Upload-labs 第12 - 21关 通过笔记

最新推荐文章于 2023-10-23 19:44:32 发布
最新推荐文章于 2023-10-23 19:44:32 发布
阅读量757 收藏
点赞数
文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45619494/article/details/127390504
版权

第12关
上传文件,发现只能上传 png jpg 等
为白名单检测,post
使用 %00 截断法
上传 .php 文件
抓包,在sava_path 后面加上 .php%00
file_name 后缀 改成 png/jpg 白名单允许的后缀
上传发现成功
复制图像链接,把.php 后面内容全删了
就是.php 的链接
用 蚁剑 成功连接


第13关
查看源码,发现白名单检测,post
试试 %00 方法
上传 .php 文件
抓包,发现save_path 在post处,意味着要url编码
编码后,吧file_name 改成 jpg/png/gif 后缀
上传成功、
用 蚁剑 成功连接

第14关
点击提示,说只检测2个字节
我们用 gif 的试试
在 .php 文件的内容前面加上 GIF 89A
再上传,上传成功
题目又说有文件上传漏洞
试试 include.php ,果然,服务器有这个文件
提示 file 的get 型
访问 include.php?file=upload/gif文件名
成功解析

第15关
点击提示,发现用了getimagesize()函数
这个函数是解析文件的头字节
那么就上传14关的加了GIF 89A的文件
再访问include.php?file=upload/gif文件名
成功

第16关
点击提示,发现用了exif_imagetype()函数
这个函数也是解析文件的头字节
那么就上传14关的加了GIF 89A的文件
再访问include.php?file=upload/gif文件名
成功

第17关
二次渲染
意思就是,上传图片后,会有个缩略图,可以保存删除的
这边就可能涉及二次渲染
这个就需要对比他二次渲染后的图片和原来图片的hex编码
看出哪里没改,然后再那里写入一句话
就可以绕过了,用脚本来


第18关
分析源码,发现他是上传文件到服务器后,再进行后缀名的判断
存在 条件竞争
那么就不断上传php文件,然后浏览器不断访问文件链接,
如果访问到了,他判断后缀名就不会发生
成功通过

第19关
思路:
上传 .php.7z,抓包
用burp不断上传,浏览器访问 upload/.php.7z
apache的解析漏洞为将 .php.* 当成 php 执行
也是条件竞争,不过成功率很低。。


第20关
提示我们保存名称可以改?
试试上传一个php文件,被保存名称解析成了jpg文件
试试改保存名称,没用,看源码
发现黑名单,试试保存名称改成 .phP,成功绕过

第21关
通过代码审计
以 . 为分界,弄成数组
数据[0]就是文件名
数据[2]就是后缀
抓包,修改

<?php eval(@$_POST['a']); ?>
-----------------------------221390815126978473834183552440
Content-Disposition: form-data; name="save_name[0]"

upload-20.php/
-----------------------------221390815126978473834183552440
Content-Disposition: form-data; name="save_name[2]"

png
-----------------------------221390815126978473834183552440
Content-Disposition: form-data; name="submit"

