upload-labs-master 通关分析

原创 已于 2022-03-07 23:27:41 修改 · 1.6k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #sql #web安全

于 2022-03-07 23:21:21 首次发布

upload-labs-master 关卡分析

pass-1(前端验证)

在这里插入图片描述

原理:触发上传后会返回到checkFile()函数进行图片不合法检测,checkFile()函数在js代码中,即客户端使用js对不合法图片进行检查。

绕过方式:

1-直接禁用浏览器js功能,然后上传shell脚本即可。

2-上传正常的文件后缀名,上传,然后抓包,改包,改为需要的后缀名。

在这里插入图片描述

在这里插入图片描述

上传成功

在这里插入图片描述

复制图像链接

http://127.0.0.1/upload-labs-master/upload/pass1.php

在这里插入图片描述

pass-2(白名单 MIME)

在这里插入图片描述

上传pass2.php,抓包,

把content-Type:application/octet-stream

改为白名单允许的类型即可

image/jpeg image/png image/gif

在这里插入图片描述

在这里插入图片描述

放包,上传成功

复制图像链接

在这里插入图片描述

http://127.0.0.1/upload-labs-master/upload/pass2.php

在这里插入图片描述

pass-3(黑名单 特殊解析后缀)

<?php
include '../config.php';
include '../common.php';
include '../head.php';
include '../menu.php';

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
   
    if (file_exists(UPLOAD_PATH)) {
   
   
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);//移除文件两端的空白符
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');//返回从点往后的字符串  .xxxx yei
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
   
   
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
   
   
                 $is_upload = true;
            } else {
   
   
                $msg = '上传出错!';
            }
        } else {
   
   
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
   
   
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}
?>

相关函数知识

PHP trim() 函数

trim() 函数移除字符串两侧的空白字符或其他预定义字符。

trim(string,charlist)

string 必需。规定要检查的字符串。
charlist 可选。规定从字符串中删除哪些字符。如果被省略,则移除以下所有字符:"\0" - NULL “\t” - 制表符 “\n” - 换行 “\x0B” - 垂直制表符 “\r” - 回车 " " - 空格

相关函数

ltrim() - 移除字符串左侧的空白字符或其他预定义字符

rtrim() - 移除字符串右侧的空白字符或其他预定义字符

PHP strrchr() 函数

strrchr() 函数查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符

PHP str_ireplace() 函数

str_ireplace() 函数替换字符串中的一些字符(不区分大小写)

str_ireplace(find,replace,string,count)

find 必需。规定要查找的值。
replace 必需。规定替换 find 中的值的值。
string 必需。规定被搜索的字符串。
count 可选。一个变量,对替换数进行计数

str_ireplace(“WORLD”,“Shanghai”,“Hello world!”);

结果为:Hello Shanghai

不允许上传后缀为asp aspx php jsp 的文件。

可以利用 appache的特性

在这里插入图片描述

php php3 php5 phtml 都会当做php解析执行

上传pass3.php3

在这里插入图片描述

复制图片链接

http://127.0.0.1/upload-labs-master/upload/202203051325018349.php3

文件名变了,是因为有重命名

在这里插入图片描述

访问

在这里插入图片描述

apache 后缀名解析“漏洞”

pass-4(.htaccess解析)

仅存在于Apache中

.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法,即在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制

概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:

网页301重定向、

自定义404错误页面、

改变文件扩展名、

允许/阻止特定的用户或者目录的访问、

禁止目录列表、

配置默认文档等功能。

需要的一些配置

1.要打开mod_rewrite模块

phpstudy软件界面——>其他选项菜单——PHP扩展及设置——Apache扩展——rewrite_module模块

2.AllowOverride All。
其他选项菜单——打开配置文件——httpd.conf 文件
搜索查找AllowOverride None,然后把AllowOverride None修改为 AllowOverride All,完成后保存

创建.htaccess文件

<FilesMatch "pass4">
Sethandler application/x-httpd-php
</FilesMatch >

服务器会把文件名包含pass4的文件 当做php解析执行

pass4.jpg 内容

在这里插入图片描述

pass4.jpg

在这里插入图片描述

pass456.jpg

在这里插入图片描述

pass-5(.user.ini配置文件解析控制)

