upload-labs关卡11(双写后缀名绕过)通关思路

最新推荐文章于 2024-03-04 08:00:00 发布
最新推荐文章于 2024-03-04 08:00:00 发布
阅读量487 收藏
点赞数 1
分类专栏: 文件上传漏洞upload-labs靶场 文章标签: web安全 文件上传漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyh1588/article/details/134468674
版权

文章目录

前言

此文章只用于学习和反思巩固文件上传漏洞知识,禁止用于做非法攻击。注意靶场是可以练习的平台,不能随意去尚未授权的网站做渗透测试!!!

一、回顾前几关知识点

前几关源代码是验证去除末尾点、首尾去空、大小写过滤以及data流过滤。都是基于window特性绕过的。这一关的源代码就不太一样了,让我们瞧一瞧。

二、靶场第十一关通关思路

  • 1、看源代码
  • 2、bp抓包双写后缀名绕过
  • 3、检查文件是否成功上传

1、看源代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

发现源代码大改,和之前不一样了。发现这串核心代码$file_name = str_ireplace($deny_ext,"", $file_name);意思是如果上传的文件后缀名在黑名单中,就会把此后缀名替换为空。但是这个代码只执行一次,那么我双写后缀名是不是就可以绕过了呢。

2、bp抓包双写后缀名绕过

因为php在黑名单里,应该会被替换为空。我们先上传123.php,看看是不是我们所说的把php后缀名替换为空。(如图所示)
在这里插入图片描述
发现是被替换了,那么我们就有思路了。如果后缀名是pphphp是不是就会把中间的php替换为空,最终变成php后缀名了呢?我们试一试(如图所示)
在这里插入图片描述

3、检查文件是否成功上传

发现上传成功
在这里插入图片描述
在这里插入图片描述
如果上传的是一句话木马就可以连接菜刀了。

总结

这一关利用的是由于验证代码中只验证了一次,造成我们可以双写进行绕过,就和之前点空格绕过一样,因为只验证一次,我们可以多写来绕过。此文章是小白自己为了巩固文件上传漏洞而写的,大佬路过请多指教!

