文件上传漏洞原理与实战——upload-labs靶场(2)

最新推荐文章于 2024-05-29 15:58:18 发布
最新推荐文章于 2024-05-29 15:58:18 发布
阅读量500 收藏 1
点赞数 1
分类专栏: 渗透测试 文章标签: php web安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52180702/article/details/125663739
版权

文件上传漏洞原理与实战——upload-labs靶场(2)

Pass-05 apache陌生后缀名解析绕过
image-20220707101045366

nts代表非安全线程,ts代表安全线程。

后缀名检查是从右到左,当遇到例如a.php文件时他会发现这是个php文件然后当作php文件来执行。如果发现不认识的后缀名,他就会再从左到右检查。我们可以利用这个,将文件名改为a.php.xxx

image-20220707101744335

我们通过查看源代码可以发现,禁止上传了.htaccess文件

我们直接上传a.php文件,发现上传不了。这时我们可以用burp进行拦截并将后缀名修改。

image-20220707102219951

然后上传成功。

image-20220707102303668
Pass-06 大小写绕过

image-20220707103053115

第六关禁止了.htaccess和.ini文件

image-20220707103208643 image-20220707103232480

但是和之前的相比,没有了将文件名转换为小写的操作,所以我们可以选择用大小写去绕过,我们也可以选择用第三关的::$DATA去绕过。但是注意不要改成被禁止的上传文件后缀。

image-20220707103653557

上传成功:image-20220707103711801

Pass-07 空格绕过

image-20220707104003654

与之前的相比,我们可以发现,第七关缺少了首尾去空的操作,我们可以选择用空格去绕过。

image-20220707105638883

上传a.php并用burp抓包,在a.php后添加一个空格,然后放掉,就能上传成功了。

image-20220707105820627
Pass-08 末尾加点绕过

image-20220707110726970

第八关没有删除文件名末尾的点的操作。

image-20220707110925119

用burp抓包,并在文件名最后加一个点,上传成功。

image-20220707111009853
Pass-09 ::$DATA绕过

image-20220707111215859

第九关没有去除字符串::$DATA的操作

我们直接burp抓包,在文件名末尾添加::$DATA,上传成功。

image-20220707111355683

image-20220707111719538

复制图片链接后进入,删掉url里的::$DATA,连接成功。

Pass-10 点空格点绕过

image-20220707111909556

第十关有删除文件名末尾的点和首位去空的操作,所以我们在文件名后添加点空格点,相当于加点绕过。

image-20220707112202146

上传成功:

image-20220707112217982
Pass-11 双写绕过

image-20220707112452987

它将违规的后缀名全部替换成了空,但是他只替换一次,我们可以采用双写绕过。

image-20220707112746909

上传成功:image-20220707112830837

Pass-12 %00截断

image-20220707113040878

第十二关是一个白名单,只允许上传jpg,png,gif,白名单比黑名单安全。

1.php版本<5.3.4

2.magic_quotes_gpc为off状态

(magic-quote在PHP5.4版本中就已经废除了。详情请参考:https://www.php.net/manual/zh/info.configuration.php

  1. magic_quotes_gpc和magic_quotes_runtime作用

magic_quotes_gpc主要是作用是自动转义GET/POST/COOKIES请求的数据,也就是自动执行 addslashes()。magic_quotes_gpc在5.4版本之前的配置中有两个值,分别是0(关闭)和1(开启),默认配置是1(开启)。

magic_quotes_runtime主要作用是自动转移sql,为了防止恶意攻击获取数据库信息。magic_quotes_runtime在5.4版本前的配置也有两个值,分别是0(关闭)和1(开启),默认配置是0(关闭)。

  1. magic_quotes_gpc和magic_quotes_runtime的应用

假设提交过来的数据分别是$datastr= ‘aaa’; $datafile= implode(file(‘demo.txt’));第一个数据是一个字符串,第二个是读取的文件信息,但是你不知道是否安全。就可以使用get_magic_quotes_gpc()和get_magic_quotes_runtime()进行判断。

