文件上传Webshell靶场

最新推荐文章于 2024-12-25 14:05:08 发布
最新推荐文章于 2024-12-25 14:05:08 发布
阅读量1.8k 收藏 41
点赞数 31
CC 4.0 BY-SA版权
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cjchsh/article/details/143465767

Webshell 是一种恶意脚本,通常被黑客上传到受害者的服务器上,以便远程控制和管理该服务器。它可以通过 web 应用程序的漏洞(如文件上传漏洞)被植入,并允许攻击者执行命令、访问文件、修改数据库等。

前端绕过

在第一关的靶场中,直接上传图片是可以的,如何判断是否是前端验证呢?首先抓包监听,如果上传文件的时候还没有抓取到数据包,但是浏览器就提示文件类型不正确的话,那么这个多半就是前端校验了。

针对无法绕过的情况,我们可以先将php文件改为图片后缀,然后进行上传,同时开启抓包拦截该数据包,再将后缀名修改回原来的php即可实现绕过。

查看前端即可发现已经上传成功,右键复制图片链接地址即可访问木马文件。

然后我们拿到蚁剑进行连接即可。

之后发现flag

.htaccess绕过

因为题目是考查 htaccess 这个上传知识点,所以先准备一个解析规则:

$ cat .htaccess
AddType application/x-httpd-php .jpg

然后先上传这个 .htaccess 文件到服务器的 upload 目录下:

这表示将 upload 目录下的所有jpg图片都当做 php 来解析,然后再上传一个 shell.php重命名为shell.jpg的 webshell 即可,可以看到之前的.htaccess也已经被上传。

MIME绕过

因为提示了 MIME 类型校验,所以抓取上传的数据包然后直接修改 Content-Type 类型为:image/png 等合法的类型即可:

上传shell.jpg,然后再重新将后缀改为php即可,content-type会自动识别为图片类型实现绕过。

或者是直接上传shell.php,然后将content-type改为image/jpeg即可。

文件头绕过

本题配图中里面包含了 GIF89a 已经很明显了,答案就在题目中。本题校验了图片的文件头也就是校验图片内容的,这个时候使用一个标准的图马是可以成功绕过的,由于国光的这个代码只校验了前面几个字节,所以直接在webshell的内容前写GIF89a 即可成功绕过:

古老的漏洞-1 GET型00截断绕过

%00 截断:PHP 内核是由 C 语言实现的,所以使用了 C 语言中的一些字符串处理函数。比如在连接字符串时候, 0 字节 (\x00) 将作为字符串结束符。所以在这个地方,攻击者只要在最后加入一个 0 字节,就能截断 file 变量之后的字符串。

%00 截断适用条件

  • magic_quotes_gpc = Off
  • PHP 版本小于 5.3.4

原理是 %00 起到截断的作用,最终会在 upload 目录下面生成 new.php

古老的漏洞-2 POST型00截断绕过

本关与上一关基本相同,只不过路径的提交点在POST请求体中。

因为不是 GET 型,所以需要手动 URL 解码实现截断。

这里解码后虽然看起来没有东西 但是如果不存在 %00 URL 解码后的空字节的话无法绕过成功上传。

条件竞争

本关实际上比拼的是手速,条件竞争的话稍微和正常的上传姿势不一样,先把题目中给的 webshell 信息复制出来备用:

shell.php内容

<?php fputs(fopen('xiao.php','w'),'<?php eval($_REQUEST[1]);?>');?>

那么其实逻辑是一直上传对应的shell.php,而其本质上并不是之前几关的webshell,而是在触发一个文件创建的操作,创建一个xiao.php,内容为webshell。但是由于服务器安全机制,会删除我们的文件,所以必须要趁服务器未删除前触发这个新的文件创建操作,实现上传。

首先上传并抓包这个shell.php,然后发送到intruder模块,选择空载荷Null Payload。然后选择无限爆破。

然后我们再去访问这个shell.php并抓包发送到intruder模块,也是使用Intruder无限爆破访问,如果条件竞争成功,那么将在服务器下生成对应的xiao.php,然后就可以连接了。

成不成全靠运气,不然怎么叫做竞争呢?

