upload-master 文件上传漏洞靶场1-21关

已于 2023-02-10 18:23:49 修改
阅读量1.1k 收藏 6
点赞数
CC 4.0 BY-SA版权
文章标签: 前端 web安全 php
于 2023-02-07 22:01:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/akucoco/article/details/128924363
文章详细描述了在不同安全防护下如何通过各种技巧上传webshell,包括利用Firefox禁用JS绕过前端过滤,更改文件后缀,使用.htaccess重定义文件解析,双写、空格、特殊字段绕过后缀黑名单,以及应对条件竞争和文件路径问题的方法。这些策略展示了网络安全攻防中的常见技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一关

尝试把webshell传入到服务器,发现服务器对文件后缀名进行过滤。

 查看页面源代码:

发现采用前端js过滤,可以直接采用firefox浏览器关闭js绕过js过滤:

 js关闭后直接上传php文件,发现上传成功

第二关

尝试上传php文件,发现同样对其进行过滤

查看页面源代码未发现相关js过滤,尝试把webshell后缀名改为png格式上传,发现可以上传 

 尝试通过burp截获数据,将文件名改回PHP文件

 尝试访问上传的webshell访问成功。

 第三关

尝试第二关的方法,发现存在文件后缀黑名单

 尝试直接在图片里面嵌入webshell代码,在cmd中执行 copy 1.jpg/b+2.php 3.jpg,将3.jpg上传,尝试使用中国菜刀连接,连接成功

同时我们可以尝试绕过黑名单,同样使用burp拦截后修改后缀名为php3成功绕过

 实际上,除了后缀为.php的文件会被当成php文件解析, 还有phtml php3 php4 php5之类的后缀也会

 第四关

尝试使用第三关的方法,发现可行

此关过滤了大部分文件危险文件名,采用%00截断失败,尝试采用.htaccess文件来绕过

一般后端的黑名单不会过滤把.htaccess后缀写进去,那么我们可以先上传一个.htaccess文件上去,提前设置好让它把.jpg文件当做php文件来解析,这样后续只需要上传.jpg文件就可以了。
.htaccess文件的内容如下:

AddType application/x-httpd-php .jpg


这个指令代表着.jpg文件会当做php文件来解析。
很多windows操作系统是禁止将文件名设置为空的,但是我们可以用cmd命令来实现。首先新建一个名为1.txt的文件,然后输入上述代码。接着在该文件夹下打开cmd窗口,输入:

ren 1.txt .htaccess

把一句话木马转为png格式直接上传可用

第五关

使用第三关方法可行

采用.htaccess文件绕过发现文件无法上传

查看网页源代码

 发现删除了文件末尾的.且进行了首尾去空,尝试使用burp拦截修改数据为webshell.php. .发现成功绕过

 第六关

第三关方法可行

使用第五关的方法尝试上传,发现上传成功但文件名被修改

疑似删除了PHP后缀,尝试使用双写绕过在使用多种双写方法后失败pphpp,phpphp等等

查看页面源代码发现无大小写转换,采用大小写绕过成功

 第七关

使用图片上传木马可行

查看网页源代码

发现不存在空格过滤,使用burp尝试在.php后面加入空格,发现文件上传成功,查看上传文件是否生效,发现页面空白,无法生效。联合文件包含漏洞使用可以访问或者使用菜刀连接。

http://192.168.79.152/upload-master/include.php?file=upload/202302081401109951.php%20

第八关

使用图片上传木马可行,方法参考第三关。

查看网页源代码

 发现未对.进行处理,使用burp在末尾加上.变成php.尝试上传,上传成功,尝试使用成功

第九关 

直接查看源码,发现未对data进行处理

 可以使用::$DATA字段进行绕过,原理为在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,这里我们使用的是Linux就不做演示。

第十关

可以采用图片码绕过,查看源代码发现与第五关相同,使用php. .的方法绕过可行,详情参照第五关

第十一关

查看源代码发现将黑名单文件名后缀进行了删除

 考虑采用双写绕过使用.phphpp失败,文件后缀变为hpp,采用pphphp可以绕过,使用正常

第十二关

 查看源代码,发现使用白名单过滤

 直接使用图片码,详情参考第三关

第十三关

与十二关同理采用图片码绕过

第十四关

图片码!!!这关要注意它采用了幻数认证,如果失败抓包查看幻数是否符合条件。

第十五关

上传我们制作好的图片码,这里建议直接用空白图片加shell.php去生成新图片,新生成的图片可以直接上传不用做修改

 第十六关

与第十五关相同

第十七关

第十八关

条件竞争,使用burp不断上传,使用python不断访问

python代码

import requests
url="http://192.168.79.152/upload-master/upload/shell.php"
while True:
    web_result=requests.get(url)
    if web_result.status_code == 200:
        print("Success")
        break
    else:
        print("Failed")

 PHP代码

<?php
$fp=fopen('webshell.php','w');
fwrite($fp,'<?php phpinfo(); ?>');
fclose($fp);
?>

当python成功访问到shell.php时就会生成一个webshell.php的永久文件

上传后使用BurpSuite截包,按Ctrl+I发送至Intruder,设置Payload type为Null payloads,Payload Options设置为Continue indefinitely,不断上传该文件,随后运行脚本不断访问该文件。

