文件上传 [upload-labs-master][Pass11-19]

最新推荐文章于 2022-09-25 23:49:11 发布
最新推荐文章于 2022-09-25 23:49:11 发布
阅读量371 收藏
点赞数
分类专栏: DVWA 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45253622/article/details/117061065
版权

目录

Pass-11(白名单过滤)00截断

Pass-12(白名单过滤)00截断

Pass-13 (后端检测上传文件的开头两个字节)图片马+文件包含绕过

Pass-14(后端检测上传文件的类型)图片马+文件包含绕过

Pass-15(后端检测上传文件的类型)图片马+文件包含绕过

Pass-16(后端对上传文件进行二次渲染)利用二次渲染绕过

Pass-17 条件竞争绕过

Pass-18 条件竞争

Pass-19 00截断绕过

Pass-11(白名单过滤)00截断

源代码:

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

可以看到,使用的是白名单过滤,但 $img_path是直接拼接,因此可以利用%00截断绕过。

$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

00截断条件:php版本小于5.3.4,php的magic_quotes_gpc为OFF状态

我们抓包修改:

修改成功。

Pass-12(白名单过滤)00截断

源码如下:

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传失败";
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

可以看到,save_path使用POST方式传递,我们还是可以使用%00截断,因为POST不会像GET方式对%00进行自动解码,所以我们需要在二进制中进行修改即可,我们抓包修改:

 

Pass-13 (后端检测上传文件的开头两个字节)图片马+文件包含绕过

源码如下:

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if($file_type == 'unknown'){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

可以看到,源码通过读文件的前2个字节判断文件类型,我们构造图片马然后上传,构造图片马payload如下:

copy lizi.jpg/b + phpinfo.php/a shell.jpg 

上传成功后,直接访问图片不能把图片作为PHP解析,还需要使用文件包含漏洞,payload如下:

http://192.168.41.129/upload-labs-master/include.php?file=upload/7120210520005404.jpg

Pass-14(后端检测上传文件的类型)图片马+文件包含绕过

源码如下:

function isImage($filename){
    $types = '.jpeg|.png|.gif';
    if(file_exists($filename)){
        $info = getimagesize($filename);
        $ext = image_type_to_extension($info[2]);
        if(stripos($types,$ext)>=0){
            return $ext;
        }else{
            return false;
        }
    }else{
        return false;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

这题是用getimagesize函数判断文件类型,还是可以图片马绕过,方法同pass-13。

Pass-15(后端检测上传文件的类型)图片马+文件包含绕过

源码如下:

function isImage($filename){
    //需要开启php_exif模块
    $image_type = exif_imagetype($filename);
    switch ($image_type) {
        case IMAGETYPE_GIF:
            return "gif";
            break;
        case IMAGETYPE_JPEG:
            return "jpg";
            break;
        case IMAGETYPE_PNG:
            return "png";
            break;    
        default:
            return false;
            break;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

这里用到php_exif模块来判断文件类型,用图片马绕过,方法同pass-13。

Pass-16(后端对上传文件进行二次渲染)利用二次渲染绕过

源码如下:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

 源码判断了后缀名、content-type,以及利用imagecreatefromgif判断是否为gif图片,最后再做了一次二次渲染。

关于绕过gif的二次渲染,我们只需要找到渲染前后没有变化的位置,然后将php代码写进去,就可以成功上传带有php代码的图片了;

使用脚本处理1.jpg,命令php jpg_payload.php 1.jpg;

相关文章:https://xz.aliyun.com/t/2657#toc-13

Pass-17 条件竞争绕过

源码如下:

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

这里是条件竞争,先将文件上传到服务器,然后判断文件后缀是否在白名单里,如果在则重命名,否则删除,因此我们可以上传1.php只需要在它删除之前访问即可,可以利用burp的intruder模块不断上传,然后我们不断的访问刷新该地址即可。

Pass-18 条件竞争

源码如下:

