upload-labs通关(Pass-01~Pass-05)

最新推荐文章于 2025-06-26 17:47:20 发布
最新推荐文章于 2025-06-26 17:47:20 发布
阅读量2.7k 收藏 37
点赞数 12
CC 4.0 BY-SA版权
分类专栏: upload-labs # 文件上传/下载/包含 文章标签: php 网络安全 文件上传 upload web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/elephantxiang/article/details/120406001

目录

Pass-01

方法1:浏览器disable JS

方法2: burp抓包修改后缀

Pass-02

方法1:改Content-Type

方法 2:改文件后缀

Pass-03

Pass-04

Pass-05

开始之前,准备好burpsuite,浏览器配置好代理。

(还有一个必须知道的知识点)文件上传漏洞被利用需要两个前提条件

1、文件能上传成功

2、攻击者能知道文件路径

凡是上传图片并显示的关卡,都有三种方式可以知道文件路径,这里先说一下,后面就不再每关赘述了:

1、最简单直接的,在没显示出来的图片上右键选择“复制图像链接”,可以得到文件的绝对路径,比如:

http://192.168.101.16/upload-labs/upload/sh.php

 2、网页上右键选择“查看页面源代码”,源代码中显示文件的相对路径

3、如果是用burpsuite上传的文件,response报文中也会显示文件的相对路径。

下面就正式开始吧~~~

Pass-01

这关要求上传一个webshell,我选择了一个叫sh.php的文件并点击上传之后,跳出了一个弹框,提示当前文件类型不是允许上传的文件类型。

在burpsuite上proxy模块的http history中看了一下,并没有上传文件相关的报文,说明弹框时文件格式没有经过后端校验。

查看网页源代码,发现文件类型和弹框是由前端JS代码校验的。

这关至少有两种方法:浏览器disable JS,或者上传合法格式的文件,burp抓包并修改文件后缀为.php

方法1:浏览器disable JS

firefox可以安装一个叫Script Switch的插件,安装成功之后,就是下图右上角小红框里那个图标,使其处在JS disabled状态,上传sh.php。出现下图这样没加载成功的图片表示webshell已经上传成功。

到服务器上看看,上传成功的webshell在 upload-labs目录\upload 文件夹下

好了,先把服务器上的sh.php删掉,再来试试方法2。

方法2: burp抓包修改后缀

这个方法不如方法1方便呢,但是比较通用,而且不用安装插件或者扩展……

把攻击机上的sh.php改名为sh.png。

burp的proxy模块的intercept设置为on

选择sh.png并上传,这时burp的proxy模块可以抓到请求报文

将请求报文中 Content-Disposition头的filename从sh.png改为sh.php

然后一路forward,再去服务器上看看,就发现sh.php已经成功上传到服务器了。

 

