【漏洞挖掘】——81、文件上传之代码检测逻辑绕过

最新推荐文章于 2024-12-06 06:00:00 发布
最新推荐文章于 2024-12-06 06:00:00 发布
阅读量194 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 【WEB渗透】 文章标签: 渗透测试 信息安全 网络安全 web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/139631822
本文探讨了文件上传漏洞中的代码逻辑检测绕过问题,特别是条件竞争1和2的情况。通过实例代码展示如何在unlink删除文件前访问webshell,以及如何利用burpsuite进行条件竞争攻击,成功上传并执行shell.php。
代码逻辑

文件上传的检测代码常规的有:黑名单、白名单、文件内容等检测方法,也有一种设计模式就是业务层会首先将文件上传到服务器,之后才会去判断文件的格式,如果通过检测则使用rename修改名称,如果不通过则使用UNlink删除文件,这种设计看似没有问题,但是可以通过条件竞争的方式在unlink之前访问webshell

条件竞争1
实例代码

以下代码来自upload-labs的Pass-18:

<?php
include '../config.php';
include '../head.php';
include '../menu.php';

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPL
了解本专栏 订阅专栏 解锁全文
漏洞挖掘】——72、请求走私利用实践(下)
Fly_鹏程万里
06-11 172
靶场介绍:本实验涉及前端和后端服务器,前端服务器不支持分块编码,在/admin有一个管理面板,但是只有IP地址为127.0.0.1的人才能访问,前端服务器向包含IP地址的入请求添加HTTP头,它类似于X-Forwarded-For标头,但名称不同,为了解决这个实验题目,你需要偷偷的向后端服务器发送一个请求,该请求显示前端服务器添加的头,然后偷偷向后端服务器发送一个请求,其中包含添加的头,访问管理面板并删除用户carlos。
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1568
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
Upload-labs-master实验笔记:Pass18(条件竞争)
大大大蜜蜂的博客
03-28 1562
Upload-labs-master实验笔记:Pass18 以部分源码为例: 可以看到,该源码功能大概是,当我们上一个文件后,文件会先上到服务器,然后再判断该文件类型是否含在白名单中(jpg、png、gif),如果是,则会将该文件重命名后放在服务器中,如果不是,则会将该文件删除掉。那么我们可以知道,文件是先被上到了服务器,而后才做判断之类的一系列操作,这样就存在条件竞争漏洞。 1.首先我们的思路是:可以使用burpsuit抓包软件中的Intruder模块,创建两个自动攻击方案,第一个自动攻击方案是
【upload-labs】————19、Pass-18
Fly_鹏程万里
08-15 782
查看源代码: //index.php $is_upload = false; $msg = null; if (isset($_POST['submit'])) { require_once("./myupload.php"); $imgFileName =time(); $u = new MyUpload($_FILES['upload_file']['name'...
UPLOAD LABS | PASS 18 - 逻辑漏洞 - 条件竞争
最新发布
Blue17 の 小窝
12-06 1333
我们可以上一个生成木马的文件,然后在服务端来不及删除它时,访问该文件,让该文件生成一个木马放到服务端,由于脚本生成的新木马不属于上的,所以服务端不会删除这个木马。仔细分析代码,可以发现,目标会先将我们上文件进行保存,当保存后,再对其校验合法性,在其代码校验合法性期间,我们上文件其实已经被其保存到服务端了。但是呢,如果我们尝试去连接这个不稳定的文件,会发现,连接不了的,在你连接期间这个文件就会被删除。如上,我们利用条件竞争攻击,直接在目标服务器生成了一个稳定的 shell.php。
upload-labs 19
LuckySec
11-09 1102
题目 查看代码 分析,move_uploaded_file()函数中的img_path是由post参数save_name控制的, 因此可以在save_name利用00截断绕过: 首先上一个图片马 修改信息为红线处 然后在二进制将+号对应的2b改为00 最后继续上 验证 文件绕过成功! ...
upload-labs19记录
weixin_33674976的博客
01-10 295
upload-labs19记录 本次做题为白盒,因为只是fuzz的话并不能学到什么,所以从漏洞源下手。 前端校验 Pass1 源码 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || fil...