查看源码

is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
   
    if (file_exists(UPLOAD_PATH)) {
   
   
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
   
   
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
   
   
                $is_upload = true;
            } else {
   
   
                $msg = '上传出错!';
            }
        } else {
   
   
            $msg = '此文件类型不允许上传!';
        }
    } else {
   
   
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

把所有可以解析的后缀名都给写死了,包括大小写转换,空格,还有点号,::$DATA

正常的php类文件上传不了了,并且拒绝上传 .htaccess 文件。

.user.ini。它比.htaccess 用的更广,不管服务器是 nginx/apache/IIS,当使用 CGI/
FastCGI 来解析 php 时,php 会优先搜索目录下所有的.ini 文件,并应用其中的配置。
类似于 apache 的.htaccess,但语法与.htacces 不同,语法跟 php.ini 一致。

在这里插入图片描述

创建.user.ini 文件

auto_prepend_file=pass5.jpg

把pass5.jpg当做php解析

pass5.jpg实际内容

<?php
echo 'good luck';
phpinfo();
?>

先上传.user.ini 文件

再上传pass5.jpg

.user.ini 文件作用:所有的 php 文件都自动包含 pass5.jpg 文件。.user.ini 相当于一个用
户自定义的 php.ini。

其他:使用大小写绕过.htaccess . . 点空点进行绕过

pass-6(大小写绕过)

