靶场 upload-labs pass11-20

已于 2022-04-18 23:34:49 修改
阅读量1.3k 收藏
点赞数 1
分类专栏: 漏洞 文章标签: web安全
于 2022-04-18 19:14:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ad12456/article/details/124247057
版权
本文详细介绍了在upload-labs靶场中pass-11至pass-20的破解过程,涉及文件后缀黑名单、白名单、路径截断、文件头过滤、条件竞争等安全漏洞利用技巧,以及如何利用图片马和Apache解析漏洞来绕过上传限制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

pass-11

这里本关中,对后缀名有一个黑名单,若后缀出现黑名单中的字符,则将它替换为空。下面是源码。在这里插入图片描述我们就可以利用这一点了。它只替换其中的一次,那构造一个复写的可能可以饶过它。在这里插入图片描述

连一下试试
在这里插入图片描述

pass-12

看源码,发现是白名单的,就只能上传jpq,gif,png。提示文件路径可控。在这里插入图片描述源码中$file_arr 的目的是 将.后的文件后缀名取出来
$img_path 以 post 方式传入文件保存路径 ,这里是采用拼接的方式,有机可乘。
抓包看看有什么信息。
在这里插入图片描述url中我们可以看到save_php字段,请求头中有Content-Disposition中作为下载文件的标识字段。在这里是作为校验,并且拼接文件上传路径。
了解到这些后,我们要先饶过上传,改Content-Disposition字段中filename文件后缀名,饶过检查。此外,我们还要保证上传的是php文件,那就要利用到路径的拼接和截断字符,把我们改了的文件后缀名失效掉

bug.php%00bug.gif 上传后 php后面就没有了

在这里插入图片描述放包后上传成功。在这里插入图片描述
连接时我们拖拽那个图片文件得到的url要将php后面的多余的字符删除掉。这样就连接成功了。这是因为我们上传到文件路径中的文件就是php文件。
在这里插入图片描述

pass-13

源码和12关一样,抓包看看有啥区别。
在这里插入图片描述他的save_path不在url中,我们还是一样的思路,只是截断字符不一样了。
在save_path写入的php后面写上一个占位符。
在这里插入图片描述
在点入hex(16进制编码)中找到它,
在这里插入图片描述找到我们要改的地方。改了为00截断字符
在这里插入图片描述
上传成功在这里插入图片描述

pass 14

图片马。先看源码

function getReailFileType($filename){
   
    $file = fopen($filename, "rb");
    $bin = fread($file, 2);   //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){
         
