web张嘉玮 writeup
注意:本人关卡后面似乎相比正常的关卡少了一关,所以每次关卡名字都是+1才可以和正常关卡在同一关
一.个人信息
个人名称:张嘉玮
二.解题情况
三.解题过程
题目:up load labs靶场
pass 1前后端
思路及解题:先验证合法性是前端还是后端
题目中的提交限制必须为jpg等类型,需要判断这个提交是前端还是后端验证的,所以直接先上传一个不符合格式的文件(php类型的一句话木马),再启用抓包 看是否有抓到什么请求,结果是没有,所以是前端验证。因此我直接将php文件类型重命名为jpg类型,提交文件前先抓包拦,再改变其中文件类型php为jpg,再forward,此时我已将木马发送到其内部,之后在下方图片中右键点击新标签页中打开图片,复制域名,打开蚁剑,右击添加数据,粘贴域名到url并且输入密码a,点击测试连接观察是否通过,若通过再添加,此时便可以控制对方了。
一句话木马
<span style="background-color:#333333"><span style="color:#b8bfc6"><span style="color:#b8bfc6"><?</span><span style="color:#b8bfc6">php</span>
<span style="color:#b8bfc6">@eval</span>(<span style="color:#9fbad5">$_POST_</span>[<span style="color:#d26b6b">'a'</span>]);
<span style="color:#b8bfc6">?></span>
</span></span>pass 2前后端
1.思路:仍然是先看合法性是前端还是后端
先上传一个jpg看到上传成功。所以不是前端,再上传一个php结果文件传输错误,但它让上传的就是php,所以我继续先上传jpg,burp拦截后找到其中的Content-Type:image/jpeg然后删掉再forward,发现文件传输错误,所以它是通过content-type验证合法性的,之后我再上传一个php,拦截,将content-type:application/octet-stream改为**image/jpeg之后forward则发送成功,蚁剑中添加数据后查看是否成功
pass 3文件名加数字
(此题验证方式为黑名单,大部分网站是白名单)
思路及做法:查看源代码后发现其限制了php文件 但存在漏洞,未限制php3,4等格式;
所以直接将文件后缀名改为.php3等类型
pass4配置文件
思路及做法:1.查看源码,发现其已限制大多数文件类型,但是有一个明显的漏洞,没有限制htacess文件,所以直接将文件后缀名改为.htacess就行了。
AddType application/x-httpd-php .jpg.txt意思就是将txt和.jpg文件当作php文件解析
2.所以接下来直接上传一个jpg文件类型的一句话木马就可以搞定了,再连接蚁剑测试是否成功.
补充文件后缀名字
.htaccess
叫分布式配置文件 作用于网站根目录及其子目录 修改后立刻生效 可覆盖httod-conf
httpd -conf
(先加载)
包含apache http 作用于整个服务器 优先级低,需管理员权限 ,且重启服务器才可以生效
.user.ini
作用于用户或特定目录的配置文件,,可覆盖或追加配置选项,在web应用程序根目录下,可覆盖php.ini,追加全职配置文件
php.ini
(先加载)
作用是存储了对整个php环境生效的配置选项,通常位于php安装目录之下,优先级较低,需管理员权限和重启web服务器
pass5配置文件
思路和做法:
仍然是有黑名单,限制了.htaccess,但是未限制.user.ini的,因为.user,.ini优先级程度高,可以覆盖掉php.ini,所以不限制的危害较大
<span style="background-color:#333333"><span style="color:#b8bfc6"><span style="color:#b8bfc6">Auto</span><span style="color:#b8bfc6">-</span><span style="color:#b8bfc6">prepend</span><span style="color:#b8bfc6">-</span><span style="color:#f3b3f8">file</span><span style="color:#b8bfc6">=</span><span style="color:#b8bfc6">index</span>(<span style="color:#64ab8f">2</span>).<span style="color:#b8bfc6">txt</span> <span style="color:#da924a">//此文件中有木马</span>
<span style="color:#da924a">//自动包含所有文件 用index(2).txt包含</span></span></span>所以先上传一个.user.ini的文件 再上传对应的php改为jpg后的文件 ,通过蚁剑连接,就可以
法二: 思路: 由于题目中检查文件名后缀的源代码并未选择循环结构,因此后缀名.php 后直接加.空格.就可以在其检查后正好剩一个.php.正好运行(windows操作系统下会将最后一个点删除,使得文件仍然可以运行,所以蚁剑连接时直接输入.php就可以了。
pass6大写
思路:题目黑名单源代码中明显没有限制pHp,PHP等大写形式的后缀名,所以直接在bp中拦截之后更改Content后面的后缀名就可以了,之后蚁剑连接看有没有成功
pass7空格
思路:题目黑名单源代码未限制首位去空,借此绕过黑名单。并且我windows系统下就算给文件后缀名加了点系统也会自动删除,所以可以正常运行。
pass8 .
