文件上传之图片码混淆绕过(upload的16,17关)

已于 2023-09-10 17:45:12 修改
阅读量789 收藏 1
点赞数
文章标签: 测试工具 服务器 vscode
于 2023-09-10 17:43:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xk2844600795/article/details/132791284
版权

目录

1.upload16关

1.上传gif

loadup17关(文件内容检查,图片二次渲染)

1.上传gif(同上面步骤相同)

2.条件竞争

1.upload16关

1.上传gif

imagecreatefromxxxx函数把图片内容打散,,但是不会影响图片正常显示

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];
 
    $target_path=UPLOAD_PATH.'/'.basename($filename);
 
    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);
 
    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);
 
            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
 
    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);
 
            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);
 
                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }
 
    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);
 
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

首先copy命令生成图片马

上传之后再在服务器上下载下来,然后使用010editor进行比较,哪些内容没有被混淆,我们就可以把木马写在没有被混淆的内容里

然后直接文件包含,包含图片内的php代码

loadup17关(文件内容检查,图片二次渲染)

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];
 
    $target_path=UPLOAD_PATH.'/'.basename($filename);
 
    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);
 
    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);
 
            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
 
    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);
 
            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);
 
                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }
 
    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);
 
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

这一关主要就是使用了imagecreatefrom系列的函数。

这个函数的主要功能就是,使用上传的图片去生成一张新的图片,生成的结果会返回一个变量,

成功返回ture,失败返回false。并且这个函数,可以在他进行重新创建图片的时候,会将我们图片的信息和非图片的信息进行分离,也就是说如果我们在一张图片中加入了代码,那么他会 在你上传后把这张图片在新建的时候把其中的代码筛选出来,并且去除。最后只保留你的图片信息,在进行排序重建。

1.上传gif(同上面步骤相同)

将第一步的合成好的GIF图片使用010 Editor 工具打开,并且把第二步上传完的图片,到upload目录下寻找,将上传完成后已经被二次渲染后的图片,也使用010 Editor工具打开。并且对比, 寻找蓝色部分没有被排列重组的地方。

 在二次渲染后8828.gif图片中加入一句话代码,

点击文件包含漏洞url,传参。

就能完成此题。

2.条件竞争

我们还可以用条件竞争来完成此题

条件竞争型的漏洞在很多漏洞中都有涉及,在文件上传中造成这种漏洞的原因是代码中是先保存上传的文件在服务器上,然后验证再删除的,这就会造成攻击者可以利用文件被保存在服务器上与被删除的时间间隙来访问文件,然后重新生成了一个新木马

