- 博客(10)
- 收藏
- 关注
RSS订阅原创 upload-labs通关(第20关—第21关)
如果我们没有修改这个文件后缀名,并且我们上传的php文件里面刚好是一句话的话,那保存为jpg文件后就又变成了图片马了,这时候只能使用文件包含漏洞或者解析漏洞来进行文件读取了。注意:思路二我们绕过的地方是upload-19.php这个地方,也就是我们保存的文件名的地方。:这关也是可以使用文件包含漏洞来进行上传图片马,然后用蚁剑进行连接(这里不过多赘述):这关可以使用文件包含漏洞来进行上传图片马,然后用蚁剑进行连接(这里不过多赘述)这关的原理我也不太懂,我也是看了其他大佬的wp才知道这个方法的。
2024-08-06 17:48:28
343
原创 upload-labs通关(第18关-第19关)
在这关它先把文件上传至网站目录, 然后才对文件进行检验来决定是否删除这个文件,所以我们可以通过burpsuite发送大量的上传文件和访问所创建的webshell文件的请求,从而绕过代码的限制,上传后门文件。这关不知道是不是代码有问题,还是我的配置有问题,我这直接用文件包含漏洞就能上传上去,我还看了其他人的wp,他们的都是用白名单+条件竞争+apache解析漏洞或者白名单+条件竞争+文件包含漏洞。接下来我们开始攻击,我们要分别点击上传请求的开始攻击按钮和文件访问的按钮(如果只点一个,它只会攻击一个)
2024-08-06 16:03:23
857
原创 upload-labs通关(第16关-第17关)
我们接下来就可以使用蚁剑进行连接,url的构造和前面的一样,但我这无论怎么弄都没成功连接上,看了其他大佬的wp,他们也是这样做的,能连接上,方法大概是这样了,如果有连接上的告诉我一声(对了,这里如果使用其他格式的图片会比较难弄,所以我就没弄)找到两个gif相同的地方,我们把一句话复制,然后在23917.gif中插入一句话,保存,上传23917.gif文件。然后进行比较,我们通过观察发现不同的地方,并且我们插入的一句话,在下载的gif里面已经被打乱了,没有找到。3.找到[exif]段,把下面语句的分号去掉。
2024-08-05 21:55:30
514
原创 upload-labs通关(第14-第15关)
首先我们创建一个1.php文件,在里面写入我们的一句话木马,记住要在代码的前面敲两个空格或者其他两个符号都可以,然后使用010editor打开这个文件,将两个空格处变成jpg的文件头(gif和png的也可以啊,不一定是jpg的),如果具体不知道怎么操作,可以看这位大佬的。查看源码发现,这个代码只对上传的文件的头两个字节进行检验,检查是否是jpg、gif或者是png图片。这个命令必须把xx.jpg放在前面,否则后面生成的xxx.jpg文件还是会被代码识别到,从而过滤。,我也是根据这位大佬的思路才做出了的。
2024-08-04 20:07:28
564
原创 upload-labs通关(第12关-第13关)
关于php的版本问题,由于我这之前使用的是phpstudy_pro搭建的靶场,不知道是不是软件的原因,导致我不能下载php的5.2.17版本,我又不想删了重新配置,感觉很麻烦,所以我就又下了个phpstudy2018的版本,如果有人也是这样的问题,并且删了重新下也不行,大家可以看这篇文件下载phpstudy2018试试。如果你的phpstudy_pro能下载php的5.2.17版本,那你可以这样关闭魔术引号。然后找到参数开关设置,我们就可以看到魔术引号了,如果勾选了,就点击它一次,取消勾选。
2024-07-28 13:06:49
572
原创 upload-labs通关(第8-第11关)
查看代码,我们会发现代码虽然少了一些,但是按照之前的方法还是不能绕过黑名单上传文件,主要是因为下面这行代码把黑名单中的文件后缀名都用空格替换掉了,但只替换了一次,那我们不就可以用双写后缀名绕过了。我们观察这关的代码,发现这次代码什么都没缺,很像之前的一关,发现就是一样的,又是只对空格和点只过滤一次,那我们又能用点加空格加点绕过了(好吧,我也不记得我用了多少这个方法绕过了)这里代码会先把pphphp里面的php过滤掉并用空格替代,然后就剩下了p hp,因为系统特性,又会把空格去掉,所以就剩下php了。
2024-07-27 13:39:58
398
原创 upload—labs通关
我们先上传一个test.php文件,发现被过滤掉了如果按照黑盒测试的方法,我们需要一个一个方法的试,这里我为了方便,直接查看源代码发现这个代码只对空格和点进行一次过滤,所以我们可以用点空格进行绕过(如果有不知道点空格怎样绕过的,可以看我前面第三关通关的文章)使用bp抓包,修改数据(注意我这里是. .,也就是点加空格加点)我们从upload文件夹里就能看到文件已经上传了。
2024-07-27 12:03:41
274
原创 upload-labs 通关
我是这样理解的代码先把一个点删掉,然后又把空格去掉,就剩下test.php.文件,代码识别时,识别到test.php.文件的后缀是.(空白的后缀名,就是没有后缀名),并且这个后缀名没有在黑名单中,所以就能绕过,上传文件了(如果我理解错了,大家跟我说一下)这里我说一下接下来的做法,我们先上传.htaccess文件,再上传一个test.jpg(把test.php改为test.jpg)的文件,那么后面上传的test.jpg会被解析成php文件。我这先创建一个1.txt的文件,然后再创建一个1.txt.的文件。
2024-07-26 11:47:59
479
原创 upload-labs通关
把test.php改成test.jpg,上传文件,然后通过抓包把test.jpg改为test.php,这样我们就能成功上传test.php文件,我们可以通过查看文件保存路径,发现虽然我们发送的是test.jpg,但保存下来的却是test.php。因为本关的只对上传的文件进行js前端验证,没有经过后端验证,我们可以通过删除js前端验证或通过bp抓包修改数据包的信息的方式,即可进行上传php文件(一般情况下文件上传都不允许上传php类型的文件)方法二:bp抓包修改数据包信息。方法一:删除js验证。
2024-07-23 18:43:08
212
原创 whois ——Bugku
我们访问一下query.php源代码,发现在query.php下面有两个属性host和query,随后使用shell_exec调用本机whois,host和query被直接拼接进去,很容易想到多命令执行。其中我们观察到host和query都进行了正则过滤,host属性只允许数字、字母和“.”,“-”的输入。这里我们可以使用换行符“\n”绕过,它的url编码是%0a(这里是数字零,不是字母o),query后面接命令,我们查看一下目录下面有什么。我们观察到它叫我们cat它一下,那我们就来cat一下。
2024-07-04 22:33:22
135
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人