upload-labs 全1-21关 附详细解析(文件上传漏洞)

最新推荐文章于 2025-03-05 20:48:52 发布
最新推荐文章于 2025-03-05 20:48:52 发布
阅读量9.1k 收藏 93
点赞数 17
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47306547/article/details/120043032
版权

目录

注释:分析在每关开头。

第 1 关

第 2 关

第 3 关

第 4 关​​​

第 5 关

第 6 关​​​

第 7 关

第 8 关

第 9 关​

第 10 关

第 11 关

第 12 关

第 13 关​​​​​

第 14 关

第 15 关

第 16 关​​

第 17 关 

​​​​​​第 18 关

第 19 关​​

第 20 关​​​

第 21 关​​​

第 1 关

客户端 JavaScript检验(通常为检测文件拓展名)
判断方法:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传 .jpg / .jpeg / .png         
         后缀名的文件,而此时并未发送数据包。
绕过办法:1.利用BurpSuite之类的代理工具进行抓包。
         2.修改webshell后缀类型为允许上传类型。
         3.抓包来拦截将其后缀名改为对应服务器可以解析的后缀名。

第 2 关

服务器MIME检测:即检测Content-Type的内容。
绕过方法:修改类型为允许上传的类型即可。

其余步骤同 第 1 关

源码:
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'];          
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

分析:上传文件类型必须是 image/jpeg 或 image/png 或 image/gif

第 3 关

服务器文件名拓展名检测(检测根文件 extension 相关的内容)

基于黑名单检测:黑名单的安全性比白名单的安全性低很多,攻击手法自然也比白名单多。一般由个专门的        
               blacklist,里面包含常见的危险脚本文件。
绕过办法:1.文件大小写让绕过(Php ,PhP pHp,等)
         2.黑白名单绕过(php,php2,php3,php5,phtml,asp,aspx,ascx,ashx,cer,asa,jsp,        
           jspx)cdx,\x00hh\x46php
         3.特殊文件名绕过
            1)修改数据包里的文件名为 test.php 或 test.asp_(下划线是空格)由于这种命名格式在        
               windows系统里是不允许的,所以在绕过上传之后windows系统会自动去掉.点和空格。Linux和        
               Unix中没有这个特性。
            2)::$DATA(php在windows的时候如果文件名+"::DATA"会把::DATA之后的数据当作文件流处 
               理,不会检测后缀名,且保持"::DATA"之前的文件名,其目的就是不检查后缀名)
         4.0x00截断绕过(5.2 C语言中将 \0 当作字符串的结尾)
         5. .htaccess文件攻击(结合黑名单攻击)
         6. 解析绕过