源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
   
    if (file_exists(UPLOAD_PATH)) {
   
   
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess"
最低0.47元/天 解锁文章
27-4 文件上传漏洞 - 黑名单绕过
weixin_43263566的博客
03-18 973
可以将php文件的后缀改成上述的其他可用后缀名如:php2、php3、....,但是这种方式有个前提需要配置靶场的服务器,才能让服务器将这种后缀名识别为php,所以我感觉这种绕过方式不是很实用,这里使用 .htaccess文件来绕过。尝试上传这个带有不合法后缀名的文件,如果可以正常上传,则说明目标系统的后台可能存在黑名单绕过或者未进行绕过处理;上传成功后我们就可以将我们要上传到靶场中的php文件改名为 4.png 之后我们就可以操作这个文件,我这里上传php一句话马的文件,后面使用蚁剑连接。
文件上传--3黑名单绕过
技术骨干小李的博客
07-29 1628
介绍一下文件上传漏洞中,黑名单绕过
【网络安全】文件上传黑白名单及数组绕过技巧
goldfish8848的博客
07-28 2546
将客户端数据以文件形式封装,通过网络协议发送到服务器端,在服务器解析数据,最终在服务端硬盘上作为真实的文件保存。
第21-WEB漏洞-文件上传之后端黑白名单绕过
MCTSOG的博客
03-05 2135
思维导图 文件上传常见验证 后缀名,类型,文件头等 黑名单:明确不允许上传的格式后缀 如:$deny_ext = array(’.asp’,’.aspx’,’.php’,’.jsp’); 不允许上传后缀为asp, aspx ,php ,jsp 的文件 白名单:明确只允许上传的格式后缀 如:$ext_arr = array(‘jpg’,‘png’,‘gif’); 只允许上传jpg png gif 文件 文件类型:MIME 信息 MIME(Multipurpose Internet Mail Extens
文件上传之后端黑白名单绕过
m0_60052233的博客
09-04 1189
演示案例:upload-lab关卡分析 Pass-2(MIME类型) Pass-3 Pass-4
文件上传漏洞之黑白名单绕过(一)
胖虎的博客
11-26 3463
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 目录 文章目录 一、文件上传最常见的验证方式: 后缀名,类型,文件头等 后缀名:黑名单,白名单 文件类型:MIME信息 文件头:内容头信息 .htaccess解析 一、文件上传最常见的验证方式: 后缀名,类型,文件头等 后缀名:黑名单,白名单 文件类型:MIME信息 文件头:内容头信息 .htaccess解析 二、使用步骤 1.后缀名 黑名单:明确不允许上传的格式后缀,在限制中可能不
精选资源
安装upload-labs
10-22
同时,upload-labs还提供了详细的课程讲解和write up(通关指南),可以帮助您更好地理解和掌握文件上传漏洞的防御方法。 结语 安装upload-labs是一个非常重要的步骤,它可以帮助您快速掌握文件上传漏洞的基础知识...
upload-labs靶场
09-09
在网络安全领域,upload-labs靶场是一个针对Web应用上传漏洞进行练习和测试的平台。通过利用upload-labs安全研究人员和爱好者可以提高对各种上传漏洞的识别和利用能力,这对于提升网站的安全防护水平至关重要。...
upload-labs-master靶场通关攻略
Nai_zui_jiang的博客
09-02 1016
上传并进行抓包,修改后缀为php。
upload-labs-master靶场通关操作文字解说
canyiguichen的博客
09-16 586
写入到一个a.php文件中。使用点号绕过,因为你会发现,在windows中重命名文件的时候,我们在文件末尾加上点号,这个点号会被删除。上传一句话木马的时候,发现不能上传,因为他不允许上传.asp,.aspx,.php,.jsp后缀文件。这一关是提示我们类型不对,那么我们上传一句话.php的时候抓包,在那里修改我们的文件类型即可。我们上传.php7后缀的文件,发现还是能上传,这是因为他使用的黑名单还是没有过滤这个后缀名。.php2 .php3 .php4 .php5 .php6 .php7这些都能用。
WEB 漏洞 - 文件上传后端黑白名单绕过
m0_57836225的博客
11-11 1621
当有文件上传时,服务器后端会检查文件的扩展名,如果在黑名单中,则拒绝上传。然而,这种机制存在弱点,攻击者可以通过一些方法绕过,比如使用特殊的文件名或利用文件解析漏洞等。总之,文件上传后端黑白名单绕过是一个严重的安全问题,需要开发人员和安全人员共同努力,通过多种措施来保障系统的安全,防止恶意文件上传。上述代码是一个简单的后端文件上传处理 Servlet,它使用黑名单机制来防止特定扩展名的文件上传,但存在可被绕过的漏洞。上述代码是一个简单的基于白名单机制的文件上传处理 Servlet,但存在可能被绕过的漏洞。
第九节 文件上传-绕过黑名单验证(路径拼接绕过)-01
09-15
第九节 文件上传-绕过黑名单验证(路径拼接绕过)-01
文件上传之黑名单绕过
pigzlfa的博客
07-04 7238
黑名单绕过方法: 1、大小写绕过 windows对大小写不敏感,所以上传大小写混写的php进行绕过 (因为后端一般验证后缀字符串是否和‘php’相等,(前提是没有将你传入的字符串进行小写转换后再对比),大写字母和小写字母肯定不相等,所以可以利用这一点进行绕过,又因为windows对大小写不敏感,所以.PhP文件被当成php文件解析) 2、重写绕过: 服务端将黑名单的后缀名替换为空,但是仅替换一次,所以可以上传.phphp p后缀,替换后就成了.php 3、特殊可解析后缀绕过: 黑名单规则不严谨,在某些特定.
文件上传黑名单绕过
weixin_54105551的博客
09-07 1491
这一次过滤的更加彻底一些了,.htaccess格式的文件也做了过滤(最后一个,这里不好截图),但是也有一个缺点,没有统一后缀名,所以我们可以构造Php这种写法的后缀名来绕过黑名单过滤,没有特殊配置的情况下绕过方法对linux操作系统的服务器无法实现绕过,因为linux不区分大小写,只有Windows会忽略大小写,上传如下格式的文件至服务器中。这个时候我们上传的shell.jpg被当作php解析了,为了后面的操作,我们最好是先回到更目录,清除一下上传的文件。
【文件上传】绕过总结
weixin_55205599的博客
07-02 3680
hp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。eg:允许上传.jpg,不允许上传.php,如何绕过传.php一句话木马呢?eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"p。eg:黑名单过滤中只有".php",没有".php "、“ .php”eg : a.JSP、a.Jsp 、a.jsP、a.jSP等等。eg:"a.php.",黑名单没有对"php."过滤,则绕过。eg: a.php改为 a.php::$data。
文件上传之后缀名绕过
注定风是不羁旅人
11-22 6331
当目标限制了上传文件的后缀名之后,我们可以尝试以下方法进行绕过 1.大小写问题 例如,.Php .pHp .phP 2.空格问题 例如,"webshell.php " “webshell. php” 3."."问题 在windows中php会自动去除后缀名中最后的 “.” 的符号 4.::$DATA问题 windows下,php,在文件名后面加上::$DATA系统会把它当作文件流来进行处理,...
文件上传-绕过白名单验证
热门推荐
qq_25899635的博客
05-21 1万+
绕过黑名单验证(00截断绕过) 00截断原理 0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。 系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。 在PHP5.3之后的版本中完全修复了00截断。并且00截断受限于GPC,addslashes函数。 GET型00截断 GET型提交的内容会被自动进行URL解码。 注意:一定要关闭GPC,否则无...
upload-labs1-21通关
最新发布
03-13
嗯,用户想要找关于upload-labs1关到第21关的解法或攻略。我之前处理过类似的问题,记得用户提到过几个引用,比如第8关和第16关的解决方法。我需要先回顾一下这些引用内容,确保信息准确。 首先,引用[1]提到第8...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值