upload-labs通关(Pass-06~Pass-10)

最新推荐文章于 2024-10-27 21:45:27 发布
最新推荐文章于 2024-10-27 21:45:27 发布
阅读量2k 收藏 7
点赞数 5
CC 4.0 BY-SA版权
分类专栏: upload-labs # 文件上传/下载/包含 文章标签: php windows 网络安全 文件上传漏洞 upload-labs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/elephantxiang/article/details/120642013
本文详细介绍了在Pass-06到Pass-10的Web安全练习中,如何通过不同方式绕过黑名单过滤实现文件上传。这些技巧包括双写::$DATA、利用空格、添加特殊字符等。通过蚁剑工具连接并测试了这些webshell,揭示了服务器系统(如Windows)对文件名处理的漏洞。文章强调了黑名单过滤的安全性问题,并分析了代码中的关键漏洞点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

Pass-06

Pass-07

Pass-08 

Pass-09

Pass-10

Pass-06

上传sh.php失败,burp中将抓到的包send to repeater

修改filename为sh.xxx发现可以上传成功,说明是黑名单过滤

将报文send to intruder,按照Pass-03的套路爆破后缀名(upload-labs通关(Pass-01~Pass-05)_箭雨镜屋-优快云博客) 

爆破结果用../upload过滤,发现只有如下后缀的文件上传成功

仔细查看Response报文后发现,有如下两个文件可以作为webshell(服务器是windows系统),也就是说本关可以双写::$DATA绕过,也可以用大写绕过

 用蚁剑尝试一下连接这两个shell。先试双写::$DATA的,如下图所示,可以连接成功

再试试大写绕过的。特别注意,我在我的环境上,用apache 2.4.39的时候连接失败,Response报文状态码500,用nginx 1.15.11是可以成功的,并且用蚁剑连接的时候,蚁剑中url地址的文件名后缀大小写无所谓。

代码分析:

