【upload靶场17-21】二次渲染、条件竞争、黑白名单绕过

最新推荐文章于 2024-04-14 00:30:38 发布
最新推荐文章于 2024-04-14 00:30:38 发布
阅读量843 收藏 8
点赞数 1
分类专栏: # 【全】upload靶场 文章标签: web安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/125877747
版权

目录

一、推荐

Pass17(二次渲染绕过)

特点:

分析:

利用:

Pass18(条件竞争)

特点:

分析:

利用:

Pass19(条件竞争)

特点:

分析:

利用:

Pass20(黑名单检测)

特点:

分析:

利用:

Pass21(绕过白名单)

特点:

分析:

利用:

一、推荐

【upload靶场1-11】基础关卡:特点、分析、利用icon-default.png?t=M666https://blog.csdn.net/qq_53079406/article/details/125846616?spm=1001.2014.3001.5501【upload靶场12-16】截断、图片马icon-default.png?t=M666https://blog.csdn.net/qq_53079406/article/details/125870738?spm=1001.2014.3001.5501

Pass17(二次渲染绕过)

特点:

二次渲染:后端对文件的内容进行重写

分析:

后面关卡应该基本上是后端检查

考虑:

通过对比渲染前后的图片,寻找未被渲染的地方,并在其中插入语句

利用:

上传正常图片

并下载经过上传渲染后的图片

然后使用工具进行比较

 

 

 分析前后未被渲染的地方

 

制作图片马

可以直接使用Hex软件(如010 Editor、winhex等)在未被渲染的位置写入代码

(不能损坏文件,不然可能会被检测为非图片格式)

(是替换原位置代码,且原位置代码无伤大雅)

 上传 图片马

 打开图片获得图片地址

利用文件包含漏洞upload-labs/include.php?file=upload/文件名

(图片显示为乱码则解析成功了)

复制图片马的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass18(条件竞争)

特点:

二次渲染:后端对文件的内容进行重写

分析:

后面关卡应该基本上是后端检查

考虑:

通过对比渲染前后的图片,寻找未被渲染的地方,并在其中插入语句

 

 

逻辑顺序

1、服务器先是将上传的文件保存

2、再将文件的后缀名同白名单对比,符合则进行重命名

3、不符合,unlink()函数删除该文件 

保存到删除之间,会有一段时间差

在这段时间内,文件是在服务器上的,可能被执行

利用:

准备php文件

触发其写一个shell.php命名的webshell

<?php file_put_contents('shell.php','<?php @assert($_POST[pass18]);?>'); ?>

 或者

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["Tony"])?>');?>

 

上传php文件

使用bp拦截,并发送到intruder

 清除有效载荷位置

 

设置无载荷,无期限重复

 并设置一下线程----->开始

与此同时运行python脚本,用来不断访问php文件,使其解析成功

打开文件获得上传文件的地址

相应知道了生成文件的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass19(条件竞争)

特点:

检测然后重命名

分析:

后面关卡应该基本上是后端检查

 

 

逻辑顺序

1、服务器先将文件与白名单作对比

2、检查大小看文件是否已经存在

3、再进行重命名

保存到重命名之间,会有一段时间差

在这段时间内,文件还是能被访问到的,并被解析执行

利用:

准备图片马

触发其写一个shell.php命名的webshell

<?php file_put_contents('shell.php','<?php @assert($_POST['123']);?>'); ?>

或者

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST['123'])?>');?>

使用bp拦截,并发送到intruder

 清除有效载荷位置

设置无载荷,无期限重复

 并设置一下线程----->开始

与此同时运行python脚本,用来不断访问图片马,使其解析成功

(此时的脚本是文件包含去访问)

打开图片获得上传文件的地址

相应知道了图片马的地址

蚁剑(菜刀、冰蝎)连接

粘贴shell地址,和自己设置的密码

Pass20(黑名单检测)

特点:

会对用户输入的保存文件名。进行黑名单检测

move_uploaded_file()函数检测

分析:

后面关卡应该基本上是后端检查

 对上传的文件,没有任何检测

但是会对其保存的文件名进行检测

考虑:

1、对文件名后缀进行爆破(绕过黑名单)

2、将save_name参数进行%00截断

3、bp抓包修改为shell.php/.绕过move_uploaded_file()函数检测

利用:

将写入一句话木马的php文件改为png后缀,并上传

<?php @eval($_POST['123']);?>

 

使用bp拦截

 将保存的文件名修改为.php./后缀

 

打开图片获得上传文件的地址

相应知道了shell文件的地址

蚁剑(菜刀、冰蝎)连接

最后网盘地址为…… upload-20.php/

粘贴shell地址,和自己设置的密码

Pass21(绕过白名单)

特点:

分析:

后面关卡应该基本上是后端检查

 

