文件上传之upload-labs 1~5 详细介绍

最新推荐文章于 2024-04-17 16:43:31 发布
最新推荐文章于 2024-04-17 16:43:31 发布
阅读量1.9k 收藏 8
点赞数
分类专栏: upload靶场通关 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51446936/article/details/120347827
版权

一、Pass-01(前端js验证)

1.1 原理描述

在文件上传时,用户选择文件时,或者提交时,有些网站会对前端文件名进行验证,一般检测后缀名,是否为上传的格式。如果上传的格式不对,则弹出提示文字。此时数据包并没有提交到服务器,只是在客户端通过 js 文件进行校验,验证不通过则不会提交到服务器进行处理。

1.2 实验操作

试着上传一个php文件,出现一个前端验证的提示,表示客户端只是通过js文件进行了验证,没有提交到服务器里
在这里插入图片描述

1.3 查看源码

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
        alert(errMsg);
        return false;
    }
}

1.4 绕过方法

禁用js脚本,即F12查看器 找到并删掉代码return checkFile()
在这里插入图片描述
在这里插入图片描述
再试着上传看看,上传成功
在这里插入图片描述
复制路径试着访问一下,可以访问成功
在这里插入图片描述

二、Pass-02(服务端MIME验证)

根据提示:本pass在服务端对数据包的MIME进行检查!

2.1 原理描述

有些上传模块,会对 http 的类型头进行检测,如果是图片类型,允许上传文件到服务器,否则返回上传失败。因为服务端是通过 content-type 判断类型,content-type 在客户端可被修改。则此文件上传也有可能被绕过的风险。

2.2 实验操作

在这里插入图片描述

2.3 查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

2.4 绕过方法

burp抓包,修改content-type字段
Content-Type: image/jpeg 或(image/png)或(image/gif)
在这里插入图片描述
显示上传成功,试着进行访问
在这里插入图片描述

三、Pass-03(黑名单绕过)

3.1 原理描述

上传模块,有时候会写成黑名单限制,在上传文件的时获取后缀名,再把后缀名与程序中黑名单进行检测,如果后缀名在黑名单的列表内,文件将禁止文件上传。

3.2 实验操作

提示:不允许上传.asp、.aspx、.php、.jsp后缀文件
在这里插入图片描述

3.3 查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

3.4 绕过方法

大小写绕过(现在一般不可行)

在这里插入图片描述
我们发现,大小写绕过失败

上传黑名单以外的后缀名即可

iis中间件:可以上传 asa 、cer 、cdx 、ashx 这些后缀
apache中间件:phtml、php3、php5、pht等
在这里插入图片描述
成功上传
在不同的中间件中有特殊的情况,如果在 apache 可以开启 application/x-httpd-php
在 AddType application/x-httpd-php .php .phtml .php3
后缀名为 phtml 、php3 均被解析成 php 有的 apache 版本
在这里插入图片描述

四、Pass-04(. htaccess 绕过上传)

4.1 htaccess是什么

htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
启用.htaccess
需要修改httpd.conf,启用AllowOverride,并可以用AllowOverride限制特定命令的使用。如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令来改变。例如,需要使用.config ,则可以在服务器配置文件中按以下方法配置:AccessFileName .config 。
在这里插入图片描述
在这里插入图片描述

4.2 查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

4.3 实验操作

提示:
本pass禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件!
在这里插入图片描述

4.4 绕过方法

上传.htaccess 到网站里.htaccess 内容是
<FilesMatch “jpg”>
SetHandler application/x-httpd-php

再上传恶意的 jpg 到.htaccess 相同目录里,访问图片即可获取执行脚本
在这里插入图片描述
在这里插入图片描述
允许上传.htaccess文件
接着上传一个jpg格式的文件,我是将一句话木马文件转化为jpg
在这里插入图片描述
在这里插入图片描述
上传成功,试着访问目录
在这里插入图片描述

五、Pass-05(.user.ini绕过)

5.1 ini文件?

.ini 文件是Initialization File的缩写,即初始化文件,是windows的系统配置文件所采用的存储格式,统管windows的各项配置,一般用户就用windows提供的各项图形化管理界面就可实现相同的配置了。但在某些情况,还是要直接编辑ini才方便,一般只有很熟悉windows才能去直接编辑。百度百科

5.2 查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

根据源码显示,过滤了.ini文件,这也是和pass-04的区别,第四关是过滤了.htaccess文件

5.3 绕过方法

先看一下提示,上传的目录存在一个名为readme.php文件
因为.ini后缀的文件可以上传,所以我们可以上传一个.user.ini文件来改变服务器配置
具体方法:上传一个.user.ini,再上传一个图片马,包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件,否则也不能包含了(正常的文件即本身自带的readme.php)。
我们就可以利用到readme.php包含一个我们上传的木马文件,再连接readme.php文件达到连接一句话木马的目的
.ini的文件内容:auto_prepend_file=shell.jpg(其中shell.jpg是自己上传的木马图片)

第一步:首先上传一个.user.ini文件

在这里插入图片描述
在这里插入图片描述
显示上传成功
在这里插入图片描述

第二步:然后再上传一个一句话木马文件,名字需要与.user.ini配置的文件名相同

因为jpg没有在黑名单的限制之内,所以可以修改后缀名为jpg绕过上传限制
在这里插入图片描述
这时,在服务器端的upload文件夹会存在三个文件,原先服务器就存在的readme.php和我们上传的.user.ini shell.jpg
在这里插入图片描述
最后就是用菜刀或蚁剑连接readme.php,达到连接shell.jpg一句话木马的效果
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