源码过滤部分:
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext =
最低0.47元/天 解锁文章
源十三
关注
Upload-labs1-21详细教程)【简单易懂】【万字教程】
墨鱼菜鸡
09-10 4727
目录 思维导图 练习网站: 注意: 知识点 Pass-01 代码: 提示: 解题思路: Pass-02 知识点: 代码: 提示: 解题思路: Pass-03(需要使用自己搭建upload-labs) 代码: 提示: 解题思路: Pass-04 代码: 提示: 解题思路: Pass-05(建议使用本机搭建的...
upload-labs(1-21)
kfjrlgagkogkhpa的博客
08-15 456
文件上传靶场、upload-labs(1-21)
upload-labs 1-21
Starr
02-22 778
文章目录BlackListPass 1Pass 2Pass 3Pass 4Pass 5Pass 6 大小写绕过Pass 7 未删除空格Pass 9 ::$DATAPass 10Pass 11Pass 20WhiteListPass 12 GET 00截断Pass 13 POST 00截断Pass 14Pass 15 getimagesizePass 16 exif_imagetypePass 17Pass 18Pass 19Pass 21 每一的木马文件以卡号命名。 实战中如果是黑盒测试,应该只能一个个
upload-labs靶场 1-21
最新发布
2302_78449782的博客
03-05 1039
upload
upload-labs靶场学习笔记1-21
qq_56426046的博客
08-27 2465
服务器端使用白名单防御,修复 web 中间件的漏洞,禁止客户端存在可控参 数,存放文件目录禁止脚本执行,限制后缀名 一定要设置图片格式 jpg、gif 、 png 文件名随机的,不可预测。
upload-labs靶场(1-21)详解套通
waqqy的博客
12-12 1万+
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个面的了解。
Upload-labs 1-21 靶场通笔记(含代码审计)
m0_59598029的博客
02-25 2892
basename— 返回路径中的文件名部分给出一个包含有指向一个文件的路径的字符串,本函数返回基本的文件名。Notebasename()纯粹基于输入字符串操作, 它不会受实际文件系统和类似 “..” 的路径格式影响。php?1) sudoers3) passwd4) etc5) .6)imagecreatefromgif():创建一块画布,并从 GIF 文件或 URL 地址载入一副图像。
upload-labs靶场
09-09
上传漏洞通常出现在Web应用需要用户上传文件的场景中,如果开发者没有严格限制上传文件的类型和内容,攻击者就可能利用这个漏洞上传恶意代码,执行诸如一句话木马、文件包含等攻击手段。 在上传漏洞的利用过程中,...
upload-labs 21解析
cooper的笔记本
05-23 638
upload-labs 21解析
upload-labs1-21随文经验总结
helin2020的博客
11-25 1993
这里很明显,就是查后缀,如果在白名单里就重命名文件,所以无法使用双后缀绕过,也没有可控路径来给我们%00截断,而如果不在白名单之内,就会删除我们上传的文件,unlink就是删除文件的函数.这里重点就是它是先上传到临时目录,再判断类型,最后再进行的文件删除,那么这里就是我们的突破口了。对于过滤为空白符,最经典的就是双写绕过了.非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
upload-labs漏洞靶场~文件上传漏洞
weixin_67832625的博客
07-31 831
寻找测试网站的文件上传的模块,常见:头像上传,修改上传,文件编辑器中文件上传,图片上传、媒体上传等,通过抓包上传恶意的文件进行测试,上传后缀名 asp php aspx 等的动态语言脚本,查看上传时的返回信息,判断是否能直接上传,如果不能直接上传,再进行测试上传突破,例如上传文件的时候只允许图片格式的后缀,但是修改文件时,却没有限制后缀名,图片文件可以修改成动态语言格式如php,则可能访问这个文件的 URL 直接 getshell,可以控制网站;
Upload-labs 1-21 靶场通攻略(网最最完整)
热门推荐
晚安這個未知的世界
03-21 8万+
Pass-1(前端验证) 因为是进行前端JS校验,因此可以直接在浏览器检查代码把checkFile()函数(即如下图红色框选中的函数)删了或者也可以把红色框改成true,并按回车,即可成功上传php文件 复制图片地址并用蚁剑进行连接 Pass-2(MIME验证) 分析代码,可以看到,后端PHP代码只对content-type进行了检查 使用bp抓包,修改上传的PHP的content-type为image/png Pass-3(黑名单验证,特殊后缀) 这题本人使用的是PHP5.2.17环境 分析代码
upload-labs 1-21思路教程
weixin_45612728的博客
06-15 1867
upload-labs新版1-21部思路以及过指引
upload-labs Pass1-21学习记录(4200字总结)
身高两米不到的博客
04-26 538
最近突发奇想,想把之前做过的靶场进行归纳,给自己一个交代给他人一份借鉴,于是就把upload-labs靶场作为第三篇总结拿来祭笔。
upload-labs靶场通攻略
2301_78031880的博客
08-31 1155
3.同时攻击,直到出现webshell.php
文件上传漏洞upload-labs(Pass-01—Pass-21)大合集
qq_46874275的博客
03-22 3059
~目录~开始Pass-01 JS绕过Pass-02 Content-Type绕过Pass-03 部分黑名单绕过Pass-04 .htaccess绕过Post-05 .user.ini绕过 / .空格.绕过Post-06 大小写绕过Post-07 空格绕过Post-08 点绕过Post-09 ::$DATA绕过Post-10 .空格.绕过Post-11 双写绕过Post-12 GET型00截断绕过Post-13 POST型00截断绕过Post-14 图片马绕过Post-15 getimagesize()-图片
upload-labs(第20—第21
qq_73985955的博客
08-06 512
如果我们没有修改这个文件后缀名,并且我们上传的php文件里面刚好是一句话的话,那保存为jpg文件后就又变成了图片马了,这时候只能使用文件包含漏洞或者解析漏洞来进行文件读取了。注意:思路二我们绕过的地方是upload-19.php这个地方,也就是我们保存的文件名的地方。:这也是可以使用文件包含漏洞来进行上传图片马,然后用蚁剑进行连接(这里不过多赘述):这可以使用文件包含漏洞来进行上传图片马,然后用蚁剑进行连接(这里不过多赘述)这的原理我也不太懂,我也是看了其他大佬的wp才知道这个方法的。
uploads1-21
LS_Sy的博客
01-06 964
1、 首先使用vscode写一个一句话木马(<??)接着在网上找一张图片(因为本身木马不能很隐蔽的植入,所以需要对其做一些修饰)将一句话木马插入图片中(将图片格式转化为txt再在最后写一个一句话木马即可)。打开uploads,进入第一,我们可以看到如下界面点击提示通过提示我们可以了解到只需绕过js上传文件即可,f12打开检查界面ctrl+shift+c打开选项元素找到checkfile,删除后上传预先准备好的一句话木马 ,将图片的jpg改为php形式即可上传。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值