[网络安全]upload-labs Pass-20 解题详析

原创 已于 2024-07-30 17:57:06 修改 · 5.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全 #安全 #upload-labs #文件上传漏洞 #upload

于 2023-08-23 19:45:17 首次发布
文章讲述了如何在PHP环境中使用Antsword工具进行webshell上传,利用文件包含漏洞绕过安全限制实现命令执行的过程。详细解析了上传流程和安全策略的突破点。

读者可参考、订阅专栏:Upload-Labs靶场攻防实战

Antsword蚁剑

蚁剑工具的使用可参考:

[网络安全]AntSword(蚁剑)实战解题详析(入门)

[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集

姿势

后端逻辑代码:

<?php
include '../config.php';
include '../common.php';
include '../head.php';
include '../menu.php';

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        /*
        $file_name = trim($_POST['save_name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        */

        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

        if(!in_array($file_ext,$deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) { 
                $is_upload = true;
            }else{
                $msg = '上传出错!';
            }
        }else{
            $msg = '禁止保存为该类型文件!';
        }

    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}
?>

<div id="upload_panel">
    <ol>
        <li>
            <h3>任务</h3>
            <p>上传一个<code>webshell</code>到服务器。</p>
        </li>
        <li>
            <h3>上传区</h3>
            <form enctype="multipart/form-data" method="post">
                <p>请选择要上传的图片:<p>
                <input class="input_file" type="file" name="upload_file"/>
                <p>保存名称:<p>
                <input class="input_text" type="text" name="save_name" value="upload-19.jpg" /><br/>
                <input class="button" type="submit" name="submit" value="上传"/>
            </form>
            <div id="msg">
                <?php 
                    if($msg != null){
                        echo "提示:".$msg;
                    }
                ?>
            </div>
            <div id="img">
                <?php
                    if($is_upload){
                        echo '<img src="'.$img_path.'" width="250px" />';
                    }
                ?>
            </div>
        </li>
        <?php 
            if($_GET['action'] == "show_code"){
                include 'show_code.php';
            }
        ?>
    </ol>
</div>

<?php
include '../footer.php';
?>

简单来说,定义了一个黑名单,接着使用move_uploaded_file函数将临时上传文件移动到指定的目标路径

由于move_uploaded_file函数会忽略掉文件末尾的 /.

因此当我们上传shell.php/.时,既能绕过黑名单,又能在移动路径时变为shell.php,达到命令执行的目的。

在这里插入图片描述

接着上传:

在这里插入图片描述

抓包:

在这里插入图片描述

改包:

在这里插入图片描述

放包:

在这里插入图片描述

利用靶场提供的文件包含漏洞:

在这里插入图片描述

成功实现命令执行:

在这里插入图片描述

网络安全 | CTF】攻防世界 upload1 解题
等风来
05-24 6736
其中用到了 JavaScript 中的 Array 原型对象和条件判断语句。该代码通过扩展 Array 原型对象添加了一个名为 contains 的函数,用于判断一个对象是否在数组中,主要应用于判断上传文件的扩展名是否属于指定的图片格式,这里是 [‘jpg’,‘png’]这段代码的作用是检查上传文件的扩展名是否符合要求,如果是图片格式(jpg或png),则启用提交按钮,否则禁用提交按钮并弹出提示消息。上传时抓包,修改filename文件后缀为。考察文件上传,具体原理及姿势不再赘述。
网络安全upload-labs Pass-19 解题
等风来
08-23 5920
本文介绍了如何通过修改myupload.php文件中的代码,利用图片码绕过文件上传限制,上传含有eval代码的GIF文件,并通过文件包含功能点实现命令执行。文章细描述了上传过程、获取图片路径、利用文件包含功能点执行命令的步骤,并提供了POC示例。此外,文章还提到可以通过条件竞争的方式完成该任务,并提供了相关参考链接。读者可参考相关专栏和文章,进一步学习网络安全攻防实战技巧。
网络安全upload-labs Pass-14 解题
等风来
08-16 6027
可知其检测了文件头信息,此时仅抓包修改文件后缀名不可绕过。将1.php与1.png合并为shell.php即可。需写出文件所在路径及期望得到的文件路径。故文件包含、传参执行命令成功。成功得到shell.png。
网络安全upload-labs Pass-18 解题
等风来
08-23 5972
作用为:fopen(“info.php”, “w”) 使用写入模式(w)打开了一个名为 info.php 的文件,然后,fputs() 函数将 <?> 写入到打开的文件中。的原理类似,我们可以在上传文件的一瞬间访问该文件,这样文件就无法被过滤及二次渲染。但利用条件竞争时,需要快速进行访问,而手工较慢,因此需要写特定的脚本进行访问或上传。可以知道,后端逻辑代码先上传文件,再进行过滤及二次渲染。说明info.php成功生成,同时该文件包含一句话木马。在点击开始攻击的一瞬间,访问目标文件路径。
网络安全upload-labs Pass-15 解题
等风来
08-16 5680
使用getimagesize()函数获取图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度,并将其取出的文件类型信息$info[2]与文件后缀白名单进行对比,判断上传的文件是否合法,并将info[2]作为上传后的文件的后缀名。其它操作同Pass-14,本文不再赘述。于是我们仍可以使用图片码上传。
[网络安全]upload-labs Pass-06 解题
等风来
08-14 5719
由于PHPStudy中apache 2.4.39连接报错,可切换为nginx 1.15.11。本关并未使用strtolower函数对文件名进行大小写过滤,故可抓包进行大小写绕过。接着打开图片链接可得到文件上传URL。将.php改为.Php。
网络安全upload-labs Pass-03 解题
等风来
08-14 5743
故可使用其它后缀名绕过,如php3、php4、phtml。代码审计可知普通的文件名被加入黑名单。
网络安全upload-labs Pass-17 解题
等风来
08-18 6627
由于二次渲染后图片中的部分数据会被修改,即(A,B,C)可能会被修改为(A,D,E),那么对于此限制,我们可以找到不被修改的。imagecreatefrompng是PHP中的一个函数,用于创建一个新的图像资源对象,并从PNG格式的图像文件中读取数据。,因为它不被过滤,因此我们将A修改为注入语句,此时语句不会被过滤,从而达到命令执行的目的。可以看到自00000190后,数据被二次渲染,也就是说在该行之前的数据是不会被渲染的。
网络安全upload-labs Pass-04 解题
等风来
08-14 5840
htaccess(Hypertext Access)是一个用于配置Apache服务器行为的配置文件。它通常位于网站的根目录或特定目录中,并用来控制目录下的文件访问权限、重定向、错误处理、认证等方面的设置。当服务器收到对"asdfg.jpg"文件的请求时,根据该指令,服务器会将其当作PHP脚本来处理,而不是直接将其作为静态图片返回给用户。这段代码是使用.htaccess文件的FilesMatch指令来对特定的文件进行处理。因此我们可以上传.htaccess文件,实现能够访问脚本文件、执行脚本即可。
[网络安全]upload-labs Pass-07 解题
等风来
08-14 5705
接着放包、复制文件上传路径、连接蚁剑即可。
[网络安全]upload-labs Pass-08 解题
等风来
08-15 5624
接着放包、复制文件上传路径、连接蚁剑即可。本文不再赘述。
[网络安全]upload-labs Pass-18 解题_upload-labs18关条件竞争
2401_84972676的博客
05-13 667
创建一个允许上传的文件扩展名数组$ext_arr,包括了允许上传的图片类型(jpg、png、gif)。根据定义的上传路径UPLOAD_PATH和文件名生成待存储的文件路径$upload_file。在移动成功的情况下,使用in_array函数检查文件扩展名是否在允许上传的类型数组中。如果文件扩展名不在允许上传的类型数组中,记录错误信息$msg,并删除已上传的文件。如果有,则开始处理文件上传。如果文件扩展名在允许上传的类型数组中,生成一个随机的文件名。msg为空,来初始化文件上传的状态和错误信息。
[网络安全]upload-labs Pass-14 解题_upload-labs-linux pass14(1)
2401_84972580的博客
05-13 532
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
[网络安全]upload-labs Pass-20 解题(1)
2401_84972726的博客
05-13 511
} ?>上传一个到服务器。请选择要上传的图片: 保存名称:
[网络安全]upload-labs Pass-17 解题
2401_84972648的博客
05-13 414
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Web安全之SQL注入-CSRF-XSS
最新发布
AI大模型/Python/Java/MySQL技术栈,快来和我一起学习吧 ~
12-29 639
攻击者通过在用户输入中嵌入恶意 SQL 片段,绕过应用逻辑,直接操作数据库。 示例(危险代码): → 可导致:数据泄露、删除表、提权、远程命令执行(如 PostgreSQL 的 COPY TO)攻击者诱导已登录用户访问恶意网站,该网站自动向目标站点(如银行)发起带 Cookie 的请求(如转账),利用用户身份执行非意愿操作。 前提:用户已登录目标站 + 请求无二次验证。攻击者将恶意脚本(JavaScript)注入网页,当其他用户浏览时执行,窃取 Cookie、会话、钓鱼等。 分类:示例:
【小迪安全web安全|渗透测试|网络安全|SRC挖掘|学习笔记|2021|
weixin_45635831的博客
12-25 619
批量挖掘流程:FOFA收集目标(50万+域名)xray批量扫描(万分之一命中率)人工验证漏洞真实性提交漏洞平台源码审计优势:能深度分算法逻辑和安全机制黑盒测试要点:常规漏洞扫描JS接口探测三方组件分经济因素考量:部分售卖系统可能需要购买授权才能获取测试权限开发语言特征:JAVA开发系统常将核心部分封装到dll或jar文件中反编译工具:使用dnSpy等工具对编译文件进行反编译分
计算机网络 (郑烇) 8 网络安全
qq_44845100的博客
12-28 101
第2天:基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器|小迪安全笔记|网络安全|
weixin_45635831的博客
12-28 626
26:07。
upload-labs pass21
07-20
upload-labs 项目中,Pass-21 的解题思路主要围绕文件上传时的 **MIME 类型验证绕过** 和 **文件名解漏洞利用**。虽然未在提供的引用中直接提及 Pass-21 的具体细节,但根据 upload-labs 系列的常见设计逻辑,...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值