upload-labs:Pass-01~15

最新推荐文章于 2024-04-24 17:04:26 发布
最新推荐文章于 2024-04-24 17:04:26 发布
阅读量371 收藏 1
点赞数
文章标签: upload-labs 文件上传 upload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vegetable_haker/article/details/103097109
版权

Pass-01

  1. 禁用JS
  2. burpsuit抓包修改文件后缀
  3. 直接在网站下查看元素,找到对应代码段,增加可通过的文件类型.php

Pass-02

MIME验证绕过:

先上传PHP文件,然后用burpsuit抓包修改Content-Type为image/jpeg或者image/png

Pass-03

这一关设置了黑名单,禁止上传.asp|.aspx|.php|.jsp后缀文件,但是可以上传其它任意后缀文件。我们可以上传 .php、.phtml、.phps、.php5、.pht、.Php等类似的格式绕过。
虽然这样能上传成功,但是.php5等文件不能解析,要正常解析还需要满足以下其中一种条件:

  1. Apache的 httpd.conf 中有如下配置代码:

    AddType application/x-httpd-php .php .phtml .phps .php5 .pht

  2. 上传 .htaccess 伪静态文件,内容如下:

    <FilesMatch “phpinfo.php5”>
    SetHandler application/x-httpd-php

用伪静态需要保证:
①mod_rewrite模块开启
②目录设置是AllowOverride All

Pass-04

这一关禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件

而且还加上了

$file_ext = strtolower($file_ext)

它可以将大写转换为小写,也就是说,我们不能通过改变后缀的大小写绕过,所有但是它却没有禁止.htaccess等类似后缀的文件,所以我们仍然可以通过上传.htaccess伪静态文件来绕过。

  1. 先上传一个 .htaccess 文件,内容如下:

SetHandler application/x-httpd-php//伪静态规则:所有文件都会解析为php

  1. 然后再上传一个.php6木马文件(只要不在禁止名单里,用.php几都行)

Pass-05

和之前一样,依旧是加了好多黑名单,并且还禁止了.htaccess后缀,但是却没有将后缀进行大小写统一,所以我们可以通过将后缀名改为.Php绕过

Pass-06

本关依旧是禁止了一大堆后缀,而且也不能通过大小写绕过,但是我们可以通过在后缀下面加空格来绕过。
在windows下xx.jpg[空格] 或 xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点。但是在burpsuit中不会删除末尾的点和末尾的空格,因此我们可以通过burpsuit抓包,修改后缀名为.php[空格]

Pass-07

本关加上了

$file_ext = trim($file_ext); //首尾去空

也就是说,它会把后缀中的空格去掉,但是并没有去掉点,所以可以用burp将后缀名改为.php.

Pass-08

还是黑名单,但是没有对后缀名进行去“:: D A T A ” 处 理 , 利 用 w i n d o w s 特 性 , 可 在 后 缀 名 中 加 “ : : DATA”处理,利用windows特性,可在后缀名中加“:: DATAwindows::DATA”绕过

NTFS文件系统包括对备用数据流的支持。这不是众所周知的功能,主要包括提供与Macintosh文件系统中的文件的兼容性。备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中,此默认数据流称为:$DATA。

Pass-09

黑名单,同时通过语句

$file_ext = str_ireplace('::$DATA', '', $file_ext);

对文件名进行了去::$DATA处理,但是我们可以通过.php. .来绕过,因为虽然它对文件名末尾的点进行了删除,但是只会删除一次,那么删除之后的文件名后缀为.php.,就可以绕过了。

Pass-10

本关会将敏感后缀(php)替换为空,所以我们可以将后缀名改为.pphphp双写绕过,这样即使他把php替换为空,那我们剩下的后缀还是php

Pass-11

本关提示上传路径可控;
可以用%00截断绕过。

当文件系统读取到%00时,会停止读取后面的字符串。
利用%00截断需要满足两个条件:    
1. PHP 版本 < 5.3.4
2. php.ini 中 magic_quotes_gpc=off

