Upload-labs(1~21 全)

最新推荐文章于 2024-04-18 12:13:41 发布
最新推荐文章于 2024-04-18 12:13:41 发布
阅读量1.6k 收藏 6
点赞数 2
分类专栏: 漏洞 文章标签: 文件上传 upload labs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51075988/article/details/113791268
版权

Upload-labs

文章目录

常见函数

strrchr(string,char)
string 	必需。规定要搜索的字符串
char 	必需。规定要查找的字符。如果该参数是数字,则搜索匹配此数字的 ASCII 值的字符。
返回值:返回从某个字符串在另一个字符串中最后一次出现的位置到主字符串结尾的所有字符
如果未找到此字符,则返回 FALSE

trim(string,charlist)
string 	 必需。规定要检查的字符串
charlist 可选。规定从字符串中删除哪些字符。如果被省略,则移除以下所有字符:
"\0" - NULL
"\t" - 制表符
"\n" - 换行
"\x0B" - 垂直制表符
"\r" - 回车
" " - 空格
即  如果只放一个变量代表将字符串首尾去空

deldot()      删除文件名末尾的点

strtolower()  函数把字符串转换为小写

str_ireplace() 
示例:
把字符串 "Hello world!" 中的字符 "WORLD"(不区分大小写)替换成 "Shanghai"<?php
echo str_ireplace("WORLD","Shanghai","Hello world!");
?>

date(format,timestamp)
格式化本地日期和时间,并返回已格式化的日期字符串:输出日、日期、月、年、时间 AMPM
format 	必需。规定输出日期字符串的格式。

例如:
YmdHis
Y - 年份的四位数表示
m - 月份的数字表示(从 0112)
d - 一个月中的第几天(从 0131H - 24 小时制,带前导零(0023)
i - 分,带前导零(0059)
s - 秒,带前导零(00592021 02 13 13 2021 18 77.php

rand()  or  rand(min,max)
min 	可选。规定返回的最小数。默认是 0
max 	可选。规定返回的最大数。默认是 getrandmax()
返回值: 介于 min(或 0)与 max(或 mt_getrandmax())之间(包括边界值)的随机整数

substr(字符串,位置,长度)
<?php
$rest = substr("abcdef", -1);    // 返回 "f"
$rest = substr("abcdef", -2);    // 返回 "ef"
$rest = substr("abcdef", -3, 1); // 返回 "d"
?>
注意:0开始

strrpos(string,find,start)
查找 字符串 最后一次出现的位置

Pass-01

前端限制与绕过

在这里插入图片描述phpinfo.jpg 提交,然后抓包修改后缀名为 .php
在这里插入图片描述
在这里插入图片描述

Pass-02

服务端验证–MIME类型

在这里插入图片描述上传 phpinfo.php ,抓包,修改 Content-Type: image/jpeg

在这里插入图片描述在这里插入图片描述

Pass-03

方法一:黑名单绕过

前提: Apache 配置文件中

#AddType text/html .shtml  后面加上:
AddType application/x-httpd-php .php .phtml .phps .php5 .pht

在这里插入图片描述
上传 phpinfo.php5 或者是 phpinfo.phtml

在这里插入图片描述在这里插入图片描述

方法二:制作图片木马

Pass-04

由于黑名单过多,基本上将所有能绕过黑名单的选择都考虑到了,但是并没有过滤掉 .htaccess 文件

.htaccess 攻击

在确保 Apache配置文件 httpd.confg 文件当中 AllowOverride All 的情况下
在这里插入图片描述先后上传 .htaccess 文件,hack.png 文件

将所有.png格式的图片都当作.php处理:hack.png
在 .htaccess 文件中写入:
AddType application/x-httpd-php .png 

hack.png 中写入:
<?php
phpinfo();
?>

在这里插入图片描述

Pass-05

Apache 多后缀文件解析漏洞

上传

phpinfo.php.xxx.xx.x

在这里插入图片描述

Pass-06

将 .htaccess 文件过滤掉了,但与之前不同的是,文件名后缀的小写转换去掉了

大小写绕过

上传 phpinfo.PHP
在这里插入图片描述

Pass-07

对比之前,少了 $file_ext = trim($file_ext); //首尾去空

空格绕过

上传 phpinfo.php (有空格)
在这里插入图片描述在这里插入图片描述

Pass-08

对比之前,少了 $file_name = deldot($file_name);//删除文件名末尾的点

windows系统下默认,后缀名之后的点不会被执行
在这里插入图片描述

点绕过

上传 phpinfo.php.
在这里插入图片描述在这里插入图片描述

Pass-09

对比之前,少了 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

windows系统下,如果文件名 + ::$DATA 会把 ::$DATA 之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名

例如: phpinfo.php::$DATA Windows会自动去掉末尾的::$DATA变成 phpinfo.php
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

Pass-10

$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空

 $img_path = UPLOAD_PATH.'/'.$file_name;

根据文件后缀处理的顺序,由于并未给上传的文件进行重命名

逻辑绕过

上传 phpinfo.php. .

