- 博客(22)
- 收藏
- 关注
RSS订阅原创 xss-labs靶场通关指南
本文记录了xss-labs靶场的20关通关过程,总结了XSS攻击的多种绕过思路和标签使用技巧。从基础的无过滤注入到利用HTML事件、标签属性、Unicode编码、文件包含等多种高级绕过手法,逐步攻克了包括过滤特殊字符、关键字、大小写转换等防御措施。重点包括:闭合引号构造新标签、利用onfocus等事件触发、href属性自动解码Unicode、注释符绕过特定内容检测、修改input隐藏属性、HTTP头注入等技巧。最后两关涉及Flash XSS漏洞,需要特殊浏览器支持。通过实战演示了从简单到复杂的XSS攻击方式
2025-10-26 18:29:31
1091
1
原创 upload-labs pass-21
通过数据包conten-type类型进行MIME检查(可以伪造),如果提交了save_name参数,则以save_name参数作为文件名,否则取$_FILES超全局变量获取的文件名。reset方法返回数组第一个元素,即abc,file[count(file)-1]这里是file[1],count()计算数组有几个元素,这里是两个,而file[1]是jpg,故拼接完成,移动到上传目录。接着判断后缀,end方法使ext指向数组中最后一个元素,即jpg,允许上传。可以看到,我们上传成功了。
2025-10-18 19:22:34
384
原创 upload-labs pass-20
本关还是先来审计一下代码,定义了deny_ext(黑名单后缀),然后以POST方式接收save_name作为文件名,然后使用pathinfo和PATHINFO_EXTENTION提取文件后缀,但是并没有做大小写转换,而后续也没有检测,所以这里我们可以使用大小写来绕过黑名单检测。我们使用burp抓包,修改save_name的值,即可绕过。我们后续直接访问即可,这里还可以使用空格,点等绕过。应该可以归为代码审计类型。
2025-10-17 16:19:52
403
原创 upload-labs pass-19
而由于这里作者也没有给予一个文件包含漏洞窗口,即意味着作者设计这关的目的不是让我们上传图片马,这里是可以利用文件包含漏洞上传图片马利用的,因为图片回显在了主页,我们可以获取到文件名,所以这里想其他方法。首先,需要注意,这里的上传路径出现了点问题,这里的上传到了upload同级目录里面,需要修改一下源码,使上传目录在upload里面,可以按照下图修改,两个位置选一个改就可以了,图1为myupload.php文件的第103行,或者修改index.php里的第13行内容,可以看到,留下了我们想要的文件。
2025-10-17 16:18:21
784
原创 upload-labs pass-18
所以,这一题的绕过思路就是在服务器删除我们的文件之前访问到我们的文件,为了实现持久控制,我们这里可以写入这样一段代码,如果我们访问这个文件成功了,那么它会在同级目录里面留下一个shell.php文件,我们后续可以访问shell.php文件。可以点击一下状态码,会根据大小进行排序,这样更容易找到响应码为200的请求,我们需要看的是访问上传文件的数据包状态,只有有一个访问成功,那么也就意味着留下了shell.php,我们后续就可以继续访问了。可以看到,存在我们想要的shell.php文件,我们也访问成功了。
2025-10-16 22:34:31
683
1
原创 upload pass-17
本文介绍了绕过文件上传二次渲染漏洞的三种方法。针对GIF格式,通过十六进制编辑器在图片头蓝色区域插入PHP代码;PNG格式利用GD库创建包含恶意代码的像素点;JPG格式则需多次尝试不同图片,使用特定脚本注入有效载荷。每种方法都需要反复测试,特别是JPG成功率较低,强调了实践中的耐心和技巧。文章提供了详细的代码实现和操作步骤,帮助理解如何在不同图片格式中保留恶意代码以绕过安全检测。
2025-10-16 21:57:00
1587
1
原创 upload-labs pass-13
这里注意,直接提交是没有作用的,因为POST提交的数据不一致,它还会把我们提交的请求转为十六进制编码提交,我们还需要修改Hex里的内容。我们然后点进旁边的Hex,进行修改。这一关和上一个类似,不过这里是通过POST控制上传路径,我们还是上传一个文件,然后在burp里面改包。找到我们添加的后缀,31,然后在右边的面板中将Code值改为00,然后点击应用就可以了。我们将save_path路径修改一下,后面的1是为了方便定位文件结尾位置。post型00截断,需要再Hex中修改内容。
2025-10-15 18:27:42
197