我们可以直接上传一个有写功能的php文件,然后bp抓包,一直发包,同时一直访问刚刚上传的php文件,总有一次会成功生成一个新的木马

我们去查看代码片段可以发现文件是先保存在服务器上,然后unlink函数删除的

先上传木马然后抓包

然后随便找个数字

然后选持续发包

然后我们一直访问上传的php文件,让它生成新的木马

昨日正晴
关注
upload-labs第16(判断照片后二次渲染)详解
qq_44133136的博客
10-25 2478
upload-labs16-详解(判断是否为照片后进行二次渲染) 首先看一下源 首先我们像前面卡一样,上传图片马,按照我们的习惯,将会在图片的尾部,写入php一句话木马,然后用菜刀或者蚁剑连接,我们先按照此方法进行试验 (1)上传图片马 (2)用burp拦截,拦截到上传的包 (3)在图片尾部插入一句话木马,密是123 <?php @eval($_POST[123]); ?> 放包上传 (4)将图片地址复制下来,用菜刀连接,密设置的是123 发现连接失败 原因是照片上传后
linux文件上传白名单绕过,【漏洞详解】基于文件上传点挖掘存储型XSS漏洞
weixin_39611031的博客
05-15 1553
原标题:【漏洞详解】基于文件上传点挖掘存储型XSS漏洞说到文件上传漏洞,常见的姿势是是尝试利用上传木马 Getshell。但是,在挖漏时很少碰到可以顺利上传木马的点,一般都是卡在某一步(服务器白名单过滤、已上传木马文件找不到路径、无法解析……),然后不了了之……而实际上,对于文件上传的功能点,我们还可以进一步尝试进行存储型 XSS 跨站脚本攻击,往往会有意想不到的惊喜!本文将对其进行介绍。PART...
upload-labs靶场第17设计PHP函数解析
永远是少年
09-13 852
今天继续给大家介绍渗透测试相知识,为了方便大家对upload-labs靶场第17的理解,本文主要内容是upload-labs靶场第17设计PHP函数解析。 一、move_upload_file()函数 二、imagecreatefromjpeg()函数 三、srand()函数 四、strval()函数 五、imagejpeg()函数 六、unlink()函数
upload-labs通(第16-第17
qq_73985955的博客
08-05 533
我们接下来就可以使用蚁剑进行连接,url的构造和前面的一样,但我这无论怎么弄都没成功连接上,看了其他大佬的wp,他们也是这样做的,能连接上,方法大概是这样了,如果有连接上的告诉我一声(对了,这里如果使用其他格式的图片会比较难弄,所以我就没弄)找到两个gif相同的地方,我们把一句话复制,然后在23917.gif中插入一句话,保存,上传23917.gif文件。然后进行比较,我们通过观察发现不同的地方,并且我们插入的一句话,在下载的gif里面已经被打乱了,没有找到。3.找到[exif]段,把下面语句的分号去掉。
upload-labs之第十六
田田云逸的博客
10-28 1345
Pass16 打开第十六,任务什么的还是没有区别。那就看看提示。 渲染了图片?啥是渲染啊,它对上传漏洞防御能有啥用啊?带着一堆的问号我默默打开了源。 $is_upload = false;$msg = null;if (isset($_POST['submit'])){ // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径 $filename = $_FILES['upload_file']['name']; $filetype = $_FILES['.
文件上传绕过uploads17-条件竞争
ssrf
03-14 647
目录0x001 源审计0x002 绕过 0x001 源审计 $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_name']; $file_ext =
上传文件漏洞靶场upload-labs
09-27
5. **内容检测绕过**:有些系统会检查文件内容以确保其安全,但攻击者可能通过编混淆等手段绕过检测。 为了有效地使用`upload-labs`靶场,你需要按照博客教程的步骤操作,逐步完成各个挑战。这些挑战将帮助你...
upload-labs文件上传靶场
11-24
这个靶场包含了21个精心设计的卡,每个卡都模拟了不同类型的文件上传绕过策略,旨在帮助用户提升对文件上传漏洞的挖掘与利用技能。 文件上传漏洞的本质在于,攻击者可以通过上传恶意文件到服务器,进而执行任意...
Upload-Lab第3:如何巧妙应对黑名单文件后缀检测?
最新发布
didiplus
08-15 1165
Upload-Lab第3:如何巧妙应对黑名单文件后缀检测?
5.upload-labs—Pass05
qwsn
03-13 3018