注意:一般来说为了运行效率会将get_magic_quotes_gpc()和get_magic_quotes_runtime()设置成常量进行判断

上传a.php用burp抓包,在文件保存路径后添加shell.php%00进行截断,并将a.php改为a.jpg或者png等

image-20220707114335447

这样就可以上传成功了:image-20220707114645011

进入后发现Not Found

image-20220707114750083

URL里的�就等于%00,后面的可以直接删掉,就可以连接了

image-20220707114937587 
 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
Pass-13 0x00截断 POST型
$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

第12关文件保存为get方式,13关为post,两关很类似,但是不一样。

burp抓包,找到文件路径,在后面加上shell.php+,将a.php改为a.jpg或者png等。因为检测的是后缀,所以Content-Type可以不改。

image-20220707151239276

打开十六进制页面,写shell.php+的+是为了在这里方便寻找

image-20220707151806282

我们在对应的行对应位数可以找到+对应的是2b,我们把2b改为00

image-20220707152010577

然后直接放掉包,上传成功:

image-20220707152112088

发现与之前一样,都是Not Found,我们还是和上面一样将多余部分删除,连接成功

image-20220707152138019

image-20220707152300459

Pass-18 条件竞争(准备)

新建一个18.php文件,加密一个1,将<?php eval($_post["cmd"];?>写入shell.php

image-20220707160400367

exp.py内容

image-20220707160918291

抓包,发送到爆破模块

image-20220707161122872

image-20220707161207714

使用exp.py

image-20220707161404613

同时进行爆破和exp.py,使之竞争

image-20220707161559719

点clear清除

image-20220707162737081

image-20220707163036988
这里是条件竞争,先将文件上传到服务器,然后判断文件后缀是否在白名单里,如果在则重命名,否则删除,因此我们可以上传1.php只需要在它删除之前访问即可,可以利用burp的intruder模块不断上传,然后我们不断的访问刷新该地址即可。

