【网络安全】upload-labs Pass-16 解题详析

原创 已于 2025-05-12 21:32:48 修改 · 5.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #upload #文件上传漏洞 #upload-labs

于 2023-08-16 09:38:04 首次发布
博客围绕Upload-Labs靶场攻防实战展开,涉及Antsword蚁剑工具的利用,给出相关参考文章。还介绍后端逻辑代码,提示开启php_exif模块,提到源代码用exif_imagetype()函数,可使用图片码绕过,给出详情参考文章。

文章目录

读者可参考、订阅专栏:【Upload-Labs靶场攻防实战】

Antsword蚁剑

该题涉及蚁剑工具的利用,操作可参考:

【网络安全】AntSword(蚁剑)实战解题详析(入门)

【网络安全】DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集

正文

后端逻辑代码:

<?php
include '../config.php';
include '../head.php';
include '../menu.php';

function isImage($filename){
    //需要开启php_exif模块
    $image_type = exif_imagetype($filename);
    switch ($image_type) {
        case IMAGETYPE_GIF:
            return "gif";
            break;
        case IMAGETYPE_JPEG:
            return "jpg";
            break;
        case IMAGETYPE_PNG:
            return "png";
            break;    
        default:
            return false;
            break;
    }
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $res = isImage($temp_file);
    if(!$res){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}
?>

<div id="upload_panel">
    <ol>
        <li>
            <h3>任务</h3>
            <p>上传<code>图片马</code>到服务器。</p>
            <p>注意:</p>
            <p>1.保证上传后的图片马中仍然包含完整的<code>一句话</code><code>webshell</code>代码。</p>
            <p>2.使用<a href="<?php echo INC_VUL_PATH;?>" target="_bank">文件包含漏洞</a>能运行图片马中的恶意代码。</p>
            <p>3.图片马要<code>.jpg</code>,<code>.png</code>,<code>.gif</code>三种后缀都上传成功才算过关!</p>
        </li>
        <li>
            <h3>上传区</h3>
            <form enctype="multipart/form-data" method="post">
                <p>请选择要上传的图片:<p>
                <input class="input_file" type="file" name="upload_file"/>
                <input class="button" type="submit" name="submit" value="上传"/>
            </form>
            <div id="msg">
                <?php 
                    if($msg != null){
                        echo "提示:".$msg;
                    }
                ?>
            </div>
            <div id="img">
                <?php
                    if($is_upload){
                        echo '<img src="'.$img_path.'" width="250px" />';
                    }
                ?>
            </div>
        </li>
        <?php 
            if($_GET['action'] == "show_code"){
                include 'show_code.php';
            }
        ?>
    </ol>
</div>