在这里插入图片描述
在这里插入图片描述

Pass-11

$file_name = str_ireplace($deny_ext,"", $file_name);

对黑名单当中的文件后缀名处理为空,但是只过滤了一次

双写绕过

在这里插入图片描述在这里插入图片描述

Pass-12

白名单:jpg,png,gif
新路径:$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

GET 提交

00截断–GET

条件:php版本小于 5.3.4 且 魔术引号关闭
在这里插入图片描述
在这里插入图片描述

Pass-13

白名单:jpg,png,gif
新路径:$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

POST 提交

00截断–POST

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

图片木马

Pass-14

fopen(filename,mode,include_path,context) 函数打开一个文件或 URL。如果 fopen() 失败,它将返回 FALSE 并附带错误信息。您可以通过在函数名前面添加一个 '@' 来隐藏错误输出。
	filename 	必需。规定要打开的文件或 URL
	mode 	必需。规定您请求到该文件/流的访问类型
	    "r" (只读方式打开,将文件指针指向文件头)
	    "r+" (读写方式打开,将文件指针指向文件头)
	    "w" (写入方式打开,清除文件内容,如果文件不存在则尝试创建之)
	    "w+" (读写方式打开,清除文件内容,如果文件不存在则尝试创建之)
	    "a" (写入方式打开,将文件指针指向文件末尾进行写入,如果文件不存在则尝试创建之)
	    "a+" (读写方式打开,通过将文件指针指向文件末尾进行写入来保存文件内容)
	    "x" (创建一个新的文件并以写入方式打开,如果文件已存在则返回 FALSE 和一个错误)
	    "x+" (创建一个新的文件并以读写方式打开,如果文件已存在则返回 FALSE 和一个错误)
使用 "b" 来强制使用二进制模式,这样就不会转换数据。为了使用这些标记,请使用 "b" 或者 "t" 来作为 mode 参数的最后一个字符

fread ( resource $handle , int $length ) :从文件指针 handle 读取最多 length 个字节

fclose ( resource $handle ) : bool
将 handle 指向的文件关闭

unpack(format,data) :函数从二进制字符串对数据进行解包

intval() 函数用于获取变量的整数值

读取文件的前两个字节判断图片类型

图片木马绕过

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

使用文件包含 进行漏洞利用

在这里插入图片描述

Pass-17

basename() 函数返回路径中的文件名部分

<?php
$path = "/testweb/home.php";

//显示带有文件扩展名的文件名
echo basename($path);
//显示不带有文件扩展名的文件名
echo basename($path,".php");
?> 
输出:
home.php
home

imagecreatefromjpeg(filename):由原文件路径生成一个信心的图像
filename
    JPEG 图像的路径。

unlink(filename,context) :函数删除文件
若成功,则返回 true,失败则返回 false
二次渲染

条件竞争

Pass-18

if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }

之前都是,首先判断 我们上传的文件 是否 符合白名单,或者是不在黑名单当中;只有当条件符合时,才会使用 move_uploaded_file($temp_file, $upload_file) 将我们上传的文件进行路径移动。

而本题时首先将我们上传的文件进行路径移动,然后再判断是否符合白名单,如果不符合的话,就会使用 unlink($upload_file); 将我们上传的文件进行 删除

因此如果我们想要上传 .php 文件的话,就需要 在 其服务器删除我们的文件之前进行访问利用。

方法:短时间内不断重复上传该文件,可使用 BurpSuite

Pass-19

Pass-20

在这里插入图片描述

Pass-21

explode() 函数使用一个字符串分割另一个字符串,并返回由字符串组成的数组
示例:
<?php
$str = "www.runoob.com";
print_r (explode(".",$str));
?>
运行结果:
Array
(
    [0] => www
    [1] => runoob
    [2] => com
)

count() 函数返回数组中元素的数目

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

分析:
1.首先判断 MIME 类型,必须为 jpg,png,gif
2.判断 $_POST['save_name']是否为空,不为空的话,就将 $_POST['save_name'] 赋值给 $file
3.判断 $file 是否为数组,不是的话,使用 . 将其分割为数组元素
4.判断文件后缀名:取 $file 数组的最后一个元素 作为 $ext 的值,判断是否符合白名单
5.符合的话,使用 reset($file)函数取 数组 $file的第一个元素,拼接一个".",然后再拼接上 该数组含有元素个数-1 的元素 作为文件名

在这里插入图片描述

绕过分析:
1.抓包更改 MIME类型--image/jpeg
2.将用户所输入的 "save_name" 更改为一个数组,并赋值:$save_name[0] = 2121.php/$save_name[1] = NULL;$save_name[2] = jpg
3.$file 本身就成为了一个数组,不会被 . 分割;
reset($file) 将会是 $file 的第一个元素,即 2121.php/;
由于 $file[1] = NULL,则count($file) 将会是2,所以最终拼接而成的 $file_name = 2121.php/.