无名小卒且不会安全的zzyyhh
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
upload-labs 上传训练
09-02
转自GitHub,是一个文件上传演练的靶场,练习文件上传思路轻松加愉快,附带源码查看,以及提示
Upload-labs通关手册.pdf
08-06
Upload-labs通关手册
upload-Labs靶场“11-15”关通关教程
最新发布
钟言的博客
03-04 6604
本篇为文件上传漏洞靶场的第11关到15关通关教程,详细内容包含了一、第十一关 %00截断GET上传 1、源码分析 2、%00截断GET上传 第十二关 %00截断POST上传 1、源码分析 2、%00截断POST上传-。第十三关 文件头检测绕过 1、源码分析 2、文件头检测绕过 四、第+四关 图片检测绕过上传 1、源码分析 2、图片马绕过上传五、第十五关 图片检测绕过上传 1、源码分析 2、图片马绕过上传等等内容
upload-labs靶场(11---20)通关攻略
Cobra的博客
09-13 1684
Pass-11-get 00截断绕过 1、直接上传.php文件,提示:只允许上传.jpg|.png|.gif类型文件! 2、查看源码,发现是白名单判断,但$img_path是直接拼接,因此可以利用%00截断绕过。 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext; 这里使用的是php5.2.17+Apache环境 截断条件:php版本小于5.3.4,php的magic_quotes_g.
upload-labs-master 文件上传 第十一和十二关
dd_c1d的博客
08-25 1818
继续! 第十一关(pass-11) 上源码! 大家可以看到这里有个str_ireplace()函数,详情可以自行百度,简单来说就是把黑名单里的内容给置换为""。注意这里不是空格!就是空!!就是什么都没有。我们先上传测试一下,方便大家理解。 我们直接复制图片地址,当然也可以看一下上传目录来判断。 发现后缀没了,那是因为原本的.php被str_ireplace()函数变为空了。 这里我们发现他的防护规则的的确生效了,但是有个致命的问题,和前面的关卡一样,没有循环!...
upload靶场第一-二十一关
..
11-19 4131
利用upload靶场第四关做apache 2.x解析漏洞复现 环境配置: 首先在phpstudy打开配置文件httpd-conf 打开文件找到下面这个地方,添加箭头所指的那句代码,环境就配置好了 apache 2.x解析漏洞原理: 操作: 先在记事本下 <?php phpinfo();?> 然后将文件重命名改成11.php.shtmlljjb(随便打,只要不认识就行) 在upload靶场中上传,复制图片链接,打开就看到执行成功了 up.
文件上传漏洞-uploadlabs靶场11~20关解析
黄乔国PHP
03-19 1122
在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器。
Upload LABS Pass-11
热门推荐
wangyuxiang946的博客
07-05 1万+
第十一关在服务端使用了白名单 , 但文件保存路径外漏 , 可以使用00截断 准备一个 11.php 文件 , 内容为一句话木马 <?php eval($_POST[-7]);?> 上传 11.php 文件 , 并使用代理( 此处使用 Burp Suite)拦截请求 修改路径,添加%00 , %00会被转译成00 , Windows解析到00会当成结束符而停止解析 比如 1.php%00.jpg 会被解析成 1.php ,%00后的内容不会解析 文件后缀修改...
Upload-labs靶场 01-11关攻略
weixin_51804748的博客
11-09 739
前言 文件上传漏洞靶场Upload-labs,在github上下载后部署在win10本地,测试环境使用Kali虚拟机 https://github.com/c0ny1/upload-labs Pass-01 首先尝试上传一句话木马up.php文件发现上传失败,并提示只允许.jpg|.png|.gif类型,但是我们的burp并没有抓到这个包,于是判断此处的限制为前端验证,我们直接查看源代码 将此处判断文件类型的语句修改,即可正常绕过前端验证 成功上传后界面出现了刚刚上传的图片,由于上传的是php文
upload-labs 1-11关 详解
qq_53409748的博客
02-27 252
upload-labs 靶场1-11关
upload-labs19-20以及总结1
08-08
第一步:直接上传php文件,保存名称填成PHP第二步:抓包分析可以看到filename是文件本来的名称,而save_name是传递的参数,此处改为PHP可以绕过
upload-labs-master.zip
06-22
文件上传漏洞小游戏靶场upload-labs-master/upload-labs-master/upload-labs-master/upload-labs-master
upload-labs通关手册
12-03
详细记录了upload-labs靶场的通关步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
安装upload-labs
10-22
安装upload-labs
upload-labs第11~12关 00截断
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-13 3445
第九关 文件名后缀改为php,并在后面加上. .(点+空格+点) 第十关 可以双绕过后缀改为pphphp 第十一关 查看提示: 可以用%00进行截断 前提条件: php 版本 < 5.3.4且php的参数magic_quotes_gpc必须关闭 因为上传的表单中有一个enctype的属性,并且需要enctype=“multipart/form-data” (不对表单中数据进行编码),path大多数都是存放在表单中的,因此需要在数据包中进行urldecode操作使%00变成字符串结束符号
文件上传:Upload靶场11到17关详解。
lxz021202的博客
01-04 501
web渗透测试之文件上传:Upload靶场11到17关。
upload-labs黑名单绕过通关(1-11关)
weixin_43509478的博客
10-22 460
方法二:str_ireplace函数只替换了一次关键字符,可以通过::$DATA双的方式,绕过上传检验,文件名+::$D::$DATAATA。在windows中文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀。看代码与前面几关对比,缺少删除.的函数,使用BP,上传图片马,修改为php.对比上一关,少了::$DATA过滤,上传图片马,改后缀加::$DATA上传。和第五关类似,就是禁止上传.user.ini文件。
upload-labs 1-21关通关思路教程
weixin_45612728的博客
06-15 1417
upload-labs新版1-21关的全部思路以及过关指引
upload-labs(11~12)通关笔记
Sheng_GuoFu的博客
12-12 520
在url中%00表示ascii码中的0,而0作为特殊字符保留,表示字符结束,也就是说,在保存文件的时候,如果路径参数(例:$img_path)中出现了%00,就会认为路径到这里就已经结束了,从而忽略后面一系列的参数,比如,此时,路径参数的后半部分就会被%00给截断,从而变成使用%00截断有两个要求:1、php的版本 < 5.3.42、php.ini中的magic_quotes_gpc的状态为Off。
upload-labs通关
05-12
5. 如果无法成功上传文件,可以尝试绕过后端的文件类型和文件名检测,如修改文件名后缀、使用特殊字符等。 6. 在挑战过程中,及时记录和总结遇到的问题和解决方案,有助于提高安全意识和漏洞挖掘能力。 7. 最后,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无名小卒且不会安全的zzyyhh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值