path=】在【../upload/】后面添加上传的php文件名,并加上【%00】进行截断 2、【filename】后面的php修改为【png/jpg/jpeg】等 3、同理下面的【Content-Ty..
upload-labs靶场通关指南(12-13关)
永远是少年
09-12 1455
今天继续给大家介绍渗透测试相关知识,本文主要内容是upload-labs靶场通关指南(12-13关)。 一、第十二关 二、第十三关
upload-labs靶场-Pass-12关-思路以及过程
weixin_44257023的博客
01-16 3553
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
upload-labs靶场通关指南
07-02
在 Pass-12 中,我们发现了 %00 截断在 POST 请求中的应用。我们可以上传一个图片文件,然后使用 bp 抓包。在 upload 后面加 00,放行,查看返回包,发现文件地址。 Pass-13:文件包含漏洞 在 Pass-13 中,我们发现...
upload-labs安装及攻略
热门推荐
K_ShenH的博客
01-14 2万+
upload-labs靶场的安装搭建(windows) (1)首先当然是需要phpstudy的环境,所以要先下载安装phpstudy。 (2)然后到github的网址中下载源码的压缩包。 github网址:https://github.com/Tj1ngwe1/upload-labs (3)下载后解压缩到phpstudy目录下的WWW子文件夹中,这里要注意吧压缩包的名字改成upload-labs,不然靶场的页面会显示得不对。 (4)然后在输入url HTTPS:...
upload-labs靶场 11-19关 详细教学 上传漏洞
小明师傅博客
06-09 1195
第11关 这关采用的防御手法是白名单过滤,只允许上传jpg、png和gif类型,并且将上传的文件给重命名为了白名单中的后缀 这里我们用00截断,要求是php版本低于或等于5.3.4 这一关上传目录是可控的,所以可以先上传一个后缀名为.jpg,然后修改上传目录为.php后缀,之后在.php后使用截断后面的拼接内容 注意这里的00字符因为在url的GET参数中,所以需用进行url编码 第12关 和Less-11不同的是这次的save_path是通过post传进来的,我们还利用00截断,但这题需要在十六进
%00截断在文件上传漏洞中的妙用
weixin_52796034的博客
08-24 2313
%00截断的原理:0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。 系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。
文件上传漏洞? 看这一篇就够了-Nginx解析漏洞 修改后缀绕过前端验证 00%截断 安鸾靶场练习
AAAAAAAAAAAA66的博客
12-31 4729
靶场地址 首页 : 安鸾渗透实战平台 - 安鸾学院 目录 文件上传漏洞利用条件 Nginx解析漏洞 文件上传01 (绕过前端验证) 文件上传02 00%截断​ 文件上传漏洞利用条件 1.可以上传php文件,或者上传的文件可以被解析为php文件 2.可以找的到文件上传后的路径 Nginx解析漏洞 该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。 实际上就是由于判断文件后缀出现问题,导致我们可以添加一个/.php 后缀 使得系统解析图片为php文..
upload-labs】pass-09~pass-12详解
qq_43665434的博客
03-20 661
upload-labs】pass-09~pass-12详解 【pass-09】过滤逻辑绕过 1、源码分析 #index.php $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",
Upload-labs靶场通关记录
Gu_fCSDN的博客
03-07 597
靶场Upload-labs文件上传漏洞训练 从个人blog(http://gcoperation.top/)转载记录 Pass1-10记录 http://gcoperation.top/index.php/2020/01/21/upload-labs%e9%9d%b6%e5%9c%ba%e7%bb%83%e4%b9%a0pass1-pass10/ Pass11-20记录 http://gcoperation.top/index.ph...
