Upload-Labs靶场攻防实战
关注
分享
扫一扫
文章平均质量分 61
在Upload-Labs中,存在多种常见的上传漏洞,该专栏帮助读者学会如何识别和利用文件上传、文件类型绕过、目录遍历等漏洞,获取对系统的非法访问权限,并通过编写和运行代码注入、文件包含等攻击向量实现远程执行。
秋说
欢迎订阅优质入门专栏 1、网络安全新手快速入门(附漏洞挖掘案例) 2、BurpSuite入门教程(附实战图文) 3、CTF新手入门实战教程 4、网安渗透工具使用教程(全) 5、前后端项目开发(新手必知必会) | 商务合作、项目毕设、产品推广可私信
展开
-
[网络安全]upload-labs Pass-21 解题详析
将文件名按照点号进行拆分。拆分后的结果是一个包含文件名和文件后缀的数组。如果不是数组类型,则使用。函数将文件后缀转换为小写字母。原创 2023-08-23 21:24:28 · 5662 阅读 · 0 评论 -
[网络安全]upload-labs Pass-19 解题详析
该题也可使用条件竞争来完成。原创 2023-08-23 20:59:59 · 5814 阅读 · 1 评论 -
[网络安全]upload-labs Pass-20 解题详析
读者可参考、订阅专栏:Upload-Labs靶场攻防实战蚁剑工具的使用可参考:[网络安全]AntSword(蚁剑)实战解题详析(入门)[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集后端逻辑代码:简单来说,定义了一个黑名单,接着使用move_uploaded_file函数将临时上传文件移动到指定的目标路径由于move_uploaded_file函数会忽略掉文件末尾的 /.因此当我们上传shell.php/.时,既能绕过黑名单,又能在移动路径时变为shell.ph原创 2023-08-23 19:45:17 · 5551 阅读 · 1 评论 -
[网络安全]upload-labs Pass-18 解题详析
作用为:fopen(“info.php”, “w”) 使用写入模式(w)打开了一个名为 info.php 的文件,然后,fputs() 函数将 写入到打开的文件中。的原理类似,我们可以在上传文件的一瞬间访问该文件,这样的话,文件就无法被过滤及二次渲染。如果状态码为 200,则输出 “OK” 并跳出循环;否则输出 “DOWN”可以知道,后端逻辑代码先上传文件,再进行过滤及二次渲染。说明info.php成功生成,同时该文件包含一句话木马。在点击开始攻击的一瞬间,访问目标文件路径,如。原创 2023-08-23 19:17:20 · 5815 阅读 · 0 评论 -
【网络安全】upload-labs Pass-17 解题详析
由于二次渲染后图片中的部分数据会被修改,即(A,B,C)可能会被修改为(A,D,E),那么对于此限制,我们可以找到不被修改的。imagecreatefrompng是PHP中的一个函数,用于创建一个新的图像资源对象,并从PNG格式的图像文件中读取数据。,因为它不被过滤,因此我们将A修改为注入语句,此时语句不会被过滤,从而达到命令执行的目的。可以看到自00000190后,数据被二次渲染,也就是说在该行之前的数据是不会被渲染的。原创 2023-08-18 20:23:41 · 6240 阅读 · 0 评论 -
[网络安全]upload-labs Pass-16 解题详析
源代码中使用到了exif_imagetype()函数,其用于读取图像的第一个字节并检查其签名。故进入phpstudy的网站、管理、php扩展中修改即可。故仍可使用图片码绕过,本文不再赘述。提示需要开启php_exif模块。原创 2023-08-16 09:38:04 · 5651 阅读 · 0 评论 -
[网络安全]upload-labs Pass-15 解题详析
使用getimagesize()函数获取图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度,并将其取出的文件类型信息$info[2]与文件后缀白名单进行对比,判断上传的文件是否合法,并将info[2]作为上传后的文件的后缀名。其它操作同Pass-14,本文不再赘述。于是我们仍可以使用图片码上传。原创 2023-08-16 09:27:27 · 5569 阅读 · 0 评论 -
【网络安全】upload-labs Pass-14 解题详析
可知其检测了文件头信息,此时仅抓包修改文件后缀名不可绕过。将1.php与1.png合并为shell.php即可。需写出文件所在路径及期望得到的文件路径。故文件包含、传参执行命令成功。成功得到shell.png。原创 2023-08-16 08:44:17 · 5869 阅读 · 0 评论 -