成功的话会在服务器中生成xiao.php。

cjchsh
关注
文件上传漏洞:pikachu靶场中的文件上传漏洞通关
qq_68163788的博客
05-28 3426
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell
upload-labs漏洞靶场~文件上传漏洞
weixin_67832625的博客
07-31 844
寻找测试网站的文件上传的模块,常见:头像上传,修改上传,文件编辑器中文件上传,图片上传、媒体上传等,通过抓包上传恶意的文件进行测试,上传后缀名 asp php aspx 等的动态语言脚本,查看上传时的返回信息,判断是否能直接上传,如果不能直接上传,再进行测试上传突破,例如上传文件的时候只允许图片格式的后缀,但是修改文件时,却没有限制后缀名,图片文件可以修改成动态语言格式如php,则可能访问这个文件的 URL 直接 getshell,可以控制网站;
文件上传【个人学习笔记】
lx_xy的博客
12-25 780
—补充:有时候文件上传时不能直接上传带有webshell文件,这时候就可以我们就可以使用配置文件,我们可以借助.user.ini轻松让所有php文件都“自动”包含某个文件,而这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell。这里在php的后面添加了一个空格和字母a,其实写什么都可以,只是一般空格的16进制为0x20,比较好记,加个a好找到空格的位置,如果写个任意字符,再去查他的16进制表示也可以。,这样就可以成功上传.user.ini文件,然后直接上传1.gif文件
如何上传WEBSHELL思路
12-26
如何上传WEBSHELL思路 如何上传WEBSHELL思路 如何上传WEBSHELL思路
文件上传漏洞获取webshell
phantomshad的博客
10-04 1581
php一看/test.jpg/test.php不存在,便删去最后的/test.php,又看/test.jpg存在,便把/test.jpg当成要执行的文件了,又因为后缀为.jpgphp认为这不是php文件,于是返回Access denied。原理:虽然web应用做了校验,但是由于文件上传后的路径用户可以控制,攻击者可以利用手动添加字符串标识符0X00的方式来将后面的拼接的内容进行截断,导致后面的内容无效,而且后面的内容又可以帮助我们绕过黑白名单的检测。后面的直接被忽略,也就是说当成xx.asp文件执行。
文件上传WebShell
qq_37107430的博客
12-14 1862
WebShell就是以asp、php、jsp等网页文件形式存在的一种命令执行境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门, 得到一个命令执行环境,以达到控制网站服务器的目的。
文件上传Webshell连接方法
saber的博客
04-19 8228
Webshell就是以asp.php.jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页木马后门,攻击者可以通过这种网页后门获得网站服务器操作权限,控制网站服务器以进行上传下载文件, 查看数据库执行命令 通过服务器开放的端口获取服务器的某些权限。往目标网站中上传一句话木马,然后你就可以在本地通过Shell管理工具连接即可获取和控制整个网站目录。
webshell,文件上传漏洞
weixin_45605313的博客
04-22 1373
webshell
文件上传漏洞:upload-labs靶场通关
qq_68163788的博客
02-16 4856
upload-labs是一个专注于Web安全的在线靶场,旨在帮助安全研究人员和学习者提升对Web安全的理解和技能。该靶场提供了丰富的漏洞场景和挑战,涵盖了常见的Web安全漏洞类型,包括但不限于SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、文件上传漏洞等。 通过upload-labs,用户可以在真实的环境中进行漏洞挖掘和漏洞利用的实践,学习并掌握各种常见的Web安全攻防技术。靶场提供了丰富的学习资源和提示,帮助用户理解漏洞的原理和挖掘漏洞的方法,同时还提供了实时的漏洞利用演示,帮助用户更好地理解漏洞
WebShell文件上传漏洞分析溯源(第3题)
02-22
WebShell 文件上传漏洞分析溯源 本文将对 WebShell 文件上传漏洞进行深入分析,探讨其原理、危害性以及防御方法。同时,通过实践演示,展示如何绕过页面对可执行文件上传的限制,利用 WebShell 读取服务器上的源...
【网络安全】文件上传靶场通关(1-11关)
m0_67401660的博客
07-28 3731
本次实验利用靶场为upload-labs-env这个靶场作为文件上传初学者是很友好的,大部分关卡是比较基础的,而且可以看源码了解思路和开发的思路对于初学者来说十分的友好,所以本次汇总一下也是为了分享更多的资料给各位粉丝们学习交流。二、实验准备首先我们需要了解什么是一句话木马,什么是小马什么是大马,其次我们需要了解文件上传绕过方式。在前面的文章中我分享过有关文件上传漏洞的绕过方式及其原理介绍。文件上传绕过原理其次我们需要准备好webshell管理工具,比如蚁剑、冰蝎等,我在这里使用蚁剑进行演示。...
国光师傅文件上传靶场练习
weixin_63231007的博客
04-23 1789
0x01 JS (1)抓包绕过前端检测 因为存在前段验证的问题,所以我们将一句话木马文件shell.php 重命名为 shell.jpg 上传抓包的时候再将文件名修改为 shell.php 即可绕过前段限制,成功上传 webshell。蚁剑连接进入后台。 (2)禁用js 看文章题目可知,使用js来检测后缀。所以我们用js禁用插件禁用js。即可上传php木马文件。 0x02 .htaccess 上传.htaccess文件写入 AddType application/x-httpd-php .
Web安全之文件上传
qq_42751192的博客
06-13 3327