比起之前的关卡,本关在用上传文件的文件名后缀和黑名单比较之前没有把文件后缀转换成小写,所以大写绕过黑名单过滤可以成功。

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img
最低0.47元/天 解锁文章
Upload-Labs-Pass-08
龙狼刺的博客
04-21 1269
一、相关知识 1、特殊符号绕过原理: Windows系统下,如果上传文件的文件名为test.php::$DATA,则会在服务器中生成一个为test.php文件,其中内容和所上传的文件内容相同,并被解析。 二、环境搭配 攻击机: kali IP: 192.168.0.112 靶机: Windows2008 IP: 192.168.0.130:9006 三、文件上传 1、创建webshell 格式:weevely generate 密码 ...
upload-labs通关Pass-01~Pass-05)
箭雨镜屋
10-07 2724
开始之前,准备好burpsuite,浏览器配置好代理。 Pass-01 这关要求上传一个webshell,我选择了一个叫sh.php的文件并点击上传之后,跳出了一个弹框,提示当前文件类型不是允许上传的文件类型。 在burpsuite上proxy模块的http history中看了一下,并没有上传文件相关的报文,说明弹框时文件格式没有经过后端校验。 查看网页源代码,发现文件类型和弹框是由前端JS代码校验的。 这关至少有两种方法:浏览器disable JS,或者上传合法格式的文件,burp抓包
upload-labs pass-06
weixin_50339082的博客
06-23 227
upload-labs pass-06 Pass-06 先看一下源码(黑名单绕过–大小写绕过): $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pH
upload-labs:pass-06
羽的博客
07-09 275
第六和第三关对比一下,找不同。 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp...
upload-labs靶场-Pass-10-思路以及过程
weixin_44257023的博客
01-16 2742
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
Upload LABS Pass-10 双写后缀名绕过
wangyuxiang946的博客
07-03 1万+
uploadlabs10upload labs 第十关在后端用黑名单过滤文件后缀名,将匹配到的后缀名替换为空,但其只过滤了一遍,我们可双写后缀名绕过。
Upload-labs通关
刘箫-技术库
10-27 1515
尝试把webshell传入到服务器,发现服务器对文件后缀名进行过滤。
upload-labs靶场Pass-02
wanggonghanfei的博客
10-20 1024
upload-labs靶场Pass-02 白名单绕过MIME文件类型
upload-labs通关Pass-11~Pass-15)
箭雨镜屋
10-10 2818
Pass-11 什么鬼,我都做好了上传不成功的准备,结果sh.php居然上传成功了。 一看Response报文,果然事情没有这么简单,后端自动把文件名中的php去掉了,文件名变成sh.了 这样的话,盲猜可以用双写绕过。这关直接在repeater中试一下,就不劳intruder大驾了。 果然,双写php之后,服务器上保存的文件名是sh.php,成功绕过黑名单过滤。 代码分析: 本关代码在文件名中出现黑名单中的字符串时,用str_ireplace()函数替换为啥也没有,但是这个替换它不.
Upload-labs文件上传漏洞(空格绕过)——Pass06
Zichel77的博客
07-27 1150
0×00 题目描述 似乎可以使用Pass04文件改写?但是感觉应该不会那么简单 0×01 源码分析 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".
upload-labs靶场Pass-10
wanggonghanfei的博客
10-21 278
upload-labs靶场Pass-10
Upload-labs文件上传漏洞(双写绕过)——Pass10
Zichel77的博客
07-28 1066
0×00 题目概述 所以说是双写吗? 0×01 源代码 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv",.
Upload LABS Pass-6
热门推荐
wangyuxiang946的博客
07-02 1万+
uploadlabs6,upload labs 第六关在后端使用了黑名单 , 并过滤了大小写和点 , 但未过滤空格 , 我们使用代理抓包在后缀名中添加空格,即可绕过黑名单
Upload-Labs-Pass-06
龙狼刺的博客
04-20 226
一、相关知识 1、空格绕过原理: Windows系统下,对于文件名中的空格作为空处理,程序中的检测代码却不能自动删除空格,从而绕过黑名单。针对此情况,应修改对应的文件名,添加空格。 二、环境搭配 攻击机: kali IP: 192.168.0.112 靶机: Windows2008 IP: 192.168.0.130:9006 三、文件上传 1、制作一句话木马 命令:<?php @eval($_POST['hacker']); ...
文件上传--Upload-labs--Pass06--空格绕过
2302_79800344的博客
02-18 767
空格绕过
upload-labs靶场-Pass-06-思路以及过程
weixin_44257023的博客
01-15 2552
开始前的小准备 upload-labs靶场 是PHP环境运行的,所以我准备了一个PHP脚本和一张图片 图片好准备,PHP脚本如果不想写的话可以用我的这个获取当前时间的PHP脚本 <?php header("content-type:text/html;charset=utf-8"); date_default_timezone_set("PRC");//设置时区 echo "当前时间为:"; $today = date("Y-m-d D h:i:s A "); echo $today; ?
upload(Pass-10~Pass-)
kangzinian的博客
09-26 320
文章目录Pass-10Pass-11Pass-12(失败) Pass-10 查看提示:本pass只允许上传.jpg|.png|.gif后缀的文件! 有预感是白名单,再查看源码 is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".ht
文件上传漏洞-uploadlabs靶场1~10关解析
黄乔国PHP
03-16 996
在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器。
upload-labs】————7、Pass-06
Fly_鹏程万里
08-15 409
闯关界面 判断是前端检测还是后端检测: 之后查看源代码: 所有的文件后缀、大小写处理后过滤,但是对于后缀名却没有进行去除空格处理,这里可以通过在后缀名中加入空格绕过: 添加空格: 浏览器中访问: ...
upload-labs通关pass-12
最新发布
01-24
### 关于 Upload-Labs Pass-12 的解法 #### 背景介绍 Upload-Labs 是一个基于 PHP 编写的靶场项目,用于练习和学习文件上传漏洞的相关技巧。Pass-12 主要涉及通过特定条件下的文件上传来实现攻击目标。 #### 文件类型检测机制分析 在第十二关中,服务器端不仅会检查文件头信息还会验证 MIME 类型以及文件扩展名。为了成功绕过这些限制并完成挑战,可以利用某些浏览器或工具发送自定义 HTTP 请求头部[^1]。 #### 利用方法 一种常见的策略是构造特殊格式的数据包,在请求体内的 `Content-Type` 字段指定合法的图片MIME类型(如 image/jpeg),而实际提交的内容则为恶意脚本代码。由于服务端仅依赖客户端声明的信息来进行初步判断,因此这种方法可以在一定程度上规避基本的安全过滤[^2]。 另外需要注意的是,尽管该题目可能允许上传带有 .php 扩展名以外其他类型的文件,但在最终保存到磁盘之前通常会被重命名为随机字符串加上固定的后缀形式存储。所以即使能够上传 php 文件也需要考虑如何触发执行[^3]。 ```bash curl -X POST \ http://target_url/index.php?case=12&action=upload \ -H 'content-type: multipart/form-data;' \ -F "file=@/path/to/malicious_file.jpg;filename=image.jpg" ``` 此命令展示了如何使用 curl 工具向目标 URL 发送包含伪造 Content-Type 头部字段的POST请求,并附带一个名为image.jpg的实际载荷文件路径。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值