[网络安全]upload-labs Pass-11 解题详析
代码仅对文件名进行过滤,故抓包修改文件后缀即可。原创 2023-08-15 16:20:35 · 5562 阅读 · 0 评论 -
[网络安全]upload-labs Pass-13 解题详析
该题同Pass-12考察00截断,但为POST传参型。之后即可进行shell操作,本文不再赘述。接着将%00进行URL编码。原创 2023-08-15 09:29:09 · 5653 阅读 · 0 评论 -
[网络安全]upload-labs Pass-12 解题详析
00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。:定义允许上传的文件扩展名数组,只允许上传 jpg、png 和 gif 文件。因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。函数从最后一个点(.)之后截取字符串,即获取文件扩展名。:检查文件扩展名是否在允许上传的扩展名数组中。:从上传的文件名中提取文件扩展名。原创 2023-08-15 09:15:50 · 5645 阅读 · 0 评论 -
[网络安全]upload-labs Pass-10 解题详析
函数将文件扩展名中的字符串"::$DATA"替换为空,即去除该字符串。函数获取文件名中最后一个点(.)及其后面的部分,即文件的扩展名。这段代码是用于处理上传文件的文件名和文件扩展名。函数去除文件扩展名字符串首尾可能存在的空格。:从上传的文件中获取文件名,并使用。函数,将文件名末尾的点(.)删除。函数去除首尾可能存在的空格。函数将文件扩展名转换为小写。故上传的文件后缀名为。原创 2023-08-15 08:43:32 · 5533 阅读 · 0 评论 -
[网络安全]upload-labs Pass-09 解题详析
抓包后在文件名后缀添加::$DATA。原创 2023-08-15 08:25:05 · 5533 阅读 · 0 评论 -
[网络安全]upload-labs Pass-08 解题详析
接着放包、复制文件上传路径、连接蚁剑即可。本文不再赘述。原创 2023-08-15 08:14:03 · 5561 阅读 · 0 评论 -
[网络安全]upload-labs Pass-07 解题详析
接着放包、复制文件上传路径、连接蚁剑即可。原创 2023-08-14 20:01:01 · 5621 阅读 · 0 评论 -
[网络安全]upload-labs Pass-06 解题详析
由于PHPStudy中apache 2.4.39连接报错,可切换为nginx 1.15.11。本关并未使用strtolower函数对文件名进行大小写过滤,故可抓包进行大小写绕过。接着打开图片链接可得到文件上传URL。将.php改为.Php。原创 2023-08-14 19:47:31 · 5652 阅读 · 0 评论 -
[网络安全]upload-labs Pass-05 解题详析
由代码审计可知,对于上传的文件名,先删除文件名末尾的点,然后首位去空,因此我们可构造。可知,不能使用Pass-04的解题方法进行.htaccess文件绕过。原创 2023-08-14 18:27:41 · 5614 阅读 · 0 评论 -
[网络安全]upload-labs Pass-04 解题详析
htaccess(Hypertext Access)是一个用于配置Apache服务器行为的配置文件。它通常位于网站的根目录或特定目录中,并用来控制目录下的文件访问权限、重定向、错误处理、认证等方面的设置。当服务器收到对"asdfg.jpg"文件的请求时,根据该指令,服务器会将其当作PHP脚本来处理,而不是直接将其作为静态图片返回给用户。这段代码是使用.htaccess文件的FilesMatch指令来对特定的文件进行处理。因此我们可以上传.htaccess文件,实现能够访问脚本文件、执行脚本即可。原创 2023-08-14 17:53:28 · 5722 阅读 · 0 评论 -
【网络安全】upload-labs Pass-03 解题详析
故可使用其它后缀名绕过,如php3、php4、phtml。代码审计可知普通的文件名被加入黑名单。原创 2023-08-14 17:14:43 · 5677 阅读 · 1 评论 -
[网络安全]upload-labs Pass-02 解题详析
可使用Pass-01的方法。原创 2023-08-14 17:14:07 · 5551 阅读 · 0 评论 -
[网络安全]upload-labs Pass-01 解题详析
明显的是,我们可以访问该文件,故文件上传成功。原创 2023-08-14 17:13:40 · 5662 阅读 · 1 评论