原创 upload-labs pass14-16
本关是要求我们上传图片马,包括png,jpg,gif三种类型的图片马,提示是检查文件头前两个字节内容,我们看一下源码内容来分析一下。这里我就以vscode里的Hex Editor插件来打开三个类型的文件来查看一下文件头。先看GIF格式,因为这个最好记,文件头前6个字节数据“47 49 46 38 39 61”构成了gif文件格式头的开头文件。PNG格式文件是以开头8个字节的数据“89 50 4E 47 0D 0A 1A 0A”来标识的。而JPG是“4A 46 49 46”标识JPG格式的。
2025-10-15 18:27:14
971
原创 upload-labs pass-12
摘要:本文介绍了利用00截断绕过白名单验证的文件上传漏洞方法。通过构造包含%00或0x00的特殊文件名(如"eval.php%00.jpg"),可使服务器将其解析为恶意文件。该方法需满足两个条件:PHP版本低于5.3.4,且magic_quotes_gpc关闭。具体操作包括上传图片文件后,在Burp中修改上传路径,利用00截断特性。该漏洞利用的关键点是当上传路径可控且满足00截断条件时,可绕过安全限制实现攻击
2025-10-15 18:13:23
472
原创 upload-labs pass-11
还是burp抓包改一下文件名吧。这里修改名字时还需注意,你得保证从左往右开始去除一个php后还是php,比如phphpp,删除第一个php后变成了hpp是解析不了的。也就是说我们上传的aaa.php会变成aaa.保存在后端,由于浏览器不知道文件类型是什么,浏览器是解析不了这个文件的,我们访问这个文件并输入参数是没用的。这里我们可以使用双写来绕过,比如我们输入aaa.pphphp,删除一个php后得到的结果是aaa.php,而后续也没用再继续检查了,导致我们可以绕过。上传后我们直接访问就可以了。
2025-10-15 18:13:06
378
原创 upload-labs pass-10
这关源码可以看到,过滤了很多,大小写,空格,点,::DATA,那我们该怎么绕过呢。这里我们可以使用Apache的解析漏洞、00截断绕过以及特殊字符组合绕过,当然,这里重点介绍组合绕过。解析漏洞和00截断在之前的关卡使用过,后续也还有这类题目,我们多介绍一种思路。我们观察源码可以发现,它的处理逻辑是先删除文件末尾的点,然后提取最后一个点后面的字符作为需要检测的后缀,然后转为小写,去除::DATA字符串,最后去空。既然它只处理一次,那么我们可以多输入一些特殊字符,下面有输入abc.php. .的解析过程。
2025-10-14 15:39:03
252
原创 upload-labs pass-09
咱们还是直接查看源码,这一关还是和之前的关卡差不多,但是这一关没有了那个去除::DATA的函数,我们可以利用DATA流实现绕过,原理就是DATA流是NTFS文件系统的一个特性,Windows的数据流可以大致分为两种,主数据流和命名数据流,我们在Windows的资源管理器上是看不到的。可以发现,最近这三关吧都是利用特殊字符来绕过,空格绕过,点绕过,以及::$DATA绕过,了解这个思路就可以了。我们还是使用burp抓包改文件名,在文件名后面添加::$DATA。我们访问的时候去掉::$DATA。
2025-10-14 15:38:41
436
原创 upload-labs pass-08
本关也是直接查看源码吧,发现还是过滤了很多后缀,过滤了大小写,但是呢,这里相较上一关没有deldot()这个函数,也就是没有删除文件末尾的点,我们可以利用特殊后缀来绕过。上传后我们直接访问刚刚上传的文件,由于这一关没有对文件重命名,我们可以直接访问。我们上传文件,利用burp抓包后修改文件名,在后面加一个“.”,来实现绕过。特殊后缀绕过,点绕过。
2025-10-13 10:10:22
292
原创 upload-labs pass-07
过滤了大小写,以及常用的后缀名,以及::&DATA绕过,但是这里没有去除文件首尾的空格,我们可以利用Windows的特殊字符解析漏洞来绕过,这里使用空格来绕过,我们使用burp抓包在文件名后面添加一个空格。文件特殊字符绕过,空格绕过,".php "会被解析为".php",Windows会自动去除文件后面的空格。后续发现上传成功了,但是文件被重命名过,我们按照上一关的得到文件名的思路来访问这个文件。本关,我们就直接查看源码来做吧,针对性练习。
2025-10-13 10:10:03
303
原创 文件上传漏洞一些思路、绕过总结
的分步逻辑,才会出现明显的时间差,进而有可能存在条件竞争漏洞。服务器处理一个文件的时间极短,要想在服务器执行删除或移动之前访问上传文件,可以通过并发发送大量的PHP一句话木马,同时发送大量的文件包含请求来访问这个PHP文件,这样就有机会竞争成功,成功访问。