用Burpsuit抓包做如下修改,Go一下即可上传成功
在这里插入图片描述

Pass-12

本关依旧是上传路径可控,但是跟上一题不同的是这题save_path 从 GET 变成了 POST,此时不能再直接使用 %00 截断,原因是 %00 截断在 GET 中被 url 解码之后是空字符。但是在 POST 中 %00 不会被 url 解码,所以只能通过 burpsuite 修改 hex 值为 00 进行截断,也就是在post情况下,需要先对%00进行一个url编码。
在这里插入图片描述编码后,%00会变为空格,此时Go一下即可。

Pass-13

本关检查图标内容开头2个字节,直接上传图片马即可。(能成功上传图片马,但是如果要利用的话,还需要进行文件包含。)
文件包含步骤:

  1. 在网站根目录下新建upload.php文件,并写入
<?php
    $filename  = $_GET['filename'];
    include($filename);
?>
  1. 将文件包含进去:http://localhost/upload.php?filename=./upload/(要包含的文件名),比如我上传成功的文件为保存在upload目录下的8420191116021239.gif,则文件包含的方式为http://localhost/upload.php?filename=./upload/8420191116021239.gif,包含成功。

Pass-14

本关使用getimagesize()检查是否为图片文件,所以直接上传图片马即可成功。

Pass-15

本关使用exif_imagetype()检查是否为图片文件,依旧是直接上传图片马。

_egg_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
upload-labs:pass-15
羽的博客
07-11 286
function isImage($filename){ $types = '.jpeg|.png|.gif'; if(file_exists($filename)){ $info = getimagesize($filename); $ext = image_type_to_extension($info[2]); if(stripos($types,$ext)>=0){ return $ext; ...
[1-15]web upload(基于upload-labs)
cndsmarrylin的博客
01-16 366
环境搭建 在官网下载phpstudy及upload-labs,将下载好的包拖到WWW根目录下,开启phpstudy的集成服务后,即可通过127.0.0.1/upload-labs访问靶场 工具 Burp Suite(kali自带) 中国菜刀(针对靶场可用,现实环境推荐中国蚁剑) FireFox火狐浏览器及Switchy Omega插件(科学上网可下载) 常见文件上传漏洞及方法(旧) 文件上传漏...
文件上传复习(upload-labs 6-13关)
最新发布
2302_80935968的博客
04-24 699
magic_quotes_gpc 着重偏向数据库方面,是为了防止sql注入,但magic_quotes_gpc开启还会对$_REQUEST, $_GET,$_POST,$_COOKIE 输入的内容进行过滤。补充知识:php在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持"::$DATA"之前的文件名。所以我们上传.php文件进行抓包,然后在.php后面加上一个空格,这样我们上传的就是.php文件。如:aaa.php%00bbb.jpg。
Upload-labs(Pass19-21)
不知名白帽的博客
06-05 291
upload-labs文件上传漏洞(Pass15-18)。自带练习网站链接。第十九关:Apache解析漏洞!;二十关:黑名单空额绕过!;二十一关:数组绕过!
upload-labs通关(Pass-11~Pass-15
箭雨镜屋
10-10 2611
Pass-11 什么鬼,我都做好了上传不成功的准备,结果sh.php居然上传成功了。 一看Response报文,果然事情没有这么简单,后端自动把文件名中的php去掉了,文件名变成sh.了 这样的话,盲猜可以用双写绕过。这关直接在repeater中试一下,就不劳intruder大驾了。 果然,双写php之后,服务器上保存的文件名是sh.php,成功绕过黑名单过滤。 代码分析: 本关代码在文件名中出现黑名单中的字符串时,用str_ireplace()函数替换为啥也没有,但是这个替换它不.
upload-labs】————16、Pass-15
Fly_鹏程万里
08-15 497
闯关页面 查看源代码: 这里用到php_exif模块来判断文件类型,还是直接就可以利用图片马就可进行绕过: 首先制作木马文件: 之后上传该文件 ...
安装upload-labs
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
upload-labs-master.zip
06-22