游子无寒衣
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
文件上传渗透实验
xiongIT的博客
10-31 1423
文件上传渗透实验
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件上传漏洞专项练习靶场,内涵各种文件上传漏洞类型,采用关卡制,一共21关,由易到难,适合刚接触该漏洞的新手巩固练习
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
# CVE-2020-1938 Apache Tomcat 文件包含 影响版本: Tomcat6-9 Exp: ``` python CNVD-2020-10487-Tomcat-Ajp-lfi.py x.x.x.x -p 8009 -f urfile 一. 漏洞概述 2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复。 Tomcat是Apache软件基金会中的一个重要项目,性能稳定且免费,是目前较为流行的Web应用服务器。由于Tomcat应用范围较广,因此本次通告的漏洞影响范围较大,请相关用户及时采取防护措施修复此漏洞。 参考链接: https://www.cnvd.org.cn/webinfo/show/5415 二、影响范围
oracleClient安装包exp和imp文件.zip
01-27
Oracle客户端11.2.0.4.0的安装包,及其中exp和imp文件
oracle11g-exp文件
07-25
oracle11g的bin包,包含exp.exe和IMP.EXE.exp.exe文件,可用于plsql导入导出
小白专用,文件上传漏洞笔记
jhfjdf的博客
07-07 488
文件上传文件上传什么是文件上传漏洞文件上传漏洞的危害:文件上传漏洞攻击的流程: 文件上传 什么是文件上传漏洞文件上传漏洞指的是攻击者上传了一个可执行的脚本文件,通过此脚本文件获得了执行服务器端命令的能力,即获得了服务端的某些权限。 常见的场景是: 某个网站或者app上,服务端允许用户上传图片或者普通的文本文件,然后攻击者能绕过这个限制,上传可执行的脚本文件来获取权限。 文件上传漏洞的危害: 1、网站被控制,对文件增删改查,执行命令,链接数据库 2、如果服务器长久未更新,可以利用exp提权,导致服务器沦
简单文件上传EXP
2301_77915293的博客
07-26 83
接下来,通过发送一个GET请求到目标URL+路径,并带上前面定义的头部信息。的字典,存储了HTTP请求的头部信息。,用于存储目标网站的URL,这里是"http://192.168.177.167/MetInfo5.0.4",即目标站点。接下来,通过发送一个POST请求到目标URL+负载路径,并带上前面定义的头部信息和文件参数。这个负载是一系列参数的拼接,用于构造攻击请求的URL。的字典,存储了一个文件上传的参数。函数,检测漏洞是否存在,如果漏洞存在,则调用。,用于显示攻击成功后的shell的URL。
文件上传漏洞原理实战——upload-labs靶场
weixin_52180702的博客
07-06 645
upload-labs靶场 文件上传漏洞原理实战
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
01-08
PHP、Apache环境中部署upload-labs(文件上传漏洞靶场)
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
渗透测试上传漏洞经典靶场学习-upload-labs
上传文件漏洞靶场upload-labs
09-27
上传文件漏洞靶场upload-labs,用于练习上传文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
文件上传漏洞练习靶场upload-labs
07-05
文件上传漏洞练习靶场upload-labs内有文件上传漏洞的各种类型绕过的例题,非常全面,对加深文件上传漏洞的理解、利用非常有帮助。
PHP文件包含漏洞(利用phpinfo)复现&&文件上传(条件竞争)
sinat_61654365的博客
01-11 1498
PHP 环境下,如果网站存在本地文件包含漏洞,但是却无法找到想要包含的文件,也无法生成和上传文件,是否能够获得 WebShell 呢?这里有一个技巧,前提是网站需要有一个 phpinf 页面,就可以通过条件竞争来包含缓存文件获取 WebShell了。这个技巧实际上融合了PHIP 文件包含信息泄露条件竞争这三种漏洞,下面简述一下这种技巧的原理
CTFshow——web入门——文件上传
h_adam的博客
02-17 4962
web151 前端校验 修改上传格式为php,上传一句话马,蚁剑连接得flag web152 后端校验 上传一句话,png文件抓包 修改文件名后缀为php,访问被解析,蚁剑连接得flag。 web153 打开发现/upload下存在index.php文件,我们可以利用.user.ini,可参阅.htaccess 和.user.ini 配置文件妙用 php手册—关于php.ini配置项 前端把后缀限制去掉,accept改为file,上传user.ini Content-Type修改为image/png
文件上传漏洞详解 一文了解文件上传漏洞
闵行小鱼塘
09-29 2127
刷完了upload-labs,对文件上传漏洞有了些许认识,在此做个小结与记录
linux 阿里云服务器安装ImageMagick和php扩展imagick
qq_54039576的博客
05-27 363
我的服务器默认是php.7.4.3 , 改完php -m 是找不到imagick的,实际上没对应php版本解锁,Alibaba Cloud Linux 3.2104 LTS 64位。就所有php.ini全改一遍, 再重启一遍apache和数据库。#寻找所有php.ini文件。
Steamdeck使用Windows系统游玩雪地奔驰时闪退问题解决方法
fxalll的博客
05-28 431
在github正好有一个叫dxvk的库,能够基于vulkan实现d3d11,因此我们访问https://github.com/doitsujin/dxvk,从 Releases下载dxvk-2.3.1.tar.gz(当前最新版本),解压压缩包,在x64 目录中获取 dxgi.dll 和 d3d11.dll,并将两个dll文件放进Snowrunner.exe根目录所在的位置,再次启动游戏,游戏果然正常运行了。因此我自己分析终于解决该问题。困扰我两天的问题终于解决了,也算这个小众游戏全网的第一个解决方案吧。
linnux上安装php zip(ZipArchive)、libzip扩展
最新发布
科小洋的博客
05-29 476
安装顺序:安装zip(ZipArchive),需要先安装libzip扩展安装libzip,需要先安装cmake按照cmake、libzip、zip的先后顺序安装下面的命令都是Linux命令。
upload-labs靶场搭建教程
08-19
你可以按照以下步骤来搭建upload-labs靶场: 1. 首先,你可以使用以下命令将upload-labs镜像拉取到本地仓库: docker pull cuer/upload-labs [1] 2. 接下来,你可以在镜像仓库中搜索upload-labs镜像,使用以下命令:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游子无寒衣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值