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9781
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本输协议。是因特网上应用最为广泛的一种网络
攻防系列——板块化刷题记录(敏感信息泄露)
weixin_43140411的博客
10-29 2428
因为之前通关了两个靶场,说想试一下在线靶场联系一下。其实感觉思路还是很有限。遇到难题可怎么办呜呜
upload-labs pass19
qq_45106794的博客
11-07 458
upload -labs pass19 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml"...
Upload-labs靶场Pass-19
wanggonghanfei的博客
10-28 1068
Upload-labs靶场Pass-19之Apache解析漏洞
[网络安全]upload-labs Pass-18 解题详析_upload-labs18关条件竞争
2401_84972676的博客
05-13 642
创建一个允许上文件扩展名数组$ext_arr,包括了允许上的图片类型(jpg、png、gif)。根据定义的上路径UPLOAD_PATH和文件名生成待存储的文件路径$upload_file。在移动成功的情况下,使用in_array函数检查文件扩展名是否在允许上的类型数组中。如果文件扩展名不在允许上的类型数组中,记录错误信息$msg,并删除已上文件。如果有,则开始处理文件。如果文件扩展名在允许上的类型数组中,生成一个随机的文件名。msg为空,来初始化文件的状态和错误信息。
【网络安全】upload-labs Pass-19 解题详析
等风来
08-23 5909
本文介绍了如何通过修改myupload.php文件中的代码,利用图片码绕过文件限制,上含有eval代码的GIF文件,并通过文件包含功能点实现命令执行。文章详细描述了上过程、获取图片路径、利用文件包含功能点执行命令的步骤,并提供了POC示例。此外,文章还提到可以通过条件竞争的方式完成该任务,并提供了相关参考链接。读者可参考相关专栏和文章,进一步学习网络安全攻防实战技巧。
upload-labs_pass19_条件竞争+apache解析漏洞
qq_51550750的博客
04-12 1841
pass19-源码和提示 提示: 源码: //index.php $is_upload = false; $msg = null; if (isset($_POST['submit'])) { require_once("./myupload.php"); $imgFileName =time(); $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FIL
upload-master-pass18
diemozao8175的博客
08-18 201
第十八关 限制后缀名,限制文件大小,重命名,检查文件是否存在 同样可以进行条件过滤,同17关一样 用burpsuite进行爆破处理 转载于:https://www.cnblogs.com/gaonuoqi/p/11372150.html...
【upload-labs】————20、Pass-19
Fly_鹏程万里
08-15 428
查看源代码: 本关考察CVE-2015-2348 move_uploaded_file() 00截断,上webshell,同时自定义保存名称,直接保存为php是不行的 %00截断 浏览器中访问: ...
upload-labs(Pass1-19详解)
m0_53567065的博客
11-10 2554
文件也是和RCE类型的危害相同的,如果我们可以任意上文件且服务器可以解析的话那么就相当于我们可以执行任意的文件代码,从而控制了整个服务器。在实战渗透中,我们打点最快的方式就是寻找是否存在文件的功能点。不过一般都是后台会存在这样的功能点且漏洞较多。一旦我们将文件到服务器之后,就可以通过webshell管理工具进行连接。上文件之前我们需要先清楚web服务是基于什么语言开发的,是否会将我们的文件进行解析。当然这个都需要我们实际进行测试。
【upload-labs】————18、Pass-17
Fly_鹏程万里
08-15 833
查看源代码: 竞争条件:这里先将文件到服务器,然后通过rename修改名称,再通过unlink删除文件,因此可以通过条件竞争的方式在unlink之前,访问webshell。 首先在burp中不断发送上webshell的数据包 之后不断在浏览器中刷新,刷新,在刷新。。。。。,你会看到下面的结果: ...
Upload-labs靶场Pass-18
wanggonghanfei的博客
10-28 1133
Upload-labs靶场Pass-18之条件竞争
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值