2025-10-12 00:11:55
1310
原创 XSS攻击常用标签、绕过思路
本文系统介绍了XSS攻击的多种实现方式与防御措施。主要包括利用img、a、input等HTML标签的事件属性执行恶意脚本,以及通过编码、大小写混淆、注释干扰等绕过技术。文章还详细列举了各种攻击向量如SVG、iframe等标签的利用方式,并提供了输入验证、输出编码、CSP策略等防御建议。最后强调XSS防护需要多层次安全措施,提醒读者仅将内容用于防御研究。全文技术细节丰富,涵盖主流XSS攻击手法,具有实际参考价值。
2025-10-11 22:56:02
580
原创 upload-labs pass-06
我们上传一个abc.phP文件,可以发现是上传成功了的,但是我们直接访问这个文件是访问不到的,提示我们访问失败,这里是因为服务端对上传的文件进行了重命名,基于上传时间,格式为年月日时分秒+4为随机数+后缀。至此,介绍了两种在服务端修改了上传的文件名,并且知道命名方式时,我们可以利用的两种思路,有时候发现上传成功了,但是访问不到文件的时候,可以试一下这个思路,这里就是提供一种思路哈。这里选择数值,然后输入区间,从多少到多少,这里因为服务端只从1000到9999,我们就输入这个,然后点击开始攻击就可以了。
2025-10-11 22:21:48
464
原创 upload-labs pass-05
本文探讨了两种绕过文件上传限制的方法:00截断和Apache解析漏洞。00截断法在部分场景下仍然可用。此外,通过修改文件后缀名大小写可以判断服务器操作系统(Windows不敏感)。重点介绍了Apache 1.x-2.x版本的解析漏洞:当遇到不认识的后缀时,Apache会从右向左解析,最终可能执行PHP文件。通过上传类似"abc.php.abc"的文件并构造相应URL参数即可利用该漏洞执行代码。
2025-10-09 23:09:59
484
原创 upload-labs pass-04
我们可以先尝试一下前面几种思路,上传图片马再通过burp抓包修改文件后缀,或者上传其他后缀,如php3、php4这种,不过这关我们查看提示得知,这里做了文件后缀和名单处理,禁止了相关后缀文件上传,图片马修改也是过不了的。可以通过构造如同“eval.php%00.jpg”或者“eval.php0x00.jpg”这样的文件,导致最终被解析为“eval.php”,变成木马。,然后再上传,会发现我们上传成功了,也就意味着这个文件是当作jpg图片格式上传成功了。,发现页面是空白的,这就意味着我们访问成功了。
2025-10-09 22:01:03
451
原创 upload-labs pass02
我们可以先抓取数据包,然后修改文件MIME类型,来绕过。我们使用Burp Suite抓包,修改Content-Type为image/png,再点击forward就可以成功上传了。并没有在客户端验证,在服务端进行验证,提示告诉我们是在服务端对数据包进行MIME检查。我们先上传一个php程序试试,提示我们文件类型不正确,可以ctrl+u查看一下源码。服务端通过验证文件MIME类型来判断文件是否合法,可以抓包修改MIME类型。,type表示文件类别,subtype表示细分的-02。
2025-10-09 21:17:22
241
原创 upload-labs pass01
摘要:文章介绍了如何利用一句话木马绕过前端文件上传验证。通过分析白名单验证机制,提出了三种绕过方法:修改JavaScript代码、删除验证函数或禁用JavaScript。上传成功后,可通过URL执行phpinfo()函数验证漏洞利用效果。文章强调仅依赖客户端验证存在严重安全隐患,容易被绕过。
2025-09-24 21:15:02
406
原创 upload-labs pass03
这里如果使用的是v8.1版本的phpstudy的话,会发现即使修改了配置文件,还是访问不了我们上传的文件,在查阅了不少资料后发现,这是PHP版本与Apache版本不兼容,这里的版本指的是NTS(non thread safe非线程安全)和TS(thread safe线程安全)两个版本,8.1版本的phpstudy可以看到都是nts版本,但是nts版本的php不支持Apache的某些模块,导致我们即使修改了也无用,我们需要切换到ts版本的php。上传以.php5为后缀的文件,提示我们上传成功。
2025-09-24 20:21:54
336
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人