//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
    require_once("./myupload.php");
    $imgFileName =time();
    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
    $status_code = $u->upload(UPLOAD_PATH);
    switch ($status_code) {
        case 1:
            $is_upload = true;
            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
            break;
        case 2:
            $msg = '文件已经被上传,但没有重命名。';
            break; 
        case -1:
            $msg = '这个文件不能上传到服务器的临时文件存储目录。';
            break; 
        case -2:
            $msg = '上传失败,上传目录不可写。';
            break; 
        case -3:
            $msg = '上传失败,无法上传该类型文件。';
            break; 
        case -4:
            $msg = '上传失败,上传的文件过大。';
            break; 
        case -5:
            $msg = '上传失败,服务器已经存在相同名称文件。';
            break; 
        case -6:
            $msg = '文件无法上传,文件不能复制到目标目录。';
            break;      
        default:
            $msg = '未知错误!';
            break;
    }
}

//myupload.php
class MyUpload{
......
......
...... 
  var $cls_arr_ext_accepted = array(
      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
      ".html", ".xml", ".tiff", ".jpeg", ".png" );

......
......
......  
  /** upload()
   **
   ** Method to upload the file.
   ** This is the only method to call outside the class.
   ** @para String name of directory we upload to
   ** @returns void
  **/
  function upload( $dir ){
    
    $ret = $this->isUploadedFile();
    
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->setDir( $dir );
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkExtension();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkSize();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }
    
    // if flag to check if the file exists is set to 1
    
    if( $this->cls_file_exists == 1 ){
      
      $ret = $this->checkFileExists();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }

    // if we are here, we are ready to move the file to destination

    $ret = $this->move();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }

    // check if we need to rename the file

    if( $this->cls_rename_file == 1 ){
      $ret = $this->renameFile();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }
    
    // if we are here, everything worked as planned :)

    return $this->resultUpload( "SUCCESS" );
  
  }
......
......
...... 
};

存在条件竞争的问题,对文件后缀名做了白名单判断,然后检查文件大小、文件是否存在等等;因此可以通过不断上传图片马,由于条件竞争可能来不及重命名,从而上传成功。 

Pass-19 00截断绕过

源码如下:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

        if(!in_array($file_ext,$deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) { 
                $is_upload = true;
            }else{
                $msg = '上传出错!';
            }
        }else{
            $msg = '禁止保存为该类型文件!';
        }

    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

 发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在save_name利用00截断绕过,方法同pass-12;

相关文章:https://blog.csdn.net/weixin_44677409/article/details/92799366

相关文章:https://blog.csdn.net/weixin_45253622/article/details/116991504?spm=1001.2014.3001.5501

