upload-labs详解------持续更新

已于 2023-09-22 12:02:30 修改
阅读量742 收藏 1
点赞数 1
分类专栏: web 文章标签: 文件上传 笔记 网络安全
于 2023-08-01 13:56:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57235775/article/details/132035849
版权

目录

注:

搭建:

pass-01(前端绕过)

pass-02(后缀绕过)

pass-03(黑名单绕过)

pass-04(Apache解析漏洞\.htaccess文件绕过)

pass-05(后缀大小写绕过)

pass-06(空格绕过)

​pass-07(点绕过)

pass-08(::$DATA绕过)

pass-09(处理不当绕过)

pass-10(双写绕过)

pass-11(%00截断-GET)

pass-12(%00截断-POST)

pass-13

注:

  1. 本项目提供的writeup只是起一个参考作用。
  2. 实在没有思路时,可以点击查看提示。
  3. 如果黑盒情况下,实在做不出,可以点击查看源码

搭建:

https://github.com/c0ny1/upload-labs

pass-01(前端绕过)

可以直接上传木马看看情况(因为php文件肯定是上传不了的,主要看看报错情况):

看着挺眼熟,感觉就像只是在前端js文件中做限制,bp抓包看看:

发现抓不到,那就是在前端做验证了,审查元素发现存在一个checkfile函数,顾名思义就是一个检查函数:

删掉再上传即可:

找到文件的地址,右键也好,F12也罢均可,蚁剑连接,没有问题:

在下一关开始前最好点击一下右上角的清空上传文件,把前一关上传的小🐎清空一下,免得造成混淆。

pass-02(后缀绕过)

同样上传一个php看看:

提示类型不正确,应该是过滤了后缀名,抓包修改后缀再上传,这里上传前需要将自己的🐎的后缀改成这里允许的后缀,我这里改成jpg,然后再用bp抓包再次修改后缀名后绕过上传:

 成功上传,并且也看见了文件地址,蚁剑连接,没有问题:

再提一下,右上角清空上传文件。

pass-03(黑名单绕过)

还是一样,直接上传🐎看看:

这里限制了一部分文件,属于黑名单绕过,还有一些文件后缀并没有限制,如.php3、.php4、.php5、.pht、.phtm、.phtml等,那直接修改我们的🐎后缀名为这些其中一个即可,但我这卡了一下,即使我上传的.php4文件成功了,但也无法执行,网上查了一下说要在httpd.conf配置文件中以下位置添加:

<IfModule>
	...
	#AddType text/html .shtml
    #AddOutputFilter INCLUDES .shtml
	AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .phps .pht .phtm
</IfModule>

当我添加了之后,发现还是不能解析,重启也没用,接着找到了一位大佬曾经也遇到跟我一样的问题,简而言之问题就是,小皮v8.1的版本没有TS版本的php,全是nts:

 最简单的解决办法,就是换一个版本,小皮v2018有:

贴个下载链接。

问题解决,继续做题,在httpd.conf文件中添加解析语句后,上传黑名单之外的文件(上传可以选择先修改后缀再上传或者先上传再使用bp修改):

蚁剑连接成功:

注:若要判断上传后的文件能不能执行,可以直接访问🐎地址,正常情况下就是一片空白,无任何反应,如果出现下载,那就是没有执行。

pass-04(Apache解析漏洞\.htaccess文件绕过)

apache解析漏洞:apache读取后缀从右向左,若遇见不认识的后缀名便向前继续读取,直到认识的后缀。

影响版本:apache 2.4.x。

在上传文件的后面再随意加一个后缀即可上传成功,再通过apache解析漏洞成功执行:

蚁剑成功连接:

这里可以先看看提示:

可以看见过滤了挺多东西的,但并没有过滤.htaccess文件,这个文件是一个分布式配置文件,全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。

先本地创建一个.htaccess文件,里面写以下三行代码:

<FilesMatch .jpg>
SetHandler application/x-httpd-php
</FilesMatch>

这三行代码的意思是通过一个.htaccess 文件调用 php 的解析器去解析一个文件名中只要包含".jpg"这个字符串的任意文件,都可以被以 php 的方式来解析。