逻辑流程:
MIME检测:content-type值检测(bp抓包修改)
判空:POST参数是否为空定义$file变量(构造数组绕过分割)
分割:file不是数组则使用explode('.', strtolower($file))对file进行切割,变为一个数组
判断后缀:数组后缀是否合法
命名:数组第一位和$file[count($file) - 1]拼接,文件名file_name
上传

考虑:

1、修改MIME

2、构造数组

3、构造php文件数组的下一个数组为空,没法拼接文件名

利用:

上传一句话木马

<?php @eval($_POST['123']);?>

(上传什么后缀都不要紧,因为他后面有重新保存文件名,所以对上传的文件名没有检测)

使用bp拦截

 

1、修改MIME:image/jpeg

2、构造数组:[0][2]

3、构造php文件数组的下一个数组为空,没法拼接文件名

 

 

打开图片获得上传文件的地址

蚁剑(菜刀、冰蝎)连接

最后网盘地址为

粘贴shell地址,和自己设置的密码

黑色地带(崛起)
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
文件上传之条件竞争
qq_53829555的博客
09-21 4797
随着科技不断的发展,网络安全成为了一个大家都要注意与关心的话题,今天小编就带大家了解与复现一下文件上传漏洞中的条件竞争漏洞
Web安全系列-文件上传靶场upload-labs
Galaxy_0的博客
01-18 426
Web安全系列-文件上传靶场upload-labs
[网络安全]upload-labs Pass-18 解题详析
等风来
08-23 4212
以上为[网络安全]upload-labs Pass-18 解题详析,后续将分享[网络安全]xss-labs Pass-19 解题详析。我是秋说,我们下次见。
文件上传漏洞-uploadlabs靶场11~20关解析
黄乔国PHP
03-19 1171
在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器
【文件上传绕过】--二次渲染
nareku的博客
04-07 8410
二次渲染原理 在我们上传文件后,网站会对图片进行二次处理(格式、尺寸,保存,删除 要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。 绕过方法 1.配合条件竞争漏洞 ...
WEB渗透学习-upload-labs靶场
04-20
### 二、upload-labs靶场结构与关卡设计 upload-labs靶场分为21个不同难度的关卡,每个关卡对应一种或多种特定的文件上传漏洞类型。通过解决每个关卡,学习者将熟悉以下常见漏洞: 1. **基础验证**:初步理解上传...
aliyun-upload-sdk-1.5.0.zip
06-09
aliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-...
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
渗透测试上传漏洞经典靶场学习-upload-labs
upload-labs-master【文件上传靶场
04-05
"upload-labs-master【文件上传靶场】" 是一个针对文件上传功能安全性的测试平台,主要目的是帮助开发者、安全人员以及爱好者检验和学习文件上传漏洞的防范措施。在这个靶场中,你可以模拟不同的攻击手段,了解如何...
上传文件漏洞靶场upload-labs
09-27
【上传文件漏洞靶场upload-labs】是一个专为网络安全爱好者和初学者设计的实践平台,主要目的是帮助用户深入了解和练习上传文件漏洞。在Web应用程序中,上传功能常常因为设计不当而成为攻击者利用的安全隐患。这个...
day 32 文件上传&二次渲染&.htaccess&变异免杀
wanjia01的博客
11-22 979
#知识点:1、文件上传-二次渲染2、文件上传-简单免杀变异3、文件上传-.htaccess妙用4、文件上传-PHP语言特性#详细点:1、检测层面:前端,后端等2、检测内容:文件头,完整性,二次渲染等3、检测后缀:名单,白名单,MIME检测等4、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等#本章课程内容:1、文件上传-CTF赛题知识点2、文件上传-中间件解析&编辑器安全3、文件上传-实例CMS文件上传安全分析#前置:后门代码需要用特定格式后缀解析,不能以图片后缀解析脚本后门代码(解析漏洞除外)如:jp
Upload-labs 1-20关靶场通关攻略(全网最全最完整)(1),2024年最新关于网络安全开发你必须要懂的APK瘦身知识
最新发布
2401_83947194的博客
04-14 932
猜的话,说实话还是很难猜的,直接上源码相比上一关,我们可以看到在过滤这块有一点点的不一样,具体是哪呢?其实相较于上一关,这一关他没有写trim()函数对文件名进行去除空格处理我的环境是搭建在windows上的,整好可以利用这点,我们抓包对其文件名后面加一个空格,正好就可以绕过他的过滤数,然后windows会自动帮我们去除空格,ok,思路已有,直接开整可以看到在文件明后加上空格后成功进行绕过,我们是试试,是否可以访问我们的后门ok,没得问题,下一关走起。
图片二次渲染绕过
soldi_er的博客
06-04 2084