因此解析之后会自动忽略掉 /. ,则最终上传的文件名是 2121.php

执昔
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Upload-labs通关攻略(适合新手)
夜思红尘的博客
04-12 2149
这是一篇关于upload-labs通关攻略,适合新手
phpy:phPy是一种从Python调用旧版PHP函数的简单方法
05-13
P phPy是从Python调用旧版PHP函数的简单方法。 安装 您可以从PyPI安装软件包: $ pip install phpy 要求 phPy使用php5-cli。 您必须使用apt-get或yum安装php5-cli软件包。 $ apt-get install php5-cli $ yum install php 例子 function LegacyPHPFunction ( $ arg1 , $ arg2 , $ arg3 ) { //... original codes... $ result = array ( "foo" => $ arg1 , "bar" => $ arg2 , ); echo json_encode ( $ result ); } from phpy import PHP #php
upload--labs通关详解
m0_52051132的博客
10-15 2090
利用方法:设置上传路径为 upload/phpinfo.php%00 ,添加 phpinfo.php%00 内 容为了控制路径,上传文件后缀为白名单即可 例:test.jpg ,保存后为 /upload/phpinfo.php%00test.jpg ,但服务端读取到%00 时会自动结束,将文件 内容保存至 phpinfo.php 中。.user.ini。漏洞描述:后缀名做了白名单判断,然后会一步一步检查文件大小、文件是否 存在等等,将文件上传后,对文件重新命名,同样存在条件竞争的漏洞。
Upload-labs 1-20关靶场通关攻略(网最最完整),想提高开发效率的必看
2401_83621541的博客
04-18 397
(这里我不理解,既然要用文件包含,并且文件上传上去后,就算图片重命名了,但图片还是显示出来了,显示出来不就知道了文件路径,直接用文件包含不就直接解析了一句话木马,对吧。我们可以看到img_path是通过get传参传递的,那么我们不妨在这块将路径改掉,改为upload/web.php%00,那么后面不管是什么东西都会被截断掉,然后经过move_uploaded_file函数将临时文件重新复制给我们的截断之前的文件路径,当然,我们还是要上传jpg文件的,使得我们可以进行下面程序的运行。不在则对其进行删除。
Upload-labs(1-21关详细教程)【简单易懂】【万字教程】
墨鱼菜鸡
09-10 3705
目录 思维导图 练习网站: 注意: 知识点 Pass-01 代码: 提示: 解题思路: Pass-02 知识点: 代码: 提示: 解题思路: Pass-03(本关需要使用自己搭建upload-labs) 代码: 提示: 解题思路: Pass-04 代码: 提示: 解题思路: Pass-05(建议使用本机搭建的...
upload-labs 1-21
Starr
02-22 642
文章目录BlackListPass 1Pass 2Pass 3Pass 4Pass 5Pass 6 大小写绕过Pass 7 未删除空格Pass 9 ::$DATAPass 10Pass 11Pass 20WhiteListPass 12 GET 00截断Pass 13 POST 00截断Pass 14Pass 15 getimagesizePass 16 exif_imagetypePass 17Pass 18Pass 19Pass 21 每一关的木马文件以关卡号命名。 实战中如果是黑盒测试,应该只能一个个
安装upload-labs
10-22
1. 学习文件上传漏洞课程:upload-labs提供了详细的课程讲解文件上传漏洞的基础知识和实践经验,您可以通过学习这些课程来了解文件上传漏洞的原理和防御方法。 2. 根据关卡提示信息练习:upload-labs提供了多个关卡...
WEB渗透学习-upload-labs靶场
04-20
"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础到高级,帮助新手逐步提升对这类漏洞的理解和应对能力。 ### 一、文件上传漏洞概述 文件上传漏洞通常发生在Web应用程序中...
upload-labs19-20以及总结1
08-08
1. **文件名过滤**:服务器端检查`save_name`参数,不允许包含如"php", "html", "jsp"等可能含有恶意代码的扩展名。然而,由于只检查了小写的扩展名,我们可以通过将文件名更改为大写(如"PHP")来绕过此检查。这是...
upload-labs-master.zip
06-22
【描述】描述中的 "文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master" 显示这是一个针对文件上传漏洞的系列练习,通过多次嵌套的目录结构,可能旨在模拟不同...