文件上传漏洞是 Web 安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell 等到服务器执行,并最终获得网站控制权限的高危漏洞。大部分的网站和应用系统都有上传功能,而程序员在开发任意文件上传功能时,并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。
WEB漏洞——文件上传
qq_63594215的博客
04-09 1869
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类,当该扩展名文件被访问的时候,浏览器会自动使用知道应用程序来打开。多用于知道一些客户端自定义的文件名,以及一些媒体文件打开方式。网站允许上传任意文件,然后检查上传文件是否包含Webshell,如果包含删除文件。网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件
文件上传-图片webshell上传
qq_25899635的博客
05-21 4798
图片webshell制作 在服务器端的PHP代码中,对于用户上传的文件文件类型检查,查看文件格式是否符合上传规范。可以检查文件二进制格式的前几个字节,从而判断文件类型是否正确。 针对这种情况可以直接新建要给1.jpg,其中代码内容如下: GIF98A <?php phpinfo(); ?> 上传图片webshell文件 将制作好的图片webshell上传到服务器。 其中可能Cont...
细说——文件上传漏洞(另附文件上传靶场通关记录)
LainWith的博客
10-11 2436
目录漏洞描述漏洞危害常见上传点和绕过方式上传点后缀绕过解析漏洞常见绕过类型脑图漏洞在系统中的差异IIS 5.x/6.0解析漏洞Nginx 解析漏洞Apache 解析漏洞靶场环境准备理解文件上传Pass-1-js检查【前端绕过】Pass-2-只验证Content-type【考核:MIME绕过】Pass-3-黑名单绕过【考核:特殊解析后缀】Pass-4-.htaccess绕过【黑名单绕过】Pass-5-大小写绕过Pass-6-空格绕过【黑名单绕过】Pass-7-点绕过【黑名单绕过】Pass-8-::$DATA绕
文件上传漏洞靶场upload-labs学习(pass16-pass21)
AFCC_的博客(Web_Dog)
03-19 4464
Upload-Labs关卡0x00 Pass16(exif_imagetype函数绕过)环境准备exif_imagetype函数0x01 Pass17(二次渲染绕过)move_uploaded_file函数imagecreatefromjpeg、imagecreatefrompng、imagecreatefromgif函数imagejpeg、imagepng、imagegif函数过关思路GIF文件插入payloadpng、jpg文件插入payload0x02 Pass18(条件竞争绕过)抓取上传数据包抓取访
「造轮子」一个文件上传靶场知识总结记录
weixin_50464560的博客
08-05 413
简介 直接使用别人的靶场总感觉不太好,那么就干脆自己写一个自己的文件上传靶场吧。正好博客之前也没有单独总结过文件上传的知识点,那么就顺便水一篇文章,岂不是一举两得。当然关于文件上传 upload-labs 总结的比较全面了,非强迫症患者建议直接去刷 upload-labs ,本文很多核心代码也都是直接用了 upload-labs 的轮子的… 本项目的优势: Docker 一键部署很方便,可以灵活的导入到 CTFd 中 题目更侧重于教学,注重对选手解题的引导,而不是一味地刁...
webshell 文件上传漏洞
m0_59049258的博客
04-09 392
webshell
dvwa靶场webshell
最新发布
03-04
### DVWA Web Security Lab 中的 WebShell 教程 #### 关于DVWA中的WebShell漏洞利用 在DVWA (Damn Vulnerable Web Application) 靶场环境中,`WebShell`功能通常用于展示如何通过上传恶意脚本文件来获得对服务器的部分控制权限。为了成功执行这一攻击向量,应用程序必须允许用户上传文件到服务器上,并且这些文件能够被解释器解析并运行。 对于低安全级别配置下的DVWA实例: - 用户可以访问带有已知漏洞的应用程序页面。 - 攻击者可能尝试上传特制PHP文件或其他可执行代码片段作为图片或文档等形式提交给服务器保存。 - 如果验证机制薄弱,则可能导致任意命令注入风险,使得远程攻击者能够在目标主机上植入持久化后门即所谓的web shell[^1]。 下面是一个简单的Python脚本例子,用来模拟发送POST请求以试图绕过基本的身份验证并将payload传递至服务器端处理函数;请注意这仅作学习用途,在实际渗透测试过程中应当遵循合法授权流程! ```python import requests target_url = 'http://example.com/upload' # 替换成真实的URL路径 file_to_upload = ('filename', open('malicious.php', 'rb')) data_posted = {'submit': 'Upload'} response = requests.post(target_url, files=[file_to_upload], data=data_posted) if response.status_code == 200: print("[+] 文件上传成功") else: print("[-] 请求失败:", response.status_code) ``` 一旦获得了有效的反序列化点或者是其他类型的RCE(Remote Code Execution),就可以考虑使用工具如sqlmap配合特定参数(--os-shell),它可以帮助自动化地探测数据库管理系统上的SQL注入缺陷,并进一步提升权限直至取得操作系统层面交互式的shell会话环境[^2]。 需要注意的是上述操作均需在一个受控实验室内完成,严禁非法入侵任何网络资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值