 

python超过了访问限制G了,建议直接修改源代码,否则看脸。我们这里将源代码修改为移动后检查前等待3S钟

 在burp上传的同时使用python访问直到出现

 这个时候去靶场查看看到webshell.php文件就表示成功了

 访问正常

第十九关 

查看源代码发现这关有点问题,在保存文件路径时缺少'/'导致上传文件后文件不保存在upload下面,我们修改下源代码添加上'/'

 同时我们发现了他这里实例化了一个MyUpload对象,去里面查看一下他到底执行了什么操作。

里面可以看到他允许上传的文件类型

我们主要看一下这个move函数,发现调用move时文件路径也存在同样的问题,我们一并对其进行修改 

 修改完成后尝试上传正常文件便可以在upload下面查看到该文件了。

这题根据代码审计发现并未对文件内容进行审核,也未进行二次渲染,直接使用图片码即可

 

upload-labs漏洞靶场~文件上传漏洞
weixin_67832625的博客
07-31 850
寻找测试网站的文件上传的模块,常见:头像上传,修改上传,文件编辑器中文件上传,图片上传、媒体上传等,通过抓包上传恶意的文件进行测试,上传后缀名 asp php aspx 等的动态语言脚本,查看上传时的返回信息,判断是否能直接上传,如果不能直接上传,再进行测试上传突破,例如上传文件的时候只允许图片格式的后缀,但是修改文件时,却没有限制后缀名,图片文件可以修改成动态语言格式如php,则可能访问这个文件的 URL 直接 getshell,可以控制网站;
upload-labs·文件上传(靶场攻略)
duoba_an的博客
03-19 9647
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。文件上传漏洞成因: 具备上传文件功能的Web等应用,未对用户选择上传的文件进行校验,使得非法 用户可通过上传可执行脚本而获取应用的控制权限。
web-渗透-文件上传漏洞专题靶场.rar
03-14
靶场为二十一个文件上传漏洞的环境,从前端绕过、服务器绕过、木马图上传绕过、截断绕过、竞争条件等等几乎包含目前所有的文件上传漏洞类型,刷完即掌握文件上传漏洞的所有要点。 文件中打包了所需的所有环境,解压,运行exe既可以完成所有需要的环境部署,省去大量繁琐的操作。
网络安全 文件上传漏洞-21 upload-labs通过全部
weixin_58052886的博客
06-26 307
其中有争议之处欢迎各位批评指正,或者有新的想法,欢迎大家评论。望在网安的道路上共同学习,携手并进。
upload-labs靶场详解
最新发布
2401_87551095的博客
04-26 1804
通过方法很多可以通过点过滤,空格过滤,::$DATA过滤,00截断,.user.inimove_uploaded_file()会忽略掉文件末尾的\.windows下构造php\.,linux构造php/.
upload-labs-master文件上传漏洞靶场详解(1-17)
zwy15288408160的博客
08-29 4909
初学者upload-labs-matser靶场详解
文件上传漏洞upload-labs靶场实战通
记录学习,一起进步
12-09 1677
通过实战通upload-labs靶场了解文件上传漏洞的常见攻击手段
文件上传漏洞upload-labs(Pass-01—Pass-21)通大合集
qq_46874275的博客
03-22 3178
~目录~开始Pass-01 JS绕过Pass-02 Content-Type绕过Pass-03 部分黑名单绕过Pass-04 .htaccess绕过Post-05 .user.ini绕过 / .空格.绕过Post-06 大小写绕过Post-07 空格绕过Post-08 点绕过Post-09 ::$DATA绕过Post-10 .空格.绕过Post-11 双写绕过Post-12 GET型00截断绕过Post-13 POST型00截断绕过Post-14 图片马绕过Post-15 getimagesize()-图片
upload-labs-master文件上传靶场
04-05
"upload-labs-master文件上传靶场】" 是一个针对文件上传功能安全性的测试平台,主要目的是帮助开发者、安全人员以及爱好者检验和学习文件上传漏洞的防范措施。在这个靶场中,你可以模拟不同的攻击手段,了解如何...
upload-labs靶场
09-09
upload-labs靶场提供的练习卡覆盖了上传漏洞的多个方面,从基础的文件类型限制绕过,到复杂的文件内容过滤和黑名单检测,提供了一个全面学习和实践的环境。通过各个卡的挑战,用户可以掌握在不同情况下利用和...
WEB渗透学习-upload-labs靶场
04-20
"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21卡,从基础到高级,帮助新手逐步提升对这类漏洞的理解和应对能力。 ### 一、文件上传漏洞概述 文件上传漏洞通常发生在Web应用程序中...
上传文件漏洞靶场upload-labs
09-27
【上传文件漏洞靶场upload-labs】是一个专为网络安全爱好者和初学者设计的实践平台,主要目的是帮助用户深入了解和练习上传文件漏洞。在Web应用程序中,上传功能常常因为设计不当而成为攻击者利用的安全隐患。这个...
Upload-master操作文件上传PHP库.zip
07-11
<?php /**  * Upload  *  * @author      Josh Lockhart <info@joshlockhart.com>  * @copyright   2012 Josh Lockhart  * @link        http://www.joshlockhart.com  * @version     2.0.0  *  * MIT LICENSE  *  * Permission is hereby granted, free of charge, to any person obtaining  * a copy of this software and associated documentation files (the  * "Software"), to deal in the Software without restriction, including  * without limitation the rights to use, copy, modify, merge, publish,  * distribute, sublicense, and/or sell copies of the Software, and to  * permit persons to whom the Software is furnished to do so, subject to  * the following conditions:  *  * The above copyright notice and this permission notice shall be  * included in all copies or substantial portions of the Software.  *  * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND,  * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF  * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND  * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE  * LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION  * OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION  * WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.  */ namespace Upload; /**  * FileInfo Interface  *  * @author  Josh Lockhart <info@joshlockhart.com>  * @since   2.0.0  * @package Upload  */ interface FileInfoInterface {     public function getPathname();     public function getName();     public function setName($name);     public function getExtension();     public function setExtension($extension);     public function getNameWithExtension();     public function getMimetype();     public function getSize();     public function getMd5();     public function getDimensions();     public function isUploadedFile(); } File Upload 是一款非常强大的文件上传处理插件,支持多文件上传,拖拽上传,进度条,文件验证及图片音视频预览,跨域上传等等。可以说你能想到的功能它都有。你没想到的功能它也有。。不过由于功能太强大,使用起来还是需要点基本功,否则调试开发会遇到困难。
文件上传漏洞upload-labs靶场_文件上传漏洞靶场
小司机的奥拓
01-15 1361
文件上传本身是一个正常的业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器,比如:上传图片,资料。文件上传漏洞不仅涉及上传漏洞这个行为,还涉及文件上传后的进一步解析和处理,以及文件的下载,如果服务器的处理逻辑设计的不够全面,就会导致严重的后果最简单的文件上传漏洞是指用户上传了一个可执行的脚本文件,并且根据此脚本获得了执行服务器命令的能力。
文件上传漏洞靶场:upload-labs安装
weixin_44522540的博客
02-26 918
文件上传漏洞靶场:upload-labs安装 一、安装 phpstudy下载地址:https://www.xp.cn/download.html upload-labs下载地址:https://github.com/Tj1ngwe1/upload-labs 以windows下phpstudy2018为例: 下载upload-labs后,解压,将文件名改为upload-labs,然后放入WWW目录下。 然后在浏览器中输入:http://127.0.0.1/upload-labs/即可 ...
upload-labs 全1-21 附详细解析(文件上传漏洞
weixin_47306547的博客
09-08 9252
1 客户端 JavaScript检验(通常为检测文件拓展名) 判断方法:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传 .jpg / .jpeg / .png 后缀名的文件,而此时并未发送数据包。 绕过办法:1.利用BurpSuite之类的代理工具进行抓包。 2.修改webshell后缀类型为允许上传类型。 3.抓包来拦截将其后缀名改为对应服务器可以解析的后缀名。 第 2 服务器MI
全面了解文件上传漏洞, 通upload-labs靶场
xf555er的博客
01-14 1940
upload-labs是一个专门用于学习文件上传漏洞攻击和防御的靶场。它提供了一系列模拟文件上传漏洞的实验环境,用于帮助用户了解文件上传漏洞的原理和防御技术。这个靶场包括了常见的文件上传漏洞类型,如文件名欺骗、文件类型欺骗、文件上传功能绕过等。通过练习不同的攻击方式,用户可以加深对文件上传漏洞的理解和提高对这类漏洞的攻击和防御技能。
文件上传解析漏洞(一)、Upload-labs-master1-10 Writeup
weixin_41487522的博客
06-16 719
文件上传解析漏洞(一)、Upload-labs-master1-10 Writeup 今天给大家分享的是文件上传解析漏洞以及Upload-labs-master1-10的Writeup。喜欢的朋友记得点个赞,最好注一下嘻嘻嘻。 在写靶场writeup之前先需要了解客户端检测和服务端检测两种校验。 客户端检测: 客户端检测: 一般是在网页上写一段JS脚本,用JS去检测,校验上传文件的后缀名,有白名单也有黑名单。 判断方式: 在浏览器加载文件,但还未点击上传按钮时便弹出对话框,内容例如:只允许上传.jpg/
upload-master-pass4
diemozao8175的博客
08-17 332
第四卡过滤了很多后缀名,但是没有过滤.htaccess 新建一个.htaccess的文件 内容为 1 SetHandler application/x-httpd-php 然后上传 这样该目录的文件都可以解析成php 在制作一张图片马 /b 是表示二进制文件 /a是表示ascll码文本文件 然后合并 在上传图片马,验证是否上传成功 ...
掌握文件上传漏洞技巧:upload-labs靶场实战演练
"upload-labs-master.zip"是一个文件上传漏洞的小游戏靶场,它的目的是帮助网络安全人员和开发人员通过实践来理解和掌握文件上传漏洞的相知识。这个靶场包含了多个卡,每个卡都有不同的文件上传漏洞场景,需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值