文章目录二次渲染1.二次渲染函数labs-16_GIF二次渲染cicsn2021-upload2.png渲染绕过参考 二次渲染 1.二次渲染函数 labs-16_GIF二次渲染   (1)imagecreatefromgif($filename):resource,由Gif文件或 URL 创建一个新图象。 成功则返回一图像标识符/图像资源,失败则返回false。(PHP 4, PHP 5, PHP 7, PHP 8)   重点:该函数会对图像进行二次渲染,从而导致图片马的数据丢失,上传图片马失败。   (
文件上传漏洞 条件竞争 upload-labs 演示案例
qq_55717276的博客
03-20 4341
文件上传漏洞 条件竞争 upload-labs 演示案例
文件上传之图片二次渲染上传
2301_79299101的博客
11-08 438
1,有些图片上传,会对上传的图片进行二次渲染后在保存,体积可能会更小,图片会模糊一些,但是符合网站的需求。例如新闻图片封面等可能需要二次渲染,因为原图片占用的体积更大。访问的人数太多时候会占用,很大带宽。二次渲染后的图片内容会减少,如果里面包含后门代码,可能会被省略。导致上传的图片马,恶意代码被清除。只允许上传 JPG PNG gif 在源码中使用 imagecreatefromgif 函数对图片进行二次生成。生成的图片保存在,upload目录下。接着对比两者之间有什么相同点。将修改好的图片再次上传。
文件上传之路之六:绕过图片二次渲染上传
weixin_62715196的博客
08-15 771
绕过图片二次渲染上传,文件上传的一种类型
【文件上传绕过】——二次渲染漏洞
热门推荐
weixin_45588247的博客
07-28 1万+
copy a.png /b + a.php /a 1.png: http://www.xue51.com/soft/47175.html =================================================== 1. png图片组成:   png图片由3个以上的数据块组成。   PNG定义了两种类型的数据块,一种是称为关键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。   关键数据块定义
Web安全之文件上传
qq_42751192的博客
06-13 2485
文件上传漏洞是 Web 安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell 等到服务器执行,并最终获得网站控制权限的高危漏洞。大部分的网站和应用系统都有上传功能,而程序员在开发任意文件上传功能时,并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。
iwebsec靶场文件上传漏洞-竞争条件文件上传
qq_56041380的博客
03-30 755
竞争条件是指多个线程在没有进行锁操作或者同步操作的情况下同时访问同一个共享代码、变量、文件等,运行的结果依赖于不同线程访问数据的顺序。源码分析。
upload-labs靶场1-21通关
08-17
你好!要通关 upload-labs 靶场的第 1-21 关,你需要依次完成每个关卡的任务。以下是通关每个关卡的一些提示: 1. Level 1 - 文件上传漏洞:尝试上传一个恶意文件,看看能否绕过上传限制。 2. Level 2 - 文件包含漏洞:尝试利用文件包含漏洞,读取服务器上的敏感文件。 3. Level 3 - XXE漏洞:在上传的 XML 文件中尝试触发外部实体注入。 4. Level 4 - SQL注入漏洞:利用输入点进行 SQL 注入攻击,尝试获取数据库中的敏感信息。 5. Level 5 - SSRF漏洞:尝试利用服务器端请求伪造漏洞,发起内部网络请求。 6. Level 6 - 文件上传漏洞2:绕过上传限制,上传一个恶意文件。 7. Level 7 - 文件包含漏洞2:利用文件包含漏洞,读取服务器上的敏感文件。 8. Level 8 - 反序列化漏洞:尝试触发反序列化漏洞,执行恶意代码。 9. Level 9 - 文件上传漏洞3:绕过上传限制,上传一个恶意文件。 10. Level 10 - 文件包含漏洞3:利用文件包含漏洞,读取服务器上的敏感文件。 11. Level 11 - XXE漏洞2:在上传的 XML 文件中触发外部实体注入。 12. Level 12 - SSRF漏洞2:尝试利用服务器端请求伪造漏洞,发起内部网络请求。 13. Level 13 - 文件上传漏洞4:绕过上传限制,上传一个恶意文件。 14. Level 14 - 文件包含漏洞4:利用文件包含漏洞,读取服务器上的敏感文件。 15. Level 15 - SQL注入漏洞2:利用输入点进行 SQL 注入攻击,尝试获取数据库中的敏感信息。 16. Level 16 - 文件上传漏洞5:绕过上传限制,上传一个恶意文件。 17. Level 17 - 文件包含漏洞5:利用文件包含漏洞,读取服务器上的敏感文件。 18. Level 18 - 反序列化漏洞2:尝试触发反序列化漏洞,执行恶意代码。 19. Level 19 - 文件上传漏洞6:绕过上传限制,上传一个恶意文件。 20. Level 20 - 文件包含漏洞6:利用文件包含漏洞,读取服务器上的敏感文件。 21. Level 21 - XXE漏洞3:在上传的 XML 文件中触发外部实体注入。 请注意,在完成每个关卡时,要仔细阅读相关提示和代码,理解漏洞的原理,并尝试不同的方法来解决问题。祝你顺利通关!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值