上传文件漏洞靶场upload-labs
09-27
【上传文件漏洞靶场upload-labs】是一个专为网络安爱好者和初学者设计的实践平台,主要目的是帮助用户深入了解和练习上传文件漏洞。在Web应用程序中,上传功能常常因为设计不当而成为攻击者利用的安隐患。这个...
PHP常用函数手册 PHP函数
10-05
PHP常用函数手册,Word版的。包括常用数学函数、字符/字串处理函数以及图像函数等
php4中文函数手册
01-12
PHP手册 OS.NET.CN(阿鲁制作) BUG/建议 -------------------------------------------------------------------------------- Apache特定函数库 图形函数库 GNU记录函数库 数组函数库 IMAP,POP3和NNTP函数库 Perl相容正规表达函数库 拼字检查函数库 LDAP函数库 正规表达函数库 BC高精准度函数库 邮件函数库 信号与共享记忆体函数库 历法函数库 数学函数库 Session函数库 COM函数库 Mcrypt编码函数库 Shockwave Flash函数库 Class/Object函数库 Mhash函数库 SNMP函数库 日期与时间函数库 杂项函数库 字符串函数库 目录函数库 MySQL函数库 URL函数库 动态载入函数库 网路函数库 变量函数库 文件系统函数库 PDF函数库 Vmailmgr函数库 FDF函数库 信用卡交易函数库 WDDX函数库 FTP函数库 PHP选项与资讯函数库 XML函数库 GNU gettext函数库 程式执行函数库 YP/NIS函数库 HTTP函数库 Pspell函数库 压缩函数库 ICAP函数库 GNU Readline函数库 PHP4新增的部份语法
PHP手册(中文)
09-05
PHP,即"PHP: Hypertext Preprocessor",是一种被广泛应用的开源通用脚本语言,尤其适用于 Web 开发并可嵌入 HTML 中去。它的语法利用了 C、Java 和 Perl,易于学习。该语言的主要目标是允许 web 开发人员快速编写动态生成的 web 页面,但 PHP 的用途远不只于此。 本手册内容主要由函数参考构成,但也包含了语言参考,PHP 一些主要产品特点的说明以及其它补充信息。 可在 » http://www.php.net/download-docs.php 下载此手册的各种格式。更多关于如何开发本手册的信息可参阅附录:"关于本手册"。如果你对 PHP 的历史感兴趣,可访问相关附录。
php函数列表
04-25
php函数列表,用于vim中php自动提示功能
PHP中的常用函数
good good study
06-17 6505
传送门 -》 mysql_connect()、mysqli_query()、mysqli_real_escape_string mysqli_real_escape_string():会对输入的特殊字符进行转义,如单引号双引号等,比如输入admin',经过这个函数转义就会变成admin\',将单引号转义了,就避免了sql注入 <?php $con=mysqli_connect("localhost","root","123456","RUNOOB"); //打开一个到mysql服务...
PHP常用函数小
weixin_34310127的博客
04-24 328
PHP常用函数小 纪录了PHP的一些常用函数 usleep()函数延迟代码执行若干微秒。 unpack()函数从二进制字符串对数据进行解包。 uniqid()函数基于以微秒计的当前时间,生成一个唯一的ID。 time_sleep_until()函数延迟代码执行直到指定的时间。 time_nanosleep()函数延迟代码执行若干秒和纳秒。 sl...
php处理html的几个函数
清风的博客
01-28 3317
目录 htmlspecialchars —— 将特殊字符转换为 HTML 实体 htmlentities — 将字符转换为 HTML 转义字符 htmlspecialchars_decode — 将特殊的 HTML 实体转换回普通字符 html_entity_decode — 把 HTML 实体转换为字符。 get_html_translation_table — 返回使用 htmlsp...
PHP的函数基础知识
从2017开始记录起的博客
09-05 690
1、函数的声明 function 函数名([参数1,参数2...]) { 函数体; return 返回值; } 2、使用双层for循环输出表格 function table(){ echo ""; echo "通过函数输出表格"; for($out=0;$out<10;$out++){ $bgcolor = $out%2 == 0 ? "#FFFFFF" : "#D
upload-labs页面显示不
最新发布
05-29
如果你在访问 upload-labs 页面时发现页面显示不,可能是因为以下原因之一: 1. 网络原因:上传下载速度慢或者网络不稳定可能导致页面无法完加载,可以尝试刷新页面或者更换网络环境。 2. 浏览器原因:浏览器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值