那思路就很清晰了,先上传.htaccess文件,再上传之前改过后缀的🐎,也就是“.a.jpg”文件,然后“.a.jpg”文件就可以以php的方式来执行(这里的“.a.jpg”文件中的内容就是一句话🐎)。

蚁剑连接,没有问题:

pass-05(后缀大小写绕过)

这里就省一步上传php文件了,直接看看提示:

其实这里看提示就可以了解到这关考的是后缀大小写绕过,因为这里虽然限制了很多,但仔细一看,限制了.php之外又限制.pHp,所以这里的代码肯定没有做大小写限制,只是单纯的限制.php和.pHp,那很明显还有.Php,.phP,.PhP没被限制,随便丢一个上传即可:

蚁剑连接,没有问题:

pass-06(空格绕过)

看一下源码:

发现没有对空格进行过滤,不了解的可以查看一下上一关的源码,发现多了一句转小写的代码,少了一句首尾去空的代码:

$file_ext = strtolower($file_ext); //转换为小写
$file_ext = trim($file_ext); //首尾去空

所以直接抓包,在上传文件的后面加一个空格即可上传成功:

蚁剑连接成功:

pass-07(点绕过)

这关挺牛啊,佩服。

不过再看一下源码,发现这关的源码相比上一关来说少了一个去除末尾的点:

$file_name = deldot($file_name);//删除文件名末尾的点

那就使用点绕过,在上传文件的末尾加一个点,让服务器将其解析为可执行文件:

蚁剑连接成功:

pass-08(::$DATA绕过)

这关同样也禁用了很多,看一下源码:

基本已经将前面所有的限制都在内了,但唯独有一个"::$DATA"没做限制, 在windows中如果文件名+"::$DATA",会把::$DATA之后的数据当成文件流处理,不会检测其后缀名,并且会保留"::$DATA"之前的文件名,这里就可以利用这一点进行绕过:

$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

蚁剑连接成功(这里注意的是连接的时候文件名是"::$DATA"前面的部分,不包括"::$DATA"。)

pass-09(处理不当绕过)

这关比较细节,直接放源码:

这里一看,在限制这一块,前面的所有限制都包括了,那就说明前面的绕过方式都没用,注意看下面这个代码:

if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }

这里跟前面有两处不同,首先是在文件保存的时候并没有使用随机名字,接着是在保存文件时的处理只对file_name做处理,没有对file_ext做处理,而file_name只消除了后面的点,从而导致了这里变成了单次检测,因此这里使用“. .”即可绕过,这里的两个点之间需要有空格,如果使用两个连续的点会被一起删掉,而这里删除点的时候遇到空格就停止了,需要中间需要有个空格才行。

蚁剑连接成功:

pass-10(双写绕过)

这关就有点奇怪,直接看源码:

估计从这关开始就没注释了,这里关键点就在于下面这句代码:

$file_name = str_ireplace($deny_ext,"", $file_name);

str_ireplace函数的意思就是匹配第三个参数中的内容,如果里面有第一个参数的内容,则替换成中间参数的内容,举个例子,比如下面这个代码:

str_ireplace("WORLD","Peter","Hello world!")

先放这个函数的结果:

Hello Peter!

 一目了然了吧,就是把Hello world!里的world替换成Peter,其它不变,并且大小写不影响。

那回到这题,这题就相当于把我们上传的文件名中还有黑名单里的后缀直接删掉,但是这里只处理了一次,没有作循环处理,那就双写后缀即可。

但是这里我使用bp抓包该后缀名没成功,虽然bp显示没成功,但其实已经上传上去了,我这里就换一种上传方式,先在本地双写后缀再上传即可:

可以成功上传:

 蚁剑连接也没问题:

pass-11(%00截断-GET)

放源码:

重点在于下面这个代码:

$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

这里拼接了上传路径,并且save_path可控,那就可以使用%00来截断,比如上传路径是/upload,也就是save_path=../upload,此时上传的🐎为shell.jpg的话,那就可以再save_path后添加shell.php%00,这时save_path=../upload/shell.php%00,接着将.jpg后缀与save_path拼接的话就变成了save_path=../upload/shell.php%00/{.rand(10, 99).date("YmdHis").}.jpg,此时%00就将后面的都注释掉了,就只剩下一个shell.php文件了。

不过这个太老了,实现它需要两个条件:

1、PHP版本小于5.3.29;
2、magic_quotes_gpc = Off

这里的php版本直接调就行:

 magic_quotes_gpc的关闭我个人更推荐直接在配置文件中修改:

修改成off就行:

接下来就可以开始上传了:

蚁剑连接成功:

pass-12(%00截断-POST)

放源码:

放眼一看,跟上一关居然差不多,还是那句代码的问题:

$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

仔细一看,上一关用的GET请求,这一关变成POST,抓包也可以看得出来:

除了这个区别之后,在POST请求中,不会自动对url编码进行解码,这里就需要手动对%00进行解码,选中后右键选择Convert selection---URL---URL-decode:

 接着你会发现它好像变成了空格一样:

那是因为%00是ascii值为0字符的url编码形式,但这并不代码直接在后面加空格就可以了哈。

上传成功后,蚁剑连接:

:结束这一关后,记得将PHP版本调回去,以免后续关卡出现出现问题。

pass-13

余切66
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
upload-labs_pass19_条件竞争+apache解析漏洞
qq_51550750的博客
04-12 1597
pass19-源码和提示 提示: 源码: //index.php $is_upload = false; $msg = null; if (isset($_POST['submit'])) { require_once("./myupload.php"); $imgFileName =time(); $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FIL
Upload-labs通关攻略(适合新手)
夜思红尘的博客
04-12 2053
这是一篇关于upload-labs通关攻略,适合新手
upload-labs详解1-19关通关全解(最全最详细一看就会)
最新发布
qq_53058639的博客
04-16 382
upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共19关,每一关都包含着不同上传方式。
upload-labs(Pass1-19详解)
m0_53567065的博客
11-10 2215
文件上传也是和RCE类型的危害相同的,如果我们可以任意上传文件且服务器可以解析的话那么就相当于我们可以执行任意的文件代码,从而控制了整个服务器。在实战渗透中,我们打点最快的方式就是寻找是否存在文件上传的功能点。不过一般都是后台会存在这样的功能点且漏洞较多。一旦我们将文件传到服务器之后,就可以通过webshell管理工具进行连接。上传文件之前我们需要先清楚web服务是基于什么语言开发的,是否会将我们的文件进行解析。当然这个都需要我们实际进行测试。
upload -labs通关解析及上传类型总结和思考
ghtwf01的博客
12-01 468
Pass-01(客户端JS绕过) 客户端JS判断方法:上传一个php文件,用bp抓包,如果没抓到包就弹框说不能上传,就说明是客户端JS检测 客户端JS绕过方法: 方法一: 上传一个图片马格式为jpg,然后bp抓包,将格式改为php 方法二: 攻击JS代码:查看网页元素找到那一段JS代码删除掉 Pass-02(MIME类型验证) MIME类型验证实质就是检测Content-Type头,先bp抓包 方法一: 上传一个jpg格式图片马,将后缀在burp中改为php,因为上传的是jpg格式文件,所以Content
探究文件上传安全:upload-labs靶场的绕过技巧
weixin_43263566的博客
01-26 1090
Unsafe Fileupload文件上传绕过技巧与upload-labs靶场)
安装upload-labs
10-22
安装upload-labs
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
UPLOAD-LABS详细解题步骤
05-17
UPLOAD-LABS详细解题步骤
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
upload-labs.master靶场漏洞复现.htaccess文件解析漏洞
..
11-16 537
条件:php5.6以下不带nts的版本 apache服务器下 upload-labs-master靶场 原理:.htaccess文件(分布式配置文件),全称是Hypertext(超文本入口)。提供针对目录改变配置的方法,,即在一个特定的文档目录中放置一个含有一个或多个指令的文件下,以作用于当前目录或者其子目录。作为用户,所使用的命令受到限制,管理员可以通过apache的Allowoverride指令来设置。 upload-labs-master第四关...
7z apache解析漏洞_upload-labs打关详解
weixin_29197051的博客
01-16 461
1-19关 00x01 JS检查方法一.修改javascript代码,将.php添加到允许上传的类型中 3.上传成功 方法二:绕过前端,通过burpsuit抓包,上传一张info.jpg图片,然后抓包之后,将后缀改为.php,发包上传成功 00x02服务端对数据包的MIME进行检查1. burpsuite类型type绕过,上传.php文件,然后拦截,将类型改为image/jpeg,发包,上传成功...
upload-labs之第十九和二十关以及总结
田田云逸的博客
10-28 1524
Pass19 打开第十九关,发现上传的地方还可以定义上传的文件名 再看看提示 这里说这个文件名是用的post方式传递的,那么看看源码到底要怎么绕过 $is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm".
upload-labs】pass-19~pass20完结篇
qq_43665434的博客
03-23 675
upload-labs】pass-19~pass20完结篇 【pass-19】00截断 1、源码分析 2、测试流程 先尝试上传一个一句话木马muma.php 用burp抓包: 在raw中将加号的2b替换为null的00 变换后结果: 如图所示,上传成功! 然后直接菜刀连接即可。 小结 00截断的原理前面提到过,不明白的小伙伴可以取看看传送门 我觉得是否可以利用00截断的本质,还是要看最后文件的保存路径用户是否可控。 【pass-20】特殊+windows特性绕过 1、源码分析 if (iss
uploads-labs pass 4 配置apache使.htaccess文件生效
qq_51161511的博客
06-05 142
之后开始编写.htaccess文件并上传,该文件用于将jpg文件作为php代码解析,这两步已经有详细教程。而实现该文件有效性需要更改apache配置文件,具备两个条件,先搜索allowoverride,找到275行左右位置将None改成All,意思应该是允许覆盖写权限。(留意上下文,不要改错了,该文件有多处allowride)首先分析源代码可知该网页已经过滤了大多数的文件拓展名,无法直接上传木马文件。重启apache服务,将两个文件上传后,使用中国蚁剑确认连接。
upload靶场第十九关 apache解析漏洞+条件竞争绕过
2301_79650865的博客
02-09 397
upload靶场第十九关 apache解析漏洞+条件竞争绕过 详细教程
upload-labs通关过程(12关——21关)
2301_80337881的博客
11-29 1481
这一关我们使用到了%00截断,我们正常上传php文件并抓包在第一行upload/后加xxx.php%00并将底下filenamedephp后缀改为jpg,就可以上传成功了,注意用蚁剑测试时链接中upload/后跟的是xxx.php。
文件上传漏洞upload-labs1-19关详解
qq_51780583的博客
03-07 1765
upload-labs1-19关详解
upload-labs 验证文件
09-17
对于upload-labs验证文件,可以使用以下步骤进行验证: 1. 首先,确保你已经下载和安装了upload-labs。你可以从GitHub上找到它的源代码并进行安装。 2. 打开终端,并切换到upload-labs的目录下。 3. 通过运行以下命令来启动upload-labs服务器: ``` php -S 127.0.0.1:80 ``` 4. 在浏览器中输入 `http://127.0.0.1`,以访问upload-labs的主页。 5. 浏览upload-labs的主页,以查看提供的不同类型的验证文件。选择一个你感兴趣的验证文件进行尝试。 6. 下载选定的验证文件,并在你的本地机器上保存它。 7. 将该文件上传upload-labs网站中。这可能涉及到在网站上查找一个相应的上传功能或表单,通过该表单上传文件。 8. 完成上传后,upload-labs网站将会对你上传的文件进行验证。你会得到一个验证结果。 请注意,确保在进行任何演示或测试时遵循适当的安全措施,以防止任何潜在的安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

余切66

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值