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType =
最低0.47元/天 解锁文章
upload靶场第十八关 条件竞争的绕过
2301_79650865的博客
02-09 576
upload靶场第十八关 条件竞争的绕过,详细教程
Upload-labs靶场Pass-20
wanggonghanfei的博客
10-28 1086
这段代码的功能是实现一个基本的文件上传功能,包括对文件类型的限制和上传路径的验证。
upload-labs靶场(11---20)通关攻略
Cobra的博客
09-13 2089
Pass-11-get 00截断绕过 1、直接上传.php文件,提示:只允许上传.jpg|.png|.gif类型文件! 2、查看源码,发现是白名单判断,但$img_path是直接拼接,因此可以利用%00截断绕过。 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext; 这里使用的是php5.2.17+Apache环境 截断条件:php版本小于5.3.4,php的magic_quotes_g.
upload-labs靶场通关指南(18-19关)
永远是少年
09-16 1328
今天继续给大家介绍渗透测试相关知识,本文主要内容是upload-labs靶场通关指南(18-19关)。 一、第18关 二、第19关
upload-labs靶场1-18关解法总结
紫洋的博客
03-14 277
我们试着上传一个php文件,文件内容为弹窗显示不允许上传,说明运用了前端验证我们可以利用brupsuite工具进行抓包,在burp中将文件后缀名改为我们想更改的格式,再进行上传,这样我们可以绕过前端检测将JPG格式改为PHP格式后点Forward进行放包上传成功,文件在upload里。
upload-labs靶场-Pass-11-思路以及过程
weixin_44257023的博客
01-16 2886
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
upload-labs靶场Pass-14
wanggonghanfei的博客
10-23 1016
upload-labs靶场Pass-14 文件包含漏洞 图片木马
upload-labs靶场Pass-03
wanggonghanfei的博客
10-20 952
upload-labs靶场Pass-03 黑名单缺陷绕过
upload-labs靶场Pass-02
wanggonghanfei的博客
10-20 994
upload-labs靶场Pass-02 白名单绕过MIME文件类型
uploads-lab靶场学习
2301_80366980的博客
01-28 1156
记录uploads-lab靶场的学习仅供个人学习,如有冒犯请尽快联系。
PASS11.0 用户指导
03-12
PASS 11.0 用户指导手册;教你如何操作PASS
实用最新版Python小白零基础入门教程
11-12
Python语言基础,从安装,到变量、循环、列表、元组、字典、异常、类、对象、文本处理等核心知识,配套课堂作业、笔试题等,全程手把手带你写代码。
Upload-labs靶场Pass-18
wanggonghanfei的博客
10-28 965
Upload-labs靶场Pass-18之条件竞争
文件上传漏洞靶场upload-labs学习(pass11-pass15)
AFCC_的博客(Web_Dog)
03-13 4812
0x00 Pass11 Pass11主要考察str_ireplace函数 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv",
Upload-Lab第18关:巧用条件竞争,轻松绕过上传限制!
didiplus
08-24 1032
进入第18关后,通过提示发现这一关与之前的挑战有所不同。线索似乎隐藏在源码中。接下来,让我们一起审计和分析代码,寻找突破口。}else{$msg = "只允许上传.jpg|.png|.gif类型文件!}else{$msg = '上传出错!从源码来看,服务器首先将上传的文件保存下来,然后将文件的后缀名与白名单进行对比。如果文件扩展名是jpgpng或gif中的一种,就会对文件进行重命名。如果不符合这些扩展名,unlink()函数会删除该文件。
upload-labs18关
qq_46527080的博客
12-25 2552
漏洞介绍 条件竞争漏洞是一种服务器端的漏洞,是由于开发者设计应用程序并发处理时操作逻辑不合理而造成。当应用面临高并发的请求时未能同步好所有请求,导致请求与请求之间产生等待时出现逻辑缺陷。该漏洞一般出现在与数据库系统频繁交互的位置,例如金额同步、支付等较敏感操作处。另外条件竞争漏洞也会出现在其他位置,例如文件的操作处理等。 首先将文件上传到服务器,然后检测文件后缀名,如果不符合条件,就删掉,典型的“引狼入室”。 第十八关(条件竞争) 源码分析 首先准备一个创建shell的php <?php fputs
蚁剑连接不上远程shell的解决办法
热门推荐
weixin_43820080的博客
01-13 1万+
我们遇到什么困难也不要怕,微笑面对它,消除恐惧的最好办法就是面对恐惧,坚持!才是胜利,加油,奥利给! 问题:????明明传了但是一直蚁剑连不上检查发现????雀食已经上传成功了 解决:新手用蚁剑连接之前一定先ping一下靶机ip看看能不能ping通,ping不通的话去关闭防火墙,试过在服务里禁用防火墙但是发现没有用,一定要这样关: 关闭防火墙之后发现就已经可以ping通了 然后就能愉快的连上啦!
upload靶场全关通(上)1-11
weixin_59165176的博客
08-28 1514
本案例以upload靶场为例,若帮到你请点个关注再走呗 第一关(JS前端验证) js前端校验,这里可以使用火狐插件关闭js,或者burp抓包绕过 把php木马文件,更改后缀名称为【.jpg】,使用Burp抓包,更改后缀名称 上传成功,右键图片复制地址,使用蚁剑连接 第二关(MIME验证) 只验证Content-type的属性,抓包修改即可绕过 还是一样的首先上传一个php木马,进行抓包,更改【content-type】的内容为 image...
关于文件上传漏洞靶场upload-labs的入门练习及思路
xiaobai的博客
04-22 1096
本次实验用到的环境:Phpstudy,burpsuite(以下简称bp),和文件上传靶场upload-labs,渗透版火狐浏览器,中国菜刀/蚁剑。 步入正题 先将靶场环境放于phpstudy的网站根目录www,打开bp代理,浏览器设置本地代理: 将bp和浏览器代理都设置为127.0.0.1,在写一个一句话木马,这里我们采用php一句话木马,然后就可以开始了。 正式开始:第一关 我们先初步进行一...
upload-labs pass12
最新发布
12-29
### 关于 upload-labs Pass-12 的解决方案 #### 背景介绍 upload-labs 是一个用于学习和测试文件上传漏洞的靶场,其中包含了多个级别的挑战。Pass-12 特别关注通过特定条件下的文件上传绕过验证机制来实现攻击[^2]。 #### 漏洞分析 在 Pass-12 中,服务器端设置了较为严格的文件名过滤规则以及 MIME 类型检测。然而,在实际环境中可能存在某些配置不当之处可以被利用: - **MIME Type 绕过**: 即使服务端进行了 MIME 类型校验,但如果仅依赖客户端提供的 Content-Type 头部,则可以通过修改请求头中的内容类型来进行绕过尝试。 - **文件扩展名检查不足**: 如果只简单地基于黑名单模式阻止已知危险类型的文件(如 .php),那么攻击者仍有可能找到未被列入黑名单的安全扩展名并执行恶意脚本。 为了成功完成此关卡的任务,需要理解如何构造特殊格式的数据包以规避上述防护措施[^4]。 #### 实现方法 以下是针对该级别的一种可能解法思路: ```bash curl -X POST \ http://localhost/upload-labs-master/Pass-12/index.php \ -F "file=@test.jpg;type=image/jpeg" \ -H 'Content-Type: multipart/form-data' ``` 这段命令展示了如何使用 `cURL` 工具发送带有自定义 MIME 类型 (`image/jpeg`) 和文件名 (`.jpg` 扩展) 的 HTTP 请求给目标 URL 。这里的关键在于即使上传的是 PHP 文件,也可以伪装成图片或其他无害文件形式提交上去[^3]。 需要注意的是,具体实施时还需考虑更多细节因素,例如服务器的具体版本、中间件特性等都会影响最终效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值