思路:题目黑名单源代码中少了del的自动删除.,(删除方式是从右边往左边删,遇到空格就会停止)因此直接bp更改Content下的文件后缀名就可以了,注意蚁剑搭建url时将最后的.删除,因为windows下会自动删除多余的点.
补充额外数据流
格式: ""::$DATA" 即表示一个附加数据流 它不是一个文件 所以不会验证文件后缀.
作用:和例如打开txt文件后直接就可以看见的文字信息,也叫默认数据流不同,其可以存储文件的元数据,标签,备份等,想要访问需要特殊命令
导入方式:
-
echo 内容 >>文件名:数据流名
访问 Notepad 文件名:数据流名
-
type 文件名>>文件名.数据流名
pass9::$DATA
思路:题目黑名单中缺少了对::$DATA的限制,这不是一个文件,是一个额外数据包,因此黑名单不会检查它,通过这个bug直接绕过,之后新建标签页打开后将url里的::$DATA删除就可以访问了
pass10. .
思路:删除点与空格的源代码中没有添加循环 ,所以直接.空格 .解决
pass10双写后缀绕过
<span style="background-color:#333333"><span style="color:#b8bfc6"><span style="color:#9fbad5">$file_name</span> <span style="color:#b8bfc6">=</span> <span style="color:#b8bfc6">str_ireplace</span>(<span style="color:#9fbad5">$deny_ext</span>,<span style="color:#d26b6b">""</span>, <span style="color:#9fbad5">$file_name</span>);</span></span>意思是deny---会将$file_name路径下的之前黑名单的文件全部变成' ',也就是删除他们 顺序是从左边往右边删(没有循环的条件下只循环一下
补充空字符
格式:0x00 顺序从左到右(在编程语言使用 || %00(在url中使用)
pass11%00截断(php<5.3.29)
思路:观察源代码发现其用白名单过滤
<span style="background-color:#333333"><span style="color:#b8bfc6"> <span style="color:#9fbad5">$ext_arr</span> <span style="color:#b8bfc6">=</span> <span style="color:#c88fd0">array</span>(<span style="color:#d26b6b">'jpg'</span>,<span style="color:#d26b6b">'png'</span>,<span style="color:#d26b6b">'gif'</span>);</span></span><span style="background-color:#333333"><span style="color:#b8bfc6"> <span style="color:#9fbad5">$file_ext</span> <span style="color:#b8bfc6">=</span> <span style="color:#f3b3f8">substr</span>(<span style="color:#9fbad5">$_FILES</span>[<span style="color:#d26b6b">'upload_file'</span>][<span style="color:#d26b6b">'name'</span>], <span style="color:#f3b3f8">strrpos</span>(<span style="color:#9fbad5">$_FILES</span>[<span style="color:#d26b6b">'upload_file'</span>][<span style="color:#d26b6b">'name'</span>],<span style="color:#d26b6b">"."</span>)<span style="color:#b8bfc6">+</span><span style="color:#64ab8f">1</span>)</span></span>逗号前 是获取文件 也就是从哪里获取:逗号后 是在几位 ;(点在这个里面最后出现是出现在了第几位)(从左到右)
php上传先先把文件放在临时路径当中,再移动到指定位置
漏洞在于通过GET['save_path'].来拼接组成上传的文件路径 而这个get传参是我们可以控制的地方
操作:
改为
%00是空字符(NULL字符)的URL编码,它在某些情况下可能被用于截断字符串或绕过安全措施
(后面的http1.1是个http协议)
pass12
思路:大致和12关一样
将空格改成右边框中hex(16进制)形式---->00
补充图片字符标识
-
jpeg/jfif 头字节0xff 0xd8
-
png(无损压缩形式) 0x89 0x50
-
gif 0x47 0x47 0x49
-
bmp(windows位图) 0x42 0x4d
-
tuff(标签图片格式) 可是不同的d
pass13修改前两个字节
思路及做法:
观察题目源代码,发现其有判断语句判断(读取文件的前两个字节)转化为10进制再判断.