上传
-----------------------------221390815126978473834183552440--

此时数据[1] 为空
此时就变成了
数据[0] + . + 数据[1]
就是:
upload-20.php/.
又 /. 不会被解析
成功绕过

SunMMory
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
upload-labs12(基于白名单的%00截断绕过)通思路
zyh1588的博客
11-22 768
小白回顾文件上传靶场第12
upload-labs 12-17 详解
qq_53409748的博客
03-01 495
upload-labs 12-17 详解
upload-labs之第十二和十三
田田云逸的博客
10-28 2757
注意:在上一篇的最后有一个知识点没有提到的就是,于00截断的利用条件。 需满足 php 版本<5.3.4 php.ini中的magic_quotes_gpc是off状态的。(至于为什么下面会进行演示) Pass12 打开第十二老规矩先看提示 提示跟上一一样是上传路径可控???怎么回事,难道两考的考点是一样的吗?赶紧看看源码 $is_upload = false;$msg = null;if(isset($_POST['submit'])){ $ext_arr = .
upload靶场全通(下)12-21
weixin_59165176的博客
08-30 1560
本案例以upload靶场为例,若帮到你请点个注再走呗 第十二(get00截断) 本采用%00截断,需要的php版本<5.3.4,且需要将【magic_quotes_gpc】参数闭 步骤一:上传php文件,进行抓包修改参数 需要修改地方: 1、POST头【save_path=】在【../upload/】后面添加上传的php文件名,并加上【%00】进行截断 2、【filename】后面的php修改为【png/jpg/jpeg】等 3、同理下面的【Content-Ty..
upload-labs(11~12)通笔记
Sheng_GuoFu的博客
12-12 522
在url中%00表示ascii码中的0,而0作为特殊字符保留,表示字符结束,也就是说,在保存文件的时候,如果路径参数(例:$img_path)中出现了%00,就会认为路径到这里就已经结束了,从而忽略后面一系列的参数,比如,此时,路径参数的后半部分就会被%00给截断,从而变成使用%00截断有两个要求:1、php的版本 < 5.3.42、php.ini中的magic_quotes_gpc的状态为Off。
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
安装upload-labs
10-22
安装upload-labs
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
Upload-labs通手册.pdf
08-06
Upload-labs通手册
上传文件漏洞靶场upload-labs
09-27
上传文件漏洞靶场upload-labs,用于练习上传文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
【文件上传漏洞-05】文件上传路径截断实例—以upload-labs-12为例
m0_64378913的博客
07-12 2728
目录1 知识储备2 实验简介2.1 实验目的2.2 实验环境2.3 前期准备3 文件上传路径截断实例3.1 实例一:upload-labs-113.2 实例二:upload-labs-124 总结 1 知识储备 概述:在ASCII码中,00代表的是空字符,在URL中表现为%00。在文件截断攻击中,就是采用空字符来误导服务器截断字符串,以达到绕过攻击的目的。 原理:服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置,该函数属于文件系统函数,底层是采用C语言实现的,在C语言中
upload-labs靶场通指南(12-13
永远是少年
09-12 1344
今天继续给大家介绍渗透测试相知识,本文主要内容是upload-labs靶场通指南(12-13)。 一、第十二 二、第十三
upload-labs之1-20通(超详细,全程干货,没有废话)
最新发布
qq_64652650的博客
10-23 2014
记录,干货,无废话
upload-labs 1-21思路教程
weixin_45612728的博客
06-15 1446
upload-labs新版1-21的全部思路以及过指引
upload-labs详细教程
热门推荐
shayebudon的博客
11-09 1万+
第一 js检查 查看源码 由源代码可知,允许上传的文件为.jpg|.png|.gif 我们上传一个.jpg文件 利用burp suite进行抓包 将jpg改为php后,放包 上传成功。 第二Content-Type 查看源码 有源码可知,发现只判断Content-Type类型,所以我们只需修改Content-Type进行绕过即可 首先上传php文件,抓上传包 将箭头所指的内容改为image/jpeg或image/png或image/gif后...
文件上传upload-labs靶场通指南
javaEE_zero的博客
12-13 1842
upload-labs、文件上传
upload-labs第11~12 00截断
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-13 3449
第九 文件名后缀改为php,并在后面加上. .(点+空格+点) 第十 可以双写绕过,后缀改为pphphp 第十一 查看提示: 可以用%00进行截断 前提条件: php 版本 < 5.3.4且php的参数magic_quotes_gpc必须闭 因为上传的表单中有一个enctype的属性,并且需要enctype=“multipart/form-data” (不对表单中数据进行编码),path大多数都是存放在表单中的,因此需要在数据包中进行urldecode操作使%00变成字符串结束符号
upload-labs靶场-Pass-12-思路以及过程
weixin_44257023的博客
01-16 3343
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
upload-labs(12-21)通教程
墨子辰的博客
01-29 3175
目录第十二:%00截断上传第十三:00截断第十四:图片马+文件包含漏洞第十五:图片马+文件包含漏洞第十六:图片马+文件包含漏洞第十七:图片马+二次渲染+文件包含第十八:条件竞争第十九:条件竞争第二十:空格绕过第二十一:/ + 数组 绕过 第十二:%00截断上传 从这一开始,就是白名单上传了。前一期已经对白名单进行了解释,在这就不再BB了 $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr
upload-labs21
08-17
要通 upload-labs 的第 21 ,你需要按照以下步骤进行: 1. 阅读卡说明:在开始之前,仔细阅读第 21 卡说明,了解该卡的漏洞场景和要求。 2. 分析页面结构:打开第 21 的页面,仔细分析页面的结构和功能。观察是否存在文件上传的功能或漏洞。 3. 尝试上传文件:如果页面有文件上传功能,尝试上传不同类型的文件,观察系统的反馈信息。注意观察是否有文件类型检***反馈信息,尝试使用一些常见的绕过技巧来绕过文件上传限制。例如,修改文件后缀名、使用特殊字符、绕过文件类型检测等。 5. 尝试恶意文件:在成功绕过限制后,尝试上传一个恶意文件。可以使用一些常见的 webshell 或木马文件进行测试。 6. 获取漏洞利用结果:上传成功后,观察系统的反馈信息,尝试获取上传文件的路径或访问地址。 7. 提交答案:将获取到的漏洞利用结果提交到 upload-labs 网站上第 21 的答案验证页面。如果结果正确,你将解锁下一个卡。 请记住,在学习和挑战过程中要遵循合法合规的原则,不要用于非法用途。如果你遇到困难,可以参考一些文件上传漏洞的学习资料或向安全社区寻求帮助。祝你成功通

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值