一、Pass05 1、上传一个shell.php shell.php内容为:<?php @eval($_POST['123']);?> //结果如下图所示,提示我们此文件不允许上传 2、扩展名黑名单绕过方法: ①、上传,shell.php.jpg //尝试是否存在apache的解析漏洞 //结果,不能解析 ②、上传.htaccess //尝试,是否被过滤 //结果,被过滤 ③、打开...
upload-labs11-16
qq_46527080的博客
12-25 443
第十一(双写) 源分析 他这个是直接将上边数组存在的后缀名替换为空了,所以我们可以双写上传 抓包防包 发现上传成功了 第十二(get型%00截断) 源分析 白名单机制,但是$img_path直接拼接,因此可以利用%00截断绕过。 可以使用00截断,php后空格十六进制的20改为00 条件:php版本小于5.3.4 2、php.ini的magic_quotes_gpc为OFF状态 知识点:这里利用的是00截断。move_uploaded_file函数的底层实现类似于C语言,遇到0x00会截断。 抓包分
文件上传Upload靶场11到17详解。
lxz021202的博客
01-04 654
web渗透测试之文件上传Upload靶场11到17
Upload-labs十六和十七
weixin_54986292的博客
09-11 446
target_path)返回true的时候,就已经成功将图片马上传到服务器了,所以下面的二次渲染并不会影响到图片马的上传.如果是想考察文件后缀和content-type的话,那么二次渲染的代就很多余.(到底考点在哪里,只有作者清楚.哈哈)由于在二次渲染时重新生成了文件名,所以可以根据上传后的文件名,来判断上传的图片是二次渲染后生成的图片还是直接由move_uploaded_file函数移动的图片.成功上传含有一句话的111.gif,但是这并没有成功.我们将上传的图片下载到本地.>添加到gif的尾部.
[网络安全]upload-labs Pass-16 解题详析
等风来
08-16 4144
源代中使用到了exif_imagetype()函数,其用于读取图像的第一个字节并检查其签名。故进入phpstudy的网站、管理、php扩展中修改即可。故仍可使用图片绕过,本文不再赘述。提示需要开启php_exif模块。
upload-labs靶场通指南(16-17
永远是少年
09-13 1130
今天继续给大家介绍渗透测试相知识,本文主要内容是upload-labs靶场通指南(16-17)。 一、第16 二、第17
upload-labs通小记 Pass11-16 含代审计
Neonline254的博客
10-26 723
记录了学习"文件上传漏洞"时打的upload-labs靶场Pass11-16,包含具体的实验过程和一些题目的代审计。
uploadpass16-pass20
m0_62207170的博客
04-12 546
upload pass16-20
文件上传之条件竞争
qq_53829555的博客
09-21 5081
随着科技不断的发展,网络安全成为了一个大家都要注意与心的话题,今天小编就带大家了解与复现一下文件上传漏洞中的条件竞争漏洞
文件上传漏洞的文件头绕过
04-20
文件上传漏洞是一种常见的Web安全漏洞,攻击者通过绕过文件头检测机制,上传恶意文件到服务器上,从而执行任意代或者获取敏感信息。文件头绕过是指攻击者通过修改文件的内容或者文件名来欺骗服务器的文件类型检测机制,使得服务器无法正确判断文件的真实类型。 为了绕过文件头检测机制,攻击者可以采取以下几种方法: 1. 修改文件内容:攻击者可以在文件的开头添加一些特殊字符或者修改文件的二进制内容,使得文件头部的标识符不再符合服务器的文件类型检测规则。 2. 修改文件扩展名:攻击者可以将恶意文件的扩展名修改为服务器允许上传的合法文件类型的扩展名,从而欺骗服务器认为该文件是合法的。 3. 使用双重扩展名:攻击者可以将恶意文件的扩展名修改为两个或多个扩展名的组合,例如将`.php`文件修改为`.jpg.php`,这样服务器可能只会检测到第一个扩展名,从而误判文件类型。 4. 使用特殊编:攻击者可以使用特殊编对文件进行编,使得文件头部的标识符被隐藏或者混淆,从而绕过文件类型检测。 为了防止文件上传漏洞的文件头绕过,开发者可以采取以下几种措施: 1. 文件类型检测:在服务器端对上传的文件进行类型检测,可以通过检查文件的魔术数字、文件扩展名、MIME类型等方式来判断文件的真实类型。 2. 文件名过滤:对上传的文件名进行过滤,只允许合法的文件名字符,避免使用特殊字符或者路径分隔符。 3. 文件内容检测:对上传的文件内容进行检测,可以通过解析文件内容或者使用杀毒软件等方式来检测文件是否包含恶意代。 4. 文件权限设置:限制上传文件的存储路径的访问权限,避免攻击者通过上传恶意文件获取服务器的敏感信息或者执行任意代
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值