Upload-labs靶场 01-11关攻略

最新推荐文章于 2023-11-17 18:35:09 发布
最新推荐文章于 2023-11-17 18:35:09 发布
阅读量746 收藏
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51804748/article/details/121229719
版权

前言

在这里插入图片描述
文件上传漏洞靶场Upload-labs,在github上下载后部署在win10本地,php版本为5.2.17,测试环境使用Kali虚拟机

https://github.com/c0ny1/upload-labs

Pass-01

在这里插入图片描述

首先尝试上传一句话木马up.php文件发现上传失败,并提示只允许.jpg|.png|.gif类型,但是我们的burp并没有抓到这个包,于是判断此处的限制为前端验证,我们直接查看源代码
在这里插入图片描述
将此处判断文件类型的语句修改,即可正常绕过前端验证
在这里插入图片描述
成功上传后界面出现了刚刚上传的图片,由于上传的是php文件,所以无法正常解析成图片
在这里插入图片描述

右键点击复制图像地址即可得到文件上传的路径,在蚁剑中直接连接
在这里插入图片描述

Pass-02

在这里插入图片描述
先尝试能否直接上传up.php,提示文件类型不正确
在这里插入图片描述
我们在抓到的包中尝试修改Content-Type为image/jpeg,继续上传
在这里插入图片描述
成功上传,复制路径后蚁剑连接

Pass-03

在这里插入图片描述
上传up.php后提示不允许以上后缀,我们尝试后缀改写绕过,将php改写为php5,成功上传,依旧可以被解析为php

(此处与不同环境的apache配置文件有关,配置文件中需要有下面这句话才可以成功)

AddType application/x-httpd-php .php .phtml .phps .php5 .pht

Pass-04

在这里插入图片描述

本题使用以上几种方法均无法上传up.php,黑名单过滤的十分严密,基本只允许上传图片格式,但值得注意的是,黑名单中并没有.htaccess,于是我们可以选择上传.htaccess文件,既然只允许上传jpg文件,我们就上传jpg格式的一句话,再利用我们上传的.htaccess将jpg解析为php,构造如下文件

在这里插入图片描述
在这里插入图片描述
再直接上传jpg格式的一句话,并用蚁剑连接

Pass-05

本题相当刁钻,黑名单包括转换,大小写,空格,还有点号,几乎所有php文件都上传不了,并且拒绝上传 .htaccess 文件,源代码如下

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",
".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",
".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",
".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",
".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

黑名单中没有的后缀名有 .php7 以及 .ini,此处应该使用 .user.ini解析漏洞,思路和.htaccess有些相似
使用 .user.ini 解析漏洞需要三个前提条件:
①服务器后端语言为php
②文件上传目录中有可利用的php文件
③服务器使用CGI/FastCGI模式

这个漏洞非常少见,限制条件也很多,感觉实战中并不好用

本关的提示为上传目录存在readme.php,可以利用这个php文件
在这里插入图片描述
我们先上传一个图片格式的一句话木马
在这里插入图片描述
再构造.user.ini如下,使目录下所有php文件都包含up.jpg,从而将恶意代码注入上传目录中已经存在的可利用php文件中
在这里插入图片描述
在这里插入图片描述
根据提示可知,目录下有readme.php,我们输入该文件的地址即可连接
在这里插入图片描述