【描述】描述中的 "文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master" 显示这是一个针对文件上传漏洞的系列练习,通过多次嵌套的目录结构,可能旨在模拟不同...
WEB渗透学习-upload-labs靶场
04-20
**WEB渗透学习-upload-labs靶场详解** 在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至关重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础...
upload-labs19-20以及总结1
08-08
Pass19中,开发者试图通过限制上传文件的扩展名来防止这种攻击,但是他们只检查了保存文件名(`save_name`)是否包含黑名单中的扩展名,而未检查实际上传文件的类型。 以下是该关卡的主要知识点: 1. **文件名...
UPLOAD-LABS详细解题步骤
05-17
UPLOAD-LABS详细解题步骤 UPLOAD-LABS是一个网络安全靶场,旨在帮助用户练习文件上传的安全知识。该靶场提供了多个关卡,每个关卡都有一定的安全挑战和限制,旨在考验用户的安全知识和技术。 在开始之前,需要先...
文件上传漏洞靶场upload-labs学习(pass11-pass15
AFCC_的博客(Web_Dog)
03-13 4492
0x00 Pass11 Pass11主要考察str_ireplace函数 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv",
显错注入(Pass-01Pass-02、Pass-03、Pass-04)
秋风浮水的博客
04-06 367
靶场:传送门 验证是否可以“sql注入” select * from user where id=1 or 1=1 获取返回字段的数量 select * from user where id=1 union select 1,2,3 order by 2 获取数据库名称以及版本号 select *from user where id=1 union select 1,database(),version() order by 2 获取数据库表名称 select *from use
web安全-文件上传漏洞-图片马制作-相关php函数讲解-upload靶场通关详细教学(3)
ran的博客
01-30 6170
getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。的知识,比如我们平时在进行文件上传时,在我们上传文件后,网站会对图片进行二次处理(格式、尺寸、保存、删除要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。
upload-labs靶场学习笔记1-21关
qq_56426046的博客
08-27 1845
服务器端使用白名单防御,修复 web 中间件的漏洞,禁止客户端存在可控参 数,存放文件目录禁止脚本执行,限制后缀名 一定要设置图片格式 jpg、gif 、 png 文件名随机的,不可预测。
Upload-labs 1-21关 靶场通关笔记(含代码审计)
weixin_54894046的博客
10-15 7778
Upload-labs 1-21关 靶场通关笔记(含代码审计)
Upload-labs文件上传漏洞(上传路径可控)——Pass11
Zichel77的博客
07-28 1111
0×00 题目概述 0×01 源代码 $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); if(in_array($file_ext,$
uploads-labs深入学习
JasonCian的博客
07-07 1014
uploads-labs深入学习
upload-labs/Pass-07 漏洞复现
09-08
你好!对于 upload-labs 的 Pass-07 漏洞复现,我可以给你一些指导。首先,请确保你已经下载并配置好了 upload-labs 的环境。 Pass-07 是一个文件上传漏洞的挑战,目标是成功绕过上传限制并执行恶意代码。 以下是一般的漏洞复现步骤: 1. 打开 Pass-07 挑战页面,通常是通过浏览器访问 `http://your-domain/Pass-07/index.php`。 2. 查看上传功能的代码,通常在页面的源代码(HTML)或服务器端代码(PHP)中。 3. 了解限制条件,比如文件类型、大小或者其他限制。 4. 尝试上传常见的可执行文件,如 `.php` 或 `.exe` 文件,观察是否被限制。 5.***上传一个恶意文件,并观察目标系统是否执行了该文件。 7. 如果成功执行恶意文件,完成挑战。 请注意,这只是一般的复现步骤,具体的漏洞可能因各种因素而有所不同。我建议你查看 upload-labs 提供的详细说明和提示,以便更好地理解和复现该漏洞。 希望这些信息能对你有所帮助!如果你有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值