【文件上传漏洞-05】文件上传路径截断实例—以upload-labs-12为例
m0_64378913的博客
07-12 2956
目录1 知识储备2 实验简介2.1 实验目的2.2 实验环境2.3 前期准备3 文件上传路径截断实例3.1 实例一:upload-labs-113.2 实例二:upload-labs-124 总结 1 知识储备 概述:在ASCII码中,00代表的是空字符,在URL中表现为%00。在文件截断攻击中,就是采用空字符来误导服务器截断字符串,以达到绕过攻击的目的。 原理:服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置,该函数属于文件系统函数,底层是采用C语言实现的,在C语言中
00截断,上传漏洞。
0ffs3t
12-02 3420
利用上传漏洞得到webshell,再配合Serv-U取得server管理员权限 可以说是2004年 前段时间被上传漏洞和ASP木闹得沸沸扬扬,狗狗他们的网站被黑了一次又一次 所以开始关心上传漏洞方面的网络安全问题,昨天终于试验了整个流程 上传漏洞主要就是利用'\0'字符漏洞,'\0'字符在系统中被用作字符串结束的标志 基本原理就是网络程序虽然禁止了.as
upload-labs第11~1200截断
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-13 3500
第九关 文件名后缀改为php,并在后面加上. .(点+空格+点) 第十关 可以双写绕过,后缀改为pphphp 第十一关 查看提示: 可以用%00进行截断 前提条件: php 版本 < 5.3.4且php的参数magic_quotes_gpc必须关闭 因为上传的表单中有一个enctype的属性,并且需要enctype=“multipart/form-data” (不对表单中数据进行编码),path大多数都是存放在表单中的,因此需要在数据包中进行urldecode操作使%00变成字符串结束符号
4文件上传之白名单绕过及文件渲染
技术骨干小李的博客
08-09 1991
文件上传的白名单类型绕过以及文件渲染
upload靶场第十三关 0×00截断方式
最新发布
2301_79650865的博客
02-08 411
upload靶场第十三关 0×00截断方式,详细教程图文并茂
upload-labs靶场1-21通关
08-17
你好!要通关 upload-labs 靶场的第 1-21 关,你需要依次完成每个关卡的任务。以下是通关每个关卡的一些提示: 1. Level 1 - 文件上传漏洞:尝试上传一个恶意文件,看看能否绕过上传限制。 2. Level 2 - 文件包含漏洞:尝试利用文件包含漏洞,读取服务器上的敏感文件。 3. Level 3 - XXE漏洞:在上传的 XML 文件中尝试触发外部实体注入。 4. Level 4 - SQL注入漏洞:利用输入点进行 SQL 注入攻击,尝试获取数据库中的敏感信息。 5. Level 5 - SSRF漏洞:尝试利用服务器端请求伪造漏洞,发起内部网络请求。 6. Level 6 - 文件上传漏洞2:绕过上传限制,上传一个恶意文件。 7. Level 7 - 文件包含漏洞2:利用文件包含漏洞,读取服务器上的敏感文件。 8. Level 8 - 反序列化漏洞:尝试触发反序列化漏洞,执行恶意代码。 9. Level 9 - 文件上传漏洞3:绕过上传限制,上传一个恶意文件。 10. Level 10 - 文件包含漏洞3:利用文件包含漏洞,读取服务器上的敏感文件。 11. Level 11 - XXE漏洞2:在上传的 XML 文件中触发外部实体注入。 12. Level 12 - SSRF漏洞2:尝试利用服务器端请求伪造漏洞,发起内部网络请求。 13. Level 13 - 文件上传漏洞4:绕过上传限制,上传一个恶意文件。 14. Level 14 - 文件包含漏洞4:利用文件包含漏洞,读取服务器上的敏感文件。 15. Level 15 - SQL注入漏洞2:利用输入点进行 SQL 注入攻击,尝试获取数据库中的敏感信息。 16. Level 16 - 文件上传漏洞5:绕过上传限制,上传一个恶意文件。 17. Level 17 - 文件包含漏洞5:利用文件包含漏洞,读取服务器上的敏感文件。 18. Level 18 - 反序列化漏洞2:尝试触发反序列化漏洞,执行恶意代码。 19. Level 19 - 文件上传漏洞6:绕过上传限制,上传一个恶意文件。 20. Level 20 - 文件包含漏洞6:利用文件包含漏洞,读取服务器上的敏感文件。 21. Level 21 - XXE漏洞3:在上传的 XML 文件中触发外部实体注入。 请注意,在完成每个关卡时,要仔细阅读相关提示和代码,理解漏洞的原理,并尝试不同的方法来解决问题。祝你顺利通关!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值