要努力。。
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
upload-labs1-5
shangMD01的博客
02-24 4097
用浏览器打开upload: 第一 -js检查 上传文件会获得提示 把文件后缀改为.jpg/.png/.gif,我这里用的是jpg: 打开burpsuite在upload上传修改后的文件进行爪包: 在burpsuite中修改文件进行回显: 第二 仅判断Content-type类型 上传文件失败,对文件进行爪包: 在burpsuite修改Content-type类型为image/jpeg、image/png、image/gif的任意一种进行回显: ...
upload-labs-master【文件上传靶场】
04-05
最新版文件上传靶场
文件上传upload-labs(一)
01-08
文件上传漏洞 通过上传攻击性文件(木马,病毒,恶意脚本)绕过检测到服务器并执行; 个人觉得不喜欢这些概念,通过实操更加能理解和掌握; 使用xampp、phpstudy、docker搭建upload-labs,三者都可,docker最方便但是我不是太熟悉,xampp安装的时候有很多工序,所以我选择的是phpstudy搭建了靶机环境,个人觉得学习文件上传用dvwa好一点,这个用来训练和复习,但是不得不说的是,至少前十题那个套路实在是没意思,下面是思维导图: 废话少说直接进入: 进入是这样的,开始训练吧。 pass-01: 新建一个PHP文件,使用一句话木马上传 提示我们文件类型不符合要求要上
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
upload-Labs靶场“1-5”教程
钟言的博客
03-01 7701
本篇为upload-Labs靶场的第一到第五的通教程,详细内容包含了:环境搭建 第一 前端JS检测后缀 1、源码分析 2、禁用浏览器JS上传 3、burp抓包修改 三、第二 MIME头验证 1、源码分析 2、burp抓包绕过 四、第三 PHP3绕过 1、源码分析 2、PHP3绕过 五、第四 .htaccess重写绕过 1、源码分析 2、.htaccess复写 六、第五 黑名单大小写绕过 1、源码分析 2、大小写绕过上传
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
01-08
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
上传文件漏洞靶场upload-labs
09-27
上传文件漏洞靶场upload-labs,用于练习上传文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件上传漏洞专项练习靶场,内涵各种文件上传漏洞类型,采用卡制,一共21,由易到难,适合刚接触该漏洞的新手巩固练习
upload-labs详细教程
shayebudon的博客
11-09 1万+
第一 js检查 查看源码 由源代码可知,允许上传的文件为.jpg|.png|.gif 我们上传一个.jpg文件 利用burp suite进行抓包 将jpg改为php后,放包 上传成功。 第二Content-Type 查看源码 有源码可知,发现只判断Content-Type类型,所以我们只需修改Content-Type进行绕过即可 首先上传php文件,抓上传包 将箭头所指的内容改为image/jpeg或image/png或image/gif后...
upload-labs详解1-19全解(最全最详细一看就会)
热门推荐
qq_53003652的博客
04-05 2万+
upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共19,每一都包含着不同上传方式。
文件上传upload-labs靶场通指南
javaEE_zero的博客
12-13 1744
upload-labs、文件上传
upload-labs通(Pass01-Pass05)
m0_46467017的博客
08-15 1534
我们在数据包中把后缀名改为.php. .,首先他发现有一个点,这时会把他去掉,又发现有一个空格,也会把它去掉,我们这时还有一个点,也就是.php. 由于他只是验证一次,所以不会在去掉我们的点。我们在数据包中把后缀名改为.php. .,首先他发现有一个点,这时会把他去掉,又发现有一个空格,也会把它去掉,我们这时还有一个点,也就是.php. 由于他只是验证一次,所以不会在去掉我们的点。本也有两种绕过方法:第一种是上传php文件,改Content-Type,第二种是上次合法后缀文件,改文件改后缀。...
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
upload-labs通手册
12-03
详细记录了upload-labs靶场的通步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
网络安全(黑客技术)—2024自学手册
Dasdwer的博客
04-17 919
很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习导航三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。(文末有福利~)
网络安全(黑客技术)—2024自学
最新发布
fyukjasdb的博客
04-17 1120
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全之反弹Shell
小飞的博客
04-12 1407
在网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
网络安全(黑客)—2024自学
dexi113的博客
04-17 1265
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!
upload-labs 验证文件
09-17
对于upload-labs验证文件,可以使用以下步骤进行验证: 1. 首先,确保你已经下载和安装了upload-labs。你可以从GitHub上找到它的源代码并进行安装。 2. 打开终端,并切换到upload-labs的目录下。 3. 通过运行以下命令来启动upload-labs服务器: ``` php -S 127.0.0.1:80 ``` 4. 在浏览器中输入 `http://127.0.0.1`,以访问upload-labs的主页。 5. 浏览upload-labs的主页,以查看提供的不同类型的验证文件。选择一个你感兴趣的验证文件进行尝试。 6. 下载选定的验证文件,并在你的本地机器上保存它。 7. 将该文件上传upload-labs网站中。这可能涉及到在网站上查找一个相应的上传功能或表单,通过该表单上传文件。 8. 完成上传后,upload-labs网站将会对你上传的文件进行验证。你会得到一个验证结果。 请注意,确保在进行任何演示或测试时遵循适当的安全措施,以防止任何潜在的安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值