upload-labs 12-17关 详解

已于 2023-03-01 20:40:50 修改
阅读量494 收藏 1
点赞数 2
分类专栏: 网络安全 文章标签: 安全 php 服务器 Powered by 金山文档
于 2023-03-01 09:13:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53409748/article/details/129273881
版权

【Pass-12】

分析源码

白名单,最终文件的存放位置是以拼接的方式,可以使用%00截断

抓包上传:

上传成功

【Pass-13】

白名单,文件上传路径拼接生成,而且使用了post发送的数据进行拼接,我们可以控制post数据进行0x00截断绕过白名单

抓包上传:

在hex中找到1.php的末尾,改为00

上传成功

【Pass-14】

图片马绕过:

制作图片马(在图片的后面加一行php代码)

上传图片:

利用文件包含漏洞访问

upload/include.php?file=upload/图片名称

【Pass-15】

查看源码:

这一关通过getimagesize函数来获取图片信息,同样可以使用14关的图片码绕过。

function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
        $info = getimagesize($filename);
        $ext = image_type_to_extension($info[2]);
        if(stripos($types,$ext)>=0){
            return $ext;
        }else{
            return false;
        }
    }else{
        return false;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

同样利用文件包含漏洞访问

upload/include.php?file=upload/图片名称

【Pass-16】

查看源码

function isImage($filename){
    //需要开启php_exif模块
    $image_type = exif_imagetype($filename);
    switch ($image_type) {
        case IMAGETYPE_GIF:
            return "gif";
            break;
        case IMAGETYPE_JPEG:
            return "jpg";
            break;
        case IMAGETYPE_PNG:
            return "png";
            break;    
        default:
            return false;
            break;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

exif_imagetype()读取一个图像的第一个字节并检查其后缀名。

返回值与getimage()函数返回的索引2相同,但是速度比getimage快得多。需要开启php_exif模块

还是可以使用14关的图片马进行绕过:

【Pass-17】

这一关对上传图片进行了判断了后缀名、content-type,以及利用imagecreatefromgif判断是否为gif图片,最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,添加一句话,通过文件包含漏洞执行一句话。

上传正常的gif图片马:

下载被渲染后的图片。

使用Fairdell HexCmp进行比对。红色部分为不同内容,白色部分为相同内容。在白色靠下部分插入PHP一句话,上传。

成功上传:

使用文件包含漏洞构造url访问

²⁰⁰²₀₂.₀₁T̶B̶
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
UPLOAD-LABS详细解题步骤
05-17
UPLOAD-LABS详细解题步骤
upload-labs-master 文件上传 第十一和十二
dd_c1d的博客
08-25 1820
继续! 第十一(pass-11) 上源码! 大家可以看到这里有个str_ireplace()函数,详情可以自行百度,简单来说就是把黑名单里的内容给置换为""。注意这里不是空格!就是空!!就是什么都没有。我们先上传测试一下,方便大家理解。 我们直接复制图片地址,当然也可以看一下上传目录来判断。 发现后缀没了,那是因为原本的.php被str_ireplace()函数变为空了。 这里我们发现他的防护规则写的的确生效了,但是有个致命的问题,和前面的卡一样,没有写循环!...
Upload-labs 1-20靶场通攻略(全网最全最完整)
m0_61331491的博客
04-08 1018
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。在getReailFileType()函数中,对图片的头部进行了判断,图片的头部对定义特定的图片类型,所以我们在制作图片码的时候不能再头部进行改动,// 获取上传文件的临时文件路径。
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
Upload-labs手册.pdf
08-06
Upload-labs手册
SpringBoot实现本地存储文件上传及提供HTTP访问服务的方法
08-18
主要介绍了SpringBoot实现本地存储文件上传及提供HTTP访问服务,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
upload-labs卡12(基于白名单的%00截断绕过)通思路
zyh1588的博客
11-22 768
小白回顾文件上传靶场第12
upload-labs(11~12)通笔记
Sheng_GuoFu的博客
12-12 520
在url中%00表示ascii码中的0,而0作为特殊字符保留,表示字符结束,也就是说,在保存文件的时候,如果路径参数(例:$img_path)中出现了%00,就会认为路径到这里就已经结束了,从而忽略后面一系列的参数,比如,此时,路径参数的后半部分就会被%00给截断,从而变成使用%00截断有两个要求:1、php的版本 < 5.3.42、php.ini中的magic_quotes_gpc的状态为Off。
upload-labs之第十二和十三
田田云逸的博客
10-28 2756
注意:在上一篇的最后有一个知识点没有提到的就是,于00截断的利用条件。 需满足 php 版本<5.3.4 php.ini中的magic_quotes_gpc是off状态的。(至于为什么下面会进行演示) Pass12 打开第十二老规矩先看提示 提示跟上一一样是上传路径可控???怎么回事,难道两考的考点是一样的吗?赶紧看看源码 $is_upload = false;$msg = null;if(isset($_POST['submit'])){ $ext_arr = .
upload-labs 1-21思路教程
weixin_45612728的博客
06-15 1445
upload-labs新版1-21的全部思路以及过指引
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
安装upload-labs
10-22
安装upload-labs
上传文件漏洞靶场upload-labs
09-27
上传文件漏洞靶场upload-labs,用于练习上传文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
upload-labs靶场通指南(12-13
永远是少年
09-12 1344
今天继续给大家介绍渗透测试相知识,本文主要内容是upload-labs靶场通指南(12-13)。 一、第十二 二、第十三
文件上传靶场upload-labs
p36273的博客
07-03 2128
upload-labs是一个专门用来练习文件上传的靶场一共20,现在,我们开始通吧。
【文件上传漏洞-05】文件上传路径截断实例—以upload-labs-12为例
m0_64378913的博客
07-12 2725
目录1 知识储备2 实验简介2.1 实验目的2.2 实验环境2.3 前期准备3 文件上传路径截断实例3.1 实例一:upload-labs-113.2 实例二:upload-labs-124 总结 1 知识储备 概述:在ASCII码中,00代表的是空字符,在URL中表现为%00。在文件截断攻击中,就是采用空字符来误导服务器截断字符串,以达到绕过攻击的目的。 原理:服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置,该函数属于文件系统函数,底层是采用C语言实现的,在C语言中
Upload-labs 第12 - 21 通过笔记
weixin_45619494的博客
10-18 757
编码后,吧file_name 改成 jpg/png/gif 后缀。用burp不断上传,浏览器访问 upload/.php.7z。分析源码,发现他是上传文件到服务器后,再进行后缀名的判断。试试 include.php ,果然,服务器有这个文件。那么就不断上传php文件,然后浏览器不断访问文件链接,抓包,在sava_path 后面加上 .php%00。试试上传一个php文件,被保存名称解析成了jpg文件。意思就是,上传图片后,会有个缩略图,可以保存删除的。发现黑名单,试试保存名称改成 .phP,成功绕过。
软考高级架构师:软件系统安全相概念完整性、不可否认性、可控性、机密性、安全审计
最新发布
明明如月的技术博客
05-19 290
了解软件系统安全的几个重要概念:完整性、不可否认性、可控性、机密性和安全审计,可以通过一些日常生活中的例子来帮助理解。
upload-labs 12
08-22
对于 upload-labs 12 题目的解答,我可以给予以下提示: upload-labs 12 是一个文件包含漏洞的题目,目标是通过利用文件包含漏洞获取敏感信息。该题目会根据用户输入的文件名动态包含对应的文件。 您可以尝试输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值