<?php
include '../footer.php';
?>

提示需要开启php_exif模块

故进入phpstudy的网站、管理、php扩展中修改即可

在这里插入图片描述

源代码中使用到了exif_imagetype()函数,其用于读取图像的第一个字节并检查其签名

故仍可使用图片码绕过,本文不再赘述

详情参考:【网络安全】upload-labs Pass-14 解题详析

Upload-Labs(16)
Braindance
02-28 485
前言 ​ 我在这道题上花了快一天的时间,但是也学到了不少姿势,觉得东西应该足够多,而且参考了的博客发现这道题算是有歧义的,不知道作者想要考察的点是哪一个,所以算是有两种解法吧,可惜的是两种方法都不算是大成功,只有部分成功执行了。 ​ 参考博客:upload-labspass 16细分 Pass-16 ​ 源码(三种图片的判定,只贴一个吧,篇幅小一点): $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上传.
文件上传漏洞靶场upload-labs学习(pass16-pass21)
AFCC_的博客(Web_Dog)
03-19 4538
Upload-Labs关卡0x00 Pass16(exif_imagetype函数绕过)环境准备exif_imagetype函数0x01 Pass17(二次渲染绕过)move_uploaded_file函数imagecreatefromjpeg、imagecreatefrompng、imagecreatefromgif函数imagejpeg、imagepng、imagegif函数过关思路GIF文件插入payloadpng、jpg文件插入payload0x02 Pass18(条件竞争绕过)抓取上传数据包抓取访
文件上传漏洞——upload-labs 1-19 (解)
m0_62879498的博客
02-19 7848
upload-labs-1 删除 js 进行绕过 上传图片,发现上传成功 上传 shell 发现: 发现是白名单,所以由前面我们知道,极有可能在前端存在过滤,我们检查一下: 发现 checkFile() 起到了检查过滤的效果,我们将其删去并提交 发现: 然后用中国以蚁剑 进行链接 发现成功 发现成功 同时我们发现仅仅在前端进行过滤是远远不够的,我们可以轻易的删去,所以除了前端,后端也必须进行校验 如果我们在使用蚁剑发现了返回值为说明一句话木马语法错误,如果我们发现返回值是一串乱码 则是链接地址
upload-labs pass-16
weixin_54347738的博客
09-05 359
建议将文件都写在D盘下,否则后面会因为权限问题无法再16进制编辑器中修改文件字段。
upload-labs16关(判断照片后二次渲染)
qq_44133136的博客
10-25 2755
upload-labs16-解(判断是否为照片后进行二次渲染) 首先看一下源码 首先我们像前面关卡一样,上传图片马,按照我们的习惯,将会在图片的尾部,写入php一句话木马,然后用菜刀或者蚁剑连接,我们先按照此方法进行试验 (1)上传图片马 (2)用burp拦截,拦截到上传的包 (3)在图片尾部插入一句话木马,密码是123 <?php @eval($_POST[123]); ?> 放包上传 (4)将图片地址复制下来,用菜刀连接,密码设置的是123 发现连接失败 原因是照片上传后
[网络安全]upload-labs Pass-18 解题_upload-labs18关条件竞争
2401_84972676的博客
05-13 666
创建一个允许上传的文件扩展名数组$ext_arr,包括了允许上传的图片类型(jpg、png、gif)。根据定义的上传路径UPLOAD_PATH和文件名生成待存储的文件路径$upload_file。在移动成功的情况下,使用in_array函数检查文件扩展名是否在允许上传的类型数组中。如果文件扩展名不在允许上传的类型数组中,记录错误信息$msg,并删除已上传的文件。如果有,则开始处理文件上传。如果文件扩展名在允许上传的类型数组中,生成一个随机的文件名。msg为,来初始化文件上传的状态和错误信息。
[网络安全]upload-labs Pass-14 解题_upload-labs-linux pass14(1)
2401_84972580的博客
05-13 532
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
精选资源
安装upload-labs
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
[网络安全]upload-labs Pass-17 解题
2401_84972648的博客
05-13 414
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
upload-labs Pass-08
wanggonghanfei的博客
10-21 499
利用这一点,我们可以上传我们的shell,然后抓包,在包中修改文件后缀添加一个点,来达到绕过。在windows环境下,假设我们新建一个1.php文件,然后在文件后缀加一个。windows会默认去掉那个点,变成1.php。file_name);//删除文件名末尾的点。发现相较于之前关卡,缺少了。
【CTF Web】BUUCTF Upload-Labs-Linux Pass-16 Writeup(文件上传+PHP+文件包含漏洞+GIF图片马+二次渲染绕过)
HEX9CF的技术博客
09-10 1545
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。
16.上传绕过
weixin_34326558的博客
07-31 108
题名很直接,就知道是上传通过了:首先,我们先随便上传应该PHP一句话过去试一试果然没那么简单。。。那么我们就按部就班的来,给他在加应该后缀变成了图片上传试一试发现还要PHP后缀,我们尝试抓包00截断来绕过发现这里没成功,如何尝试伪造路径截断成功!00截断不懂的同学,...
upload-labs】————17、Pass-16
Fly_鹏程万里
08-15 486
查看源代码 $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径 $filename = $_FILES['upload_file']['name']; $filetype = $_FILES['upload_file']['typ...
upload-labs通关(Pass16-Pass21)
m0_46467017的博客
08-15 860
2.上传write.php,burp抓包,send to intruder,和上一关一样,positions设置中,不要设置任何注入点,payloads设置中payload type选择null payloads,payload options中genete后面的格中填写需要发送多少次报文,我这次设置的是10000。然后取数组$file的最后一个元素,与后缀白名单对比,如果不在白名单中,则禁止上传,如果在白名单中,则允许上传,并且文件保存在服务器上的名称为$file[0].$file[元素个数-1]...
文件上传之图片码混淆绕过(upload16,17关)
xk2844600795的博客
09-10 1085
imagecreatefromxxxx函数把图片内容打散,,但是不会影响图片正常显示首先copy命令生成图片马上传之后再在服务器上下载下来,然后使用010editor进行比较,哪些内容没有被混淆,我们就可以把木马写在没有被混淆的内容里然后直接文件包含,包含图片内的php代码。
upload-labs11-16
qq_46527080的博客
12-25 553
第十一关(双写) 源码分 他这个是直接将上边数组存在的后缀名替换为了,所以我们可以双写上传 抓包防包 发现上传成功了 第十二关(get型%00截断) 源码分 白名单机制,但是$img_path直接拼接,因此可以利用%00截断绕过。 可以使用00截断,php后格十六进制的20改为00 条件:php版本小于5.3.4 2、php.ini的magic_quotes_gpc为OFF状态 知识点:这里利用的是00截断。move_uploaded_file函数的底层实现类似于C语言,遇到0x00会截断。 抓包分
蚁剑返回数据为的几种原因
热门推荐
m0_73581247的博客
03-13 2万+
今天连接蚁剑死活连不上到头来发现post没有大写。1,可能是post没有大小写,中国蚁剑返回数据为,2,看防火墙有没有关,3,代理是不是手动。
upload-labs通关总结 | 那些年踩过的坑
m0_56691564的博客
10-31 1683
本文就是简单总结一下upload-lab通关方法和踩过的坑,参考的通关教程放在文末,需要的小伙伴去看~
upload-labs靶场攻略(pass1-16
Kiber
04-19 1336
参考官方即可:upload-labs靶场下载地址:https://github.com/c0ny1/upload-labs1、可以绕过目标服务器的检测,成功上传。2、可以获取到木马文件的存储路径,存储路程具备可执行权限。准备一个webshell.php脚本文件, 是一个简单的一句话木马 将脚本文件上传, 结果直接被网站拦截掉了第一种方法:第一就是将浏览器js代码禁用掉,右键---检查---调试器---设置---禁用JavaScript。上传webshell文件。鼠标右键查看该图像的地址, 即为webs
upload-labs pass21
最新发布
07-20
upload-labs 项目中,Pass-21 的解题思路主要围绕文件上传时的 **MIME 类型验证绕过** 和 **文件名解漏洞利用**。虽然未在提供的引用中直接提及 Pass-21 的具体细节,但根据 upload-labs 系列的常见设计逻辑,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值