文件上传和绕过

carefree798
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
upload-labs-master.zip
02-14
适合新手练习文件上传命令
upload-labs靶场-Pass-11关-思路以及过程
weixin_44257023的博客
01-16 2524
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
Upload-labs文件上传漏洞(上传路径可控)——Pass11
Zichel77的博客
07-28 1089
0×00 题目概述 0×01 源代码 $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); if(in_array($file_ext,$
文件上传(2018版).
Curry197的博客
11-09 3130
pass-02 代码: $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['
upload-labs-master 文件上传 第十一和十二关
dd_c1d的博客
08-25 1813
继续! 第十一关(pass-11) 上源码! 大家可以看到这里有个str_ireplace()函数,详情可以自行百度,简单来说就是把黑名单里的内容给置换为""。注意这里不是空格!就是空!!就是什么都没有。我们先上传测试一下,方便大家理解。 我们直接复制图片地址,当然也可以看一下上传目录来判断。 发现后缀没了,那是因为原本的.php被str_ireplace()函数变为空了。 这里我们发现他的防护规则写的的确生效了,但是有个致命的问题,和前面的关卡一样,没有写循环!...
upload-labs-master文件上传靶场】
04-05
最新版文件上传靶场
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
文件上传upload-labs(一)
01-08
使用xampp、phpstudy、docker搭建upload-labs,三者都可,docker最方便但是我不是太熟悉,xampp安装的时候有很多工序,所以我选择的是phpstudy搭建了靶机环境,个人觉得学习文件上传用dvwa好一点,这个用来训练和...
upload-labs 1-19关过关思路
qq_51534701的博客
08-14 1986
upload.test Pass-01 删除check方法return checkFile() 如果浏览器不允许修改前端代码,就使用抓包工具修改 然后上传一句话木马 Pass-02 后端校验content-type 把typege更改成image/jpeg Pass-03 php::DATA相当于1.php2.php:a.jpg会生成2.php但内容是在我们2.php:a.jpg中(不用这个)双写::DATA 相当于1.php 2.php:a.jpg 会生成2.php 但内容是在我们2.php:
文件上传漏洞
qq_45590470的博客
09-25 1075
upload-labs
文件上传漏洞之白名单
qq_68233961的博客
09-17 3219
文件上传漏洞之白名单
文件上传漏洞总结
weixin_46739058的博客
03-18 9710
目录 1、文件上传漏洞原理 2、常见的文件上传类型 3、文件上传注入点 4、web中常见的上传验证 黑名单常见自定义过滤规则 白名单常见的过滤规则 5、逻辑数组绕过 5.1、图片一句话木马的制作与利用 5.2、文件头检查 5.3、getimagesize()图像信息判断 5.4、竞争条件攻击 5.5、突破exif_imagetype() 5.6、脚本解析漏洞 6、WAF绕过 1、文件上传漏洞原理 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上
upload-labs-master文件上传漏洞靶场详解(1-17)
zwy15288408160的博客
08-29 4339
初学者upload-labs-matser靶场详解
文件上传解析漏洞(二)、Upload-labs-master11-19Wirteup
weixin_41487522的博客
06-18 570
文件上传解析漏洞(二)、Upload-labs-master11-21Wirteup 今天接着上次的pass1-10,给大家分享pass11-21的writeup,有喜欢的小伙伴希望点个赞。 再此之前,首先介绍一下%00截断和00截断 %00截断和00截断 了解%00实际上我们要先了解0x00,0x00实际上是一个十六进制表示方式,实际上就是表示ASCII码值为0,有些函数在处理这个字符的时候会把这个字符当做结束符,他们就读取到这里认为这一段结束了。 在文件上传时,如果遇到了白名单机制只允许上传jpg后缀的
网安学习笔记-1 文件上传
weixin_61143354的博客
06-28 478
学习笔记
Upload-labs文件上传漏洞(POST路径)——Pass12
Zichel77的博客
07-28 520
0×00 题目概述 依然是上传路径可控 0×01 源代码 $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); if(in_array(
upload-labs-master介绍、下载与安装【文件上传漏洞靶场】
WX公众号-小白学安全
04-06 5276
简介 upload-labs-master,是集合了文件上传中存在的大部分漏洞的一个靶场 下载 GitHub下载:https://github.com/c0ny1/upload-labs 百度网盘: CSDN: 安装 1、打开phpstudy,将upload-labs压缩包解压,并放入www文件夹下 2、由于原文件名过长,故重命名为upload 3、访问http://127.0.0.1/upload/ 4、靶场搭建成功 注意: 若出现如图所示 只需要在upload目录下创建一个新的文件夹,并命名为
upload-labs 19
LuckySec
11-09 1002
题目 查看代码 分析,move_uploaded_file()函数中的img_path是由post参数save_name控制的, 因此可以在save_name利用00截断绕过: 首先上传一个图片马 修改信息为红线处 然后在二进制将+号对应的2b改为00 最后继续上传 验证 文件绕过成功! ...
upload-labs靶场通关pass04
最新发布
09-14
要通过upload-labs靶场的pass04,您需要进行以下步骤: 1. 首先,上传一个符合格式的PHP脚本文件,并将其扩展名改为图片格式。根据引用中的描述,您需要将.htaccess文件上传到服务器。.htaccess文件是Apache服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

carefree798

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值