<span style="background-color:#333333"><span style="color:#b8bfc6"> <span style="color:#c88fd0">switch</span>(<span style="color:#9fbad5">$typeCode</span>){
<span style="color:#c88fd0">case</span> <span style="color:#64ab8f">255216</span>:
<span style="color:#9fbad5">$fileType</span> <span style="color:#b8bfc6">=</span> <span style="color:#d26b6b">'jpg'</span>; <span style="color:#da924a">//十进制</span>
<span style="color:#c88fd0">break</span>;
<span style="color:#c88fd0">case</span> <span style="color:#64ab8f">13780</span>:
<span style="color:#9fbad5">$fileType</span> <span style="color:#b8bfc6">=</span> <span style="color:#d26b6b">'png'</span>;
<span style="color:#c88fd0">break</span>;
<span style="color:#c88fd0">case</span> <span style="color:#64ab8f">7173</span>:
<span style="color:#9fbad5">$fileType</span> <span style="color:#b8bfc6">=</span> <span style="color:#d26b6b">'gif'</span>;
<span style="color:#c88fd0">break</span>;
<span style="color:#c88fd0">default</span>:
<span style="color:#9fbad5">$fileType</span> <span style="color:#b8bfc6">=</span> <span style="color:#d26b6b">'unknown'</span>;
}
<span style="color:#c88fd0">return</span> <span style="color:#9fbad5">$fileType</span>;</span></span>代码通过读为图片头字母判断是什么图片类型
做法:先将一句话木马以jpg形式更改后缀名,再通过记事本形式打开将最前面增加两个空格,(以方便后续的修改),再通过010editor更改前面两个字头->89 50 (png)形式,之后将文件后缀名字改为php以原来的方式上传 发现不可以 因为文件以Png的形式解析了;所以需要将jpg文件以php形式输出,这个时候就需要文件包含漏洞了:上传一个改了文件头的php文件,观察他的路径 是在upload路径里面 而包含漏洞的文件夹在他的上级目录,所以在有漏洞页面的后面输入urll后?file=./upload/7020241111194319就成功了
漏洞:通过get请求获得file文件中的东西,它没有对文件包含的东西过滤
所以可以利用它会将文件当成php形式的漏洞直接输入?file=1.jpg(文件中是一句话木马)
pass14图片马绕过
getimgaesize()意思是返回包含文件属性的数组,这里不可以通过13关一样简单的方法过了
做法:应用cmd,将一个图片与含有一句话代码的php文件(这两个文件必须放在一个路径)通过cmd(打开cmd后,通过基础命令进入他俩在的那个路径) 输入:copy 1.jpg/b + index(22).php/a 2.jpg生成一个图片马,之后就可以成功发送了,之后打开文件包含漏洞的页面 输入?file=./upload/刚刚随机生成的文件编码,就可以通过蚁剑连接了.
pass15图片马绕过
仿照第14关就可以过去了
pass16二次渲染
思路:通过观察源代码,发现它将图片进行了二次渲染,也就是重新超了一遍,会删掉一些东西,所以原来有的Php木马会直接消失掉,如下:
做法一:保存一个gif图片(),上传到题目中去,通过010editor打开并进行比较,其中蓝色部分是两者相同的部分,找到两者相同的地方(要稍微靠后一点),则我可以在原来的图片的一堆数字里增加一句话木马,这里的木马因为被掩盖掉了,所以木马不会被删除,上传成功之后,通过文件包含漏洞在url里输入?file=./upload/文件名,再通过蚁剑连接,然后就成功了.
做法二:在你第一次发送的gif图片里直接插入一句话木马,再发送给题目,发现木马其并没有被删掉,所以这就是他的漏洞,他渲染一次后就不会再渲染了,所以可以直接将渲染一次后的图片里直接插入一句话木马,就成功了
补充条件竞争
文件上传会从临时目录(服务器)转移到指定目录,再判断文件是否合法,所以通过发送很多请求,使判断过程缓不过来,我再趁机访问
<span style="background-color:#333333"><span style="color:#b8bfc6"><span style="color:#b8bfc6"><?</span><span style="color:#b8bfc6">php</span> <span style="color:#f3b3f8">fputs</span>(<span style="color:#f3b3f8">fopen</span>(<span style="color:#d26b6b">'../upload/shell18.php'</span>,<span style="color:#d26b6b">'w'</span>),<span style="color:#d26b6b">'<?php phpinfo();?>'</span>);<span style="color:#b8bfc6">?></span></span></span>原理:访问有没有Php文件,如果没有就会新建一个shell.php文件 再将一句话木马写下去
pass17
思路及做法:先抓一个上传php文件的包
同时在url中搜索 路径为在upload里的你要往过发的文件的路径,也拦截住,把这两个都发送都爆破模式,再按照上述设置同时爆破,只要看见upload路径下长存这那个shell18.php文件就成功了.
pass18apache解析漏洞+条件竞争(php版本为apache版本才有的漏洞)
思路:在这里的源代码中会提前解析文件后缀名,所以就算爆破,其中的php文件也会被拦截,但是apache解析不了7z 它从右边往左边解析时候,遇到7z不会执行,会直接解析php index(22).php.7z,所以可以借助7z的后缀名字通过,下一步就和17关一样了.
pass19后缀绕过总结
思路:观察源代码发现其会直接看.后面的后缀 然后判断
可以上传的时候 后缀名字为.php空格 .jpg就可以通过了,因为windows解析时候会自动将空格删除,所以不要害怕文件打不开,而题目过滤时却会读取到jpg,所以可以成功绕过。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