Pass-06

在这里插入图片描述
直接大小写绕过

Pass-07

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

源代码没有去掉空格,直接在文件名末尾加空格绕过黑名单
(Linux不可以,只有在windows下能成功)
在这里插入图片描述

Pass-08

和上一题类似,本题没有去掉文件名末尾的点,故抓包后文件末尾加点绕过

Pass-09

在这里插入图片描述
源代码中没有去掉::$DATA,抓包在文件末尾加上后可绕过检测,但解析时会忽略::$DATA
在这里插入图片描述

Pass-10

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

本题源码中能过滤的都过滤了,但可以知道deldot只会删除末尾的一个点,
故可以构造文件后缀php. .
在这里插入图片描述

Pass-11

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

本题源代码中str_ireplace会将黑名单中的函数替换为空,故双写绕过
在这里插入图片描述

A丶R
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全】文件上传靶场(1-11
m0_67401660的博客
07-28 3585
本次实验利用靶场upload-labs-env这个靶场作为文件上传初学者是很友好的,大部分卡是比较基础的,而且可以看源码了解思路和开发的思路对于初学者来说十分的友好,所以本次汇总一下也是为了分享更多的资料给各位粉丝们学习交流。二、实验准备首先我们需要了解什么是一句话木马,什么是小马什么是大马,其次我们需要了解文件上传绕过方式。在前面的文章中我分享过有文件上传漏洞的绕过方式及其原理介绍。文件上传绕过原理其次我们需要准备好webshell管理工具,比如蚁剑、冰蝎等,我在这里使用蚁剑进行演示。...
upload靶场通(上)1-11
weixin_59165176的博客
08-28 1174
本案例以upload靶场为例,若帮到你请点个注再走呗 第一(JS前端验证) js前端校验,这里可以使用火狐插件闭js,或者burp抓包绕过 把php木马文件,更改后缀名称为【.jpg】,使用Burp抓包,更改后缀名称 上传成功,右键图片复制地址,使用蚁剑连接 第二(MIME验证) 只验证Content-type的属性,抓包修改即可绕过 还是一样的首先上传一个php木马,进行抓包,更改【content-type】的内容为 image...
uploads靶场(1-11)
Fly_Mojito的博客
06-04 972
uploads靶场(1-11)
Upload LABS Pass-11
热门推荐
wangyuxiang946的博客
07-05 1万+
第十一在服务端使用了白名单 , 但文件保存路径外漏 , 可以使用00截断 准备一个 11.php 文件 , 内容为一句话木马 <?php eval($_POST[-7]);?> 上传 11.php 文件 , 并使用代理( 此处使用 Burp Suite)拦截请求 修改路径,添加%00 , %00会被转译成00 , Windows解析到00会当成结束符而停止解析 比如 1.php%00.jpg 会被解析成 1.php ,%00后的内容不会解析 文件后缀修改...
upload-labs11(双写后缀名绕过)通思路
最新发布
zyh1588的博客
11-17 512
小白回顾文件上传靶场第十一
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件上传漏洞专项练习靶场,内涵各种文件上传漏洞类型,采用卡制,一共21,由易到难,适合刚接触该漏洞的新手巩固练习
upload-labs靶场指南
07-02
upload-labs靶场指南
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
01-08
这就是 upload-labs(文件上传漏洞靶场)的价值所在。 upload-labs 是一款开源的练习 web 漏洞的靶场工具,用 PHP 代码编写而成。需要 PHP 和 Apache 环境运行。下面我们将详细介绍如何在 PHP、Apache 环境中部署 ...
上传文件漏洞靶场upload-labs
09-27
上传文件漏洞靶场upload-labs,用于练习上传文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
upload-labs 上传训练
09-02
转自GitHub,是一个文件上传演练的靶场,练习文件上传思路轻松加愉快,附带源码查看,以及提示
upload-labs 靶场练习
Knsec
04-21 3437
靶场简介 个人博客时光机 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20,每一都包含着不同上传方式。 项目地址:https://github.com/c0ny1/upload-labs 本writeup所使用环境为作者所提供的 windows环境一键启动环境。 靶场环境 漏洞简介 文件上传漏洞是由于对上传的文件没有进行合理严格的过滤,导致攻击者上传的文件被服务端解析,导致恶意文件中所包含的恶
Upload-labs 第1 - 11 通过笔记
weixin_45619494的博客
10-15 355
随便上传个php后缀文件,发现 提示:不允许上传.asp,.aspx,.php,.jsp后缀文件!上传一句话木马的php文件,抓包,发现在php后面加个 .空格.,成功绕过了!上传一句话木马的php文件,抓包,发现在php后面加个 空格 ,成功绕过了!上传一句话木马的php文件,抓包,发现在php后面加个 . ,成功绕过了!上传一句话木马的php文件,抓包,发现在php后面加个 . 就绕过了?查看源码,发现没用转换成小写了,很明显,直接大小写绕过。上传一句话木马,抓包,php改成phP,成功上传。
upload-labs靶场 11-19 详细教学 上传漏洞
小明师傅博客
06-09 1173
11采用的防御手法是白名单过滤,只允许上传jpg、png和gif类型,并且将上传的文件给重命名为了白名单中的后缀 这里我们用00截断,要求是php版本低于或等于5.3.4 这一上传目录是可控的,所以可以先上传一个后缀名为.jpg,然后修改上传目录为.php后缀,之后在.php后使用截断后面的拼接内容 注意这里的00字符因为在url的GET参数中,所以需用进行url编码 第12 和Less-11不同的是这次的save_path是通过post传进来的,我们还利用00截断,但这题需要在十六进
Upload-labs靶场_第1~12总结
weixin_43264698的博客
02-01 948
Upload-labs靶场_第1~12总结靶场介绍二级目录三级目录 靶场介绍 二级目录 三级目录
upload-labs靶场搭建以及通
qq_46110224的博客
08-12 2666
upload-labs靶场环境搭建pass-01三级目录 靶场环境搭建 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21,每一都包含着不同上传方式。 PHPstudy准备 upload-labs源码下载https://github.com/c0ny1/upload-labs 源码解压在指定路径…/…/phpstudy_pro\WWW 开始练习 在浏览器输入:http://localhost
upload-labs(11~12)通笔记
Sheng_GuoFu的博客
12-12 524
在url中%00表示ascii码中的0,而0作为特殊字符保留,表示字符结束,也就是说,在保存文件的时候,如果路径参数(例:$img_path)中出现了%00,就会认为路径到这里就已经结束了,从而忽略后面一系列的参数,比如,此时,路径参数的后半部分就会被%00给截断,从而变成使用%00截断有两个要求:1、php的版本 < 5.3.42、php.ini中的magic_quotes_gpc的状态为Off。
upload靶场1-11】基础卡:特点、分析、利用
07-19 784
upload靶场
upload-labs搭建及前11教程
墨子辰的博客
01-29 1286
使用phpstudy搭建Uploads-labs 链接:https://pan.baidu.com/s/1lMRBVdQyFuKOgNlWPUoSSQ 提取码:8mmv 下载后,解压修改名字:upload-labs,然后移动到phpstudy网站目录:phpstudy\www(根据自己的网站目录决定),若网站根目录下存在多个目录,记得打开允许目录列表,打开方法:其他选项菜单—phpStudy设置—允许目录列表。在upload-labs目录下创建一个upload文件夹 启动phpstudy在浏览器输入
upload-labs靶场搭建教程
08-19
你可以按照以下步骤来搭建upload-labs靶场: 1. 首先,你可以使用以下命令将upload-labs镜像拉取到本地仓库: docker pull cuer/upload-labs [1] 2. 接下来,你可以在镜像仓库中搜索upload-labs镜像,使用以下命令:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值