upload-labs

最新推荐文章于 2024-04-22 16:19:24 发布
最新推荐文章于 2024-04-22 16:19:24 发布
阅读量179 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/sylover/p/11392156.html
版权

上传漏洞总结

2.

 查看源码:

发现只在content-type处做了限制,不会读取内容,因此修改content-type即可。

 if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif'))

 

3.

发现黑名单里只过滤了几种php文件的形式,因此php3,php4,php5,phtml都可以绕过

 

4.

黑名单几乎过滤了所有的php文件

 

$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");

 

因此这里需要一个配置文件来屏蔽到这里的过滤。

建立一个.htaccess

文档写入

SetHandler application/x-httpd-php

再上传gif的php文件

content-type的位置会自动解析为我们上传文件的格式。

 5.

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

在检验文件名环节没有将文件名统一,因此php改为pHp即可

6.

        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

问题出在没有对文件名中的空格进行过滤。因此可以利用xxx.php "

7.

windows在检验文件名的时候会自动去除最后的. 例如 .php. 最后会被解析为.php

利用这个特性 

8.这里依然利用windows特性,文件结尾如果为::$DATA,也会去除

因此.php修改为.php::$DATA

9.

这里源码的思路给的很有意思

is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}
$img_path = UPLOAD_PATH.'/'.$file_name;

 

最终的文件名是经过上述操作的过滤后执行 ,因此文件名过滤了空格和. 可以拼接 .php. . 

经过过滤,过滤了一次. 和 空格 再过滤一次. 最后变为了.php

因此构造123.php. . 

10.

$file_name = str_ireplace($deny_ext,"", $file_name);

这里将存在问题的后缀名替换空格

因此利用双写绕过 .pphphp

11.

 

这里的path是直接拼接的,因此可以利用截断

12.

由于和上一个不同,这里采用的是post传入参数,因此传入的参数不会自动解析编码。需要自己更改hex。

 

转载于:https://www.cnblogs.com/sylover/p/11392156.html

weixin_30920597
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
upload-labs安装及攻略
热门推荐
K_ShenH的博客
01-14 2万+
upload-labs靶场的安装搭建(windows) (1)首先当然是需要phpstudy的环境,所以要先下载安装phpstudy。 (2)然后到github的网址中下载源码的压缩包。 github网址:https://github.com/Tj1ngwe1/upload-labs (3)下载后解压缩到phpstudy目录下的WWW子文件夹中,这里要注意吧压缩包的名字改成upload-labs,不然靶场的页面会显示得不对。 (4)然后在输入url HTTPS:...
Upload-labs
qq_52671379的博客
04-01 4578
Upload-labs
upload-labs靶场
m0_62100902的博客
06-07 521
1 还是老样子,审查源码,寄,直接对文件头进行校验,那么之前的所有操作,不管是你改文件名也好,改路径也好,你的内容是不可能变的,所以之前的所以操作在这。2 观察之后的源码,取后缀名的流程为:去点,首尾去空,删除末尾的点,以末尾的点截取后缀名,后缀名大小写转换,去除末尾的字符串::$DATA,首尾去空。1 审查源码,ok,这里终于换成了白名单了,那么之前那些所有的操作在这里都挂掉了,因为之前的操作都是去对文件后缀名进行的操作,这里是白名单,无论如何。ps:每次上传成功的意思是上传并且6=phpinfo();
安装upload-labs
10-22
安装upload-labs
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
upload-labs通关手册
12-03
详细记录了upload-labs靶场的通关步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
upload-labs.zip
04-07
web渗透测试,upload-labs,上传文件漏洞利用和查找,网络安全
抓取电商产品数据的方法|PHP|Python多语言环境|高并发需求|电商商品API接口数据采集
TinagirlAPI的博客
04-17 377
解决方案:集成订单管理系统和物流跟踪功能,让客户能够方便地处理订单、发货,并为用户提供实时的物流跟踪信息。- 解决方案:支持信用卡、借记卡、PayPal等流行的在线支付方式,确保用户可以选择最适合自己的付款方式。- 解决方案:采用高性能的服务器、CDN加速服务、优化网站代码等措施,确保网站能够快速响应并保持稳定性。- 解决方案:整合营销工具,如优惠券系统、积分奖励、折扣活动等,提供多样的促销方式来吸引客户。- 解决方案:采用SSL加密技术保护网站的安全性,遵守相关法规和标准,确保用户数据安全。
php开发工程师系统性教学】——Laravel框架(验证码)的配置和使用的保姆式教程
php优质创造者
04-21 1509
👨‍💻。
webman 事务回滚失效问题记录
juan9872的博客
04-21 442
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
Laravel 6 - 第十五章 验证器
最新发布
逆旅岁月的博客
04-22 953
用于验证输入数据是否符合特定规则的一个组件,Laravel 6 提供了一个简洁且强大的验证系统,可以轻松验证来自用户输入或其他来源的数据。
Pikachu靶场通关教程
npc88888的博客
04-17 1147
账号:admin 密码:123456爆破代码。
高可用集群——keepalived
wzpny的博客
04-17 610
Keepalived起初是为LVS设计的,专门用来监控集群系统中各个服务节点的状态,后来有加入VRRP的功能,VRRP是(虚拟路由器冗余协议)的缩写VRRP出现的目的就是为了解决静态路由器出现的单点故障问题,它能偶保证网络的不间断、稳定的运行。所有,keepalived一方面具有功能,另一方面也具有功能。
ADOP带您了解电口模块和光模块的区别和运用场景
ADOP_BitRate的博客
04-18 1158
首先,我们将万兆电口模块的SFP+端口插到万兆交换机上,然后使用网线(如Cat6或Cat7网络跳线)连接万兆电口模块的RJ45接口和服务器/存储端的RJ45接口即可,且无需购买额外的设备(如光纤收发器),节省安装成本。值得注意的是,尽管10/100/1000M电口和1000M电口可能看起来相似,但由于交换机的电路设计不同,它们需要匹配不同速率的电口模块。现如今,光模块主要向着低功耗方向发展,以ADOP万兆电口模块为例,其功耗在2.5W以下,传输距离越远,功耗越低。
upload-labs靶场详解
lizhiiiii的博客
04-17 683
使用小皮集成环境来完成这个靶场 将文件放到WWW目录下就可以进行访问。
WP-AutoPostPro 汉化版: WordPress自动采集发布插件
04-19 357
WP-AutoPostPro 是目前最好用的WordPress自动采集发布插件,最大的特点是可以采集来自于任何网站的内容并自动发布到你的WordPress站点。真正做到可以采集任何网站的内容并自动发布,采集过程完全自动进行无需人工干预,并提供内容过滤、HTML标签过滤、关键词替换、自动链接、自动标签、自动下载远程图片到本地服务器、自动添加文章前缀后缀、并且可以使用微软翻译引擎将采集的文章自动翻译为各种语言进行发布。抄笔记 (chaobiji.cn)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值