Upload-labs Pass-20 数组绕过

最新推荐文章于 2025-03-12 03:26:33 发布
最新推荐文章于 2025-03-12 03:26:33 发布
阅读量1.7k 收藏 9
点赞数 12
文章标签: Upload-labs 数组 Pass-20
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014029795/article/details/102917199
版权

Upload-labs Pass-20 数组+/.绕过

在这里插入图片描述
和19关前面长一个样,肯定要代码审计了,直接看源码。

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

explode(a,b)函数以a为分割,把b转为数组。
reset()函数把数组内部指针移动到数组第一个元素,并返回值。
end() 把数组内部指针移动到数组最后一个元素,并返回值。
count()函数数组元素的数量。
通过$file_name = reset($file) . '.' . $file[count($file) - 1];可以知道最终的文件名是由数组的第一个和最后一个元素拼接而成。如果是正常思维来讲,无论如何都是没有办法绕过的,但是有个地方给了一个提示。
在这里插入图片描述
这里有个判断,如果不是数组,就自己拆成数组,也就是说,我们是可以自己传数组进入的。如果第一个元素是x.php/,最后一个元素是end(),讲道理$file[count($file)-1]也就是最后一个,但是为什么不直接使用end()呢,也就是说有特殊的情况下,这两个东西是不等的,其实就是这样的一个数组$array=([0] -> 'x.php/' [2]->'jpg'),看下面这个测试案例就知道是什么意思了。

测试代码
<?php
$file = array();
$file[0] = 'x.php/';
$file[2] = 'jpg';
print_r($file);
echo "数组总元素个数为".count($file);
?>
运行结果
Array
(
    [0] => x.php/
    [2] => jpg
)
数组总元素个数为2

再来分析一下$file_name = reset($file) . '.' . $file[count($file) - 1];,按上面的测试代码来看,reset($file)肯定是x.php/count($file)2,再减少1,后缀就变成了$file[1]。但是上面那个数组里面没有$file[1]啊,这里,来打印着测试一下。

echo "\$file[1] is".$file[1];
Array
(
    [0] => php/
    [2] => jpg
)
$file total is2**********************$file[1] is

很明显看到结果是空,也就是$file[count($file) - 1]相当于没有内容,那最后的文件名为x.php/.了,这个时候就可以用19关的方法进行绕过,当然也可以利用windows的特性.空格和绕过。
在这里插入图片描述
访问,成功解析。
在这里插入图片描述