最低0.47元/天 解锁文章

200万优质内容无限畅学
upload-labs靶场Pass-01
wanggonghanfei的博客
10-20 433
upload-labs靶场Pass-01,前端绕过
Upload-labs Pass-01
a_running_snail_的博客
02-13 527
 源代码: function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; } //定...
1.upload-labsPass01
qwsn
03-13 1862
一、Pass-01 1、上传一个shell.php shell.php内容为:<?php @eval($_POST['123']);?> //结果如下图所示,提示我们文件后缀不正确,只允许后缀名为:.jpg .png .gif的文件被上传 2、浏览器开启代理,打开BP,我们再次尝试上传shell.php 结果如下图所示:P没有收到拦截的请求包,依旧提示不允许上传 //这就说...
uploadlabs靶场1-21关前五关(1-5)通关超详细教程
最新发布
2301_80578688的博客
06-26 607
本文总结了upload-labs靶场前五关的上传绕过方法:第一关禁用JavaScript后上传PHP文件;第二关使用BurpSuite修改文件后缀;第三关上传.phtml文件并修改php配置;第四关利用.htaccess文件解析png为php;第五关通过.user.ini文件包含木马。每关都需要注意关闭安全软件、正确配置服务器环境,并使用Hackbar等工具测试木马是否生效。
upload-labs(Pass-01 ~ Pass-05)
m0_64849639的博客
08-14 1392
upload-labs
upload-labs Pass-01(详解)
菜菜的博客
09-26 570
思路:发现了只能上传图片类型,我们可以使用burp来修改前端,来上传php一句话木马,或者在burp里上传的图片的文件后添加一句话木马。打开蚁剑,输入url地址http://192.168.7.56:1111/upload/7.php 输入一句话密码cmd,点击测试连接,点击添加。发现前端限制了我们只能上传.jpg .png .gif类型的文件。burp就会显示,下面很长而且看不懂的就是图片文件的内容。打开burp,打开抓包,浏览器先上传一张图片。就上传成功了,右键图片点击新建标签打开图像。
upload-labs通关Pass-06~Pass-10)
箭雨镜屋
10-08 2033
Pass-06 上传sh.php失败,burp中将抓到的包send to repeater 修改filename为sh.xxx发现可以上传成功,说明是黑名单过滤 将报文send to intruder,按照Pass-03的套路爆破后缀名(upload-labs通关Pass-01~Pass-05)_箭雨镜屋-优快云博客) 爆破结果用../upload过滤,发现只有如下后缀的文件上传成功 仔细查看Response报文后发现,有如下两个文件可以作为webshell(服务器是window.
Upload-labs通关
刘箫-技术库
10-27 1523
尝试把webshell传入到服务器,发现服务器对文件后缀名进行过滤。
upload-labs靶场Pass-02
wanggonghanfei的博客
10-20 1031
upload-labs靶场Pass-02 白名单绕过MIME文件类型
upload-labs通关Pass-11~Pass-15)
箭雨镜屋
10-10 2834
Pass-11 什么鬼,我都做好了上传不成功的准备,结果sh.php居然上传成功了。 一看Response报文,果然事情没有这么简单,后端自动把文件名中的php去掉了,文件名变成sh.了 这样的话,盲猜可以用双写绕过。这关直接在repeater中试一下,就不劳intruder大驾了。 果然,双写php之后,服务器上保存的文件名是sh.php,成功绕过黑名单过滤。 代码分析: 本关代码在文件名中出现黑名单中的字符串时,用str_ireplace()函数替换为啥也没有,但是这个替换它不.
Upload-Labs-Pass-01
u013622866的博客
03-17 371
今日开始每日一上传,哈哈哈哈哈哈哈 环境搭建 Windows 7 phpstudy 文件上传 访问pass_01 右击查看前端源代码,发现一段前端验证的JS代码段 <script type="text/javascript"> function checkFile() { var file = document.getElementsByNa...
upload-labs靶场-Pass-01-思路以及过程
weixin_44257023的博客
01-10 914
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
upload-labs:pass-05
羽的博客
07-07 295
类型上还是一个后端黑名单绕过。 这里不一样的是又多加了一个.htaccess,也就是pass-04的方法不能用了。 不过还有一个配置文件: .user.ini文件。 .user.ini相当于一个用户自定义的php.ini。 先上传一个以auto_prepend_file=hacker.gif为内容的.user.ini文件,.user.ini文件里的意思是:所有的php文件都自动包含hacker.gif文件。 然后再传一个内容为php一句话的脚本,命名为hacker.gif, 这样,hack...
upload-labs/Pass-01
m0_64593235的博客
04-21 150
upload-labs/Pass-01
upload-labs通关(Pass01-Pass05)
m0_46467017的博客
08-15 2226
我们在数据包中把后缀名改为.php. .,首先他发现有一个点,这时会把他去掉,又发现有一个空格,也会把它去掉,我们这时还有一个点,也就是.php. 由于他只是验证一次,所以不会在去掉我们的点。我们在数据包中把后缀名改为.php. .,首先他发现有一个点,这时会把他去掉,又发现有一个空格,也会把它去掉,我们这时还有一个点,也就是.php. 由于他只是验证一次,所以不会在去掉我们的点。本关也有两种绕过方法:第一种是上传php文件,改Content-Type,第二种是上次合法后缀文件,改文件改后缀。...
Upload-Labs-Pass-05
龙狼刺的博客
04-20 353
一、相关知识 1、大小写绕过原理: Windows系统下,对于文件名中的大小写不敏感。例如:test.php和TeSt.PHP是一样的。 Linux系统下,对于文件名中的大小写敏感。例如:test.php和TeSt.PHP是不一样的。 二、环境搭配 攻击机: kali IP: 192.168.0.112 靶机: Windows2008 IP: 192.168.0.130:9006 三、文件上传 1、制作一句话木马 命令:<?php @eval
5.upload-labsPass05
qwsn
03-13 3096
一、Pass05 1、上传一个shell.php shell.php内容为:<?php @eval($_POST['123']);?> //结果如下图所示,提示我们此文件不允许上传 2、扩展名黑名单绕过方法: ①、上传,shell.php.jpg //尝试是否存在apache的解析漏洞 //结果,不能解析 ②、上传.htaccess //尝试,是否被过滤 //结果,被过滤 ③、打开...
upload-labs pass-01
weixin_50683638的博客
04-01 151
文件上传——upload-labs第一关 上传一句话文件
Upload-Lab Pass-01
qq_33775686的博客
05-17 352
Upload-Lab Pass01文件上传漏洞的危害大家都知道了,攻击者通过文件上传漏洞上传恶意可执行脚本可以达到获取服务器shell的目的。 ​ 文件上传漏洞的防御分为前端验证和后端验证。 ​ 前端是通过文件名信息进行验证,普通开发者可能会在前端以黑名单的方式过滤文件后缀名,黑名单也会出现遗漏情况,所以前端防御建议使用白名单过滤的方式,当然,前端的过滤方式一旦修改了js文件就不起作用了。 ​ 后端验证就是通过MIME类型验证、文件后缀验证、文件路径验证、文件内容验证这几种方式。 ​ Upload-L
upload-labs通关pass-05
01-16
### 关于 upload-labspass-05 的解法与提示 #### 文件上传机制分析 Pass-05 主要考察的是文件上传过程中对文件扩展名的验证机制。通常情况下,服务器会严格检查上传文件的扩展名来防止恶意脚本被上传并执行。然而,在某些实现中可能存在大小写敏感性的漏洞[^3]。 #### 绕过方法探讨 为了成功绕过这种基于扩展名的安全检测,可以尝试利用 PHP 对文件扩展名处理时存在的大小写不敏感特性。具体来说,当服务器端代码仅简单匹配特定的小写字母形式(如 `.php`),而未考虑其他变体时,则可以通过提交带有大写字母或其他字符组合的形式(例如`.phP`, `.Php`, 或者更复杂的变形)来规避此类限制[^4]。 #### 实际操作步骤展示 下面给出一段 Python 脚本来模拟这一过程: ```python import requests url = "http://target_url/upload.php" files = {'file': ('test.phP', open('malicious_code.php', 'rb'))} response = requests.post(url, files=files) print(response.text) ``` 此段代码展示了如何构造一个 POST 请求并将名为 `test.phP` 的文件作为表单数据的一部分发送出去。这里的关键在于选择了非标准但仍然会被解释器识别为有效 PHP 文件名格式的名字。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值