Upload-labs靶场Pass-20
wanggonghanfei的博客
10-28 1092
这段代码的功能是实现一个基本的文件上传功能,包括对文件类型的限制和上传路径的验证。
upload-labs Pass1-20 已完结
weixin_46099552的博客
08-14 391
upload-labs
upload-labs靶场pass20思路与操作
FRANXX_02的博客
10-11 1070
upload-labs靶场最后一关pass20思路与操作
【web靶场】之upload-labs专项训练(基于BUUCTF平台)
China_I_LOVE的博客
01-11 1325
该靶场,是通过平台中的靶场进行的,基于linux搭建的当然若是想要该靶场,可以采用github上的醒目,点击后面文字即可访问或者本人分享在网盘中,可通过链接下载其中的。
upload-labs总计20
最新发布
qq_58456004的博客
03-12 564
文件上传漏洞,解析upload-labs
最新upload-labs文件上传漏洞靶场搭建安装,upload-labs Pass01-Pass20 二十关详解,靶场源码详解,upload-labs第一关到第二十关详解,一句话木马详细介绍
2302_80946742的博客
04-16 5943
在开始打靶场之前,我们先来介绍一下一句话木马。一句话木马(One-liner Trojan 或 Webshell)是一种常见的网络安全攻击工具,通常用于Web服务器的非法控制。它称为“一句话”,因为攻击者只需在目标服务器上的一个可访问的Web页面中植入一小段代码,就可以实现对服务器的远程控制。这种木马通常以PHP、ASP、JSP等服务端脚本语言的形式出现,因为这些语言能够在服务器上执行。一句话木马的代码很简短,但功能却非常强大,能够接收远程命令并在服务器上执行这些命令。?
upload pass20
qq_45106794的博客
11-07 392
$is_upload = false; $msg = null; if(!empty($_FILES['upload_file'])){ //检查MIME $allow_type = array('image/jpeg','image/png','image/gif'); if(!in_array($_FILES['upload_file']['type'],$allow_...
upload-labs】————21、Pass-20
Fly_鹏程万里
08-15 1071
查看源代码: 这里检查了文件的MIME、文件后缀名,但是file这里可以%00截断: 之后需使用文件包含来进行操作~
upload-labspass-20
羽的博客
07-11 192
上传文件,加输入文件名。 这个很快就想到13题的POST%00截断
文件上传--Upload-labs--Pass20--数组绕过
2302_79800344的博客
02-21 632
数组绕过,CTF真题考点
upload-labspass-19~pass20完结篇
qq_43665434的博客
03-23 888
upload-labspass-19~pass20完结篇 【pass-19】00截断 1、源码分析 2、测试流程 先尝试上传一个一句话木马muma.php 用burp抓包: 在raw中将加号的2b替换为null的00 变换后结果: 如图所示,上传成功! 然后直接菜刀连接即可。 小结 00截断的原理前面提到过,不明白的小伙伴可以取看看传送门 我觉得是否可以利用00截断的本质,还是要看最后文件的保存路径用户是否可控。 【pass-20】特殊+windows特性绕过 1、源码分析 if (iss
Upload-labs靶场Pass01-Pass21全解
beiweixiaotian66的博客
07-31 1430
UPload-labs小练习
upload-labs靶场Pass-14
wanggonghanfei的博客
10-23 1034
upload-labs靶场Pass-14 文件包含漏洞 图片木马
upload-labs 1-20
weixin_58358185的博客
10-30 701
upload-labs
upload-labs-master Pass1-20笔记
skynet_x的博客
10-27 4550
实验环境: Windows 7 X64 Phpstudy 2018 PHP 5.4.45 Apache/2.4.23 pass01 — JS限制 开启burp抓包,尝试上传eval.php,点击上传后页面直接提示该文件不允许上传,而burp并没有截取到数据包,判断为JS限制。 F12将JS限制代码找出来,将代码复制到console,修改允许上传的后缀为php再运行 点击上传后显示上传成功,在下方回显的地方右键复制图片地址即可获取上传后的图片路径。 为了直观查看上传的文件有没有被执行,在上传的文件中均是
upload-labs_pass20-move_uploaded_file函数特性
qq_51550750的博客
04-12 2249
pass20-提示和源码分析 提示: 源码: $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml
UPLOAD LABS | PASS 20 - 黑名单绕过(Windows . 绕过
Blue17 の 小窝
12-07 591
仅仅是获取后缀,通过抓包可以发现目标运行在 Windows 系统上,利用 Windows 移除文件扩展名多余。下面是本关的 WAF 源码,采用黑名单校验方式。下面,笔者就用 Bug 02 过关吧(比较简单)。首先,上传一个一句话木马文件,并修改保存名称为。Bug 01:黑名单过滤不全,其并没有过滤。查看源码,我们发现了,其上传文件名是通过。后缀,我们可以通过上传配置文件。的特性,我们也可以进行绕过。如上,我们已经成功上传了。
pph上传文件到window服务器,Upload-Labs通关手册:Pass-01~20
weixin_35555531的博客
08-06 377
大家在看Upload-Labs通关手册前,必看文件上传漏洞平台:Upload-Labs(环境搭建)此文章!否则,你中途可能会出现很多小BUG,或者说突破不了,效果达不到,不够理想。通关任务上传一个webshell到服务器。上传图片马到服务器。Pass-01:JS验证绕过pass在客户端使用js对不合法图片进行检查!示例:这种直接禁用JS,或者 Burpsuit改包等等都可以。我这直接就用了火狐的...
upload靶场第一-二十一关
..
11-19 4981
利用upload靶场第四关做apache 2.x解析漏洞复现 环境配置: 首先在phpstudy打开配置文件httpd-conf 打开文件找到下面这个地方,添加箭头所指的那句代码,环境就配置好了 apache 2.x解析漏洞原理: 操作: 先在记事本写下 <?php phpinfo();?> 然后将文件重命名改成11.php.shtmlljjb(随便打,只要不认识就行) 在upload靶场中上传,复制图片链接,打开就看到执行成功了 up.
upload-labs pass12
12-29
### 关于 upload-labs Pass-12 的解决方案 #### 背景介绍 upload-labs 是一个用于学习和测试文件上传漏洞的靶场,其中包含了多个级别的挑战。Pass-12 特别关注通过特定条件下的文件上传绕过验证机制来实现攻击[^2]。 #### 漏洞分析 在 Pass-12 中,服务器端设置了较为严格的文件名过滤规则以及 MIME 类型检测。然而,在实际环境中可能存在某些配置不当之处可以被利用: - **MIME Type 绕过**: 即使服务端进行了 MIME 类型校验,但如果仅依赖客户端提供的 Content-Type 头部,则可以通过修改请求头中的内容类型来进行绕过尝试。 - **文件扩展名检查不足**: 如果只简单地基于黑名单模式阻止已知危险类型的文件(如 .php),那么攻击者仍有可能找到未被列入黑名单的安全扩展名并执行恶意脚本。 为了成功完成此关卡的任务,需要理解如何构造特殊格式的数据包以规避上述防护措施[^4]。 #### 实现方法 以下是针对该级别的一种可能解法思路: ```bash curl -X POST \ http://localhost/upload-labs-master/Pass-12/index.php \ -F "file=@test.jpg;type=image/jpeg" \ -H 'Content-Type: multipart/form-data' ``` 这段命令展示了如何使用 `cURL` 工具发送带有自定义 MIME 类型 (`image/jpeg`) 和文件名 (`.jpg` 扩展) 的 HTTP 请求给目标 URL 。这里的关键在于即使上传的是 PHP 文件,也可以伪装成图片或其他无害文件形式提交上去[^3]。 需要注意的是,具体实施时还需考虑更多细节因素,例如服务器的具体版本、中间件特性等都会影响最终效果。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值