upload-labs通关(Pass-11~Pass-15)

最新推荐文章于 2024-12-04 06:00:00 发布
原创 最新推荐文章于 2024-12-04 06:00:00 发布 · 2.8k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #网络安全 #文件上传漏洞 #upload-labs #web安全

目录

Pass-11

Pass-12

Pass-13

Pass-14

Pass-15

Pass-11

什么鬼,我都做好了上传不成功的准备,结果sh.php居然上传成功了。

一看Response报文,果然事情没有这么简单,后端自动把文件名中的php去掉了,文件名变成sh.了

这样的话,盲猜可以用双写绕过。这关直接在repeater中试一下,就不劳intruder大驾了。

果然,双写php之后,服务器上保存的文件名是sh.php,成功绕过黑名单过滤。

代码分析:

本关代码在文件名中出现黑名单中的字符串时,用str_ireplace()函数替换为啥也没有,但是这个替换它不迭代,所以采用套娃的方式双写敏感后缀就可以绕过了。

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

Pass-12

上传sh.php之后,看这关页面返回的提示,似乎是白名单过滤呢

不死心,burp中把上图所示的报文send to repeater,发现filename改成sh.xxx上传失败,改成sh.jpg上传成功。看来真是文件名后缀的白名单过滤……

白名单还怎么玩呢(如果没有文件包含漏洞的话)……幸好这关看上去上传的文件的保存路径是用户可控的。如上图所示,请求报文的url中有个save_path参数,文件上传到服务器后的位置似乎是由这个参数决定的,这就给了%00截断发挥的机会。

构造请求报文,filename保持sh.jpg,为的是通过对文件名后缀的白名单校验;save_path的值改为 ../upload/sh.php%00,为的是使程序以为上传的文件应该保存为../upload/sh.php

虽然Response报文中显示的图片路径挺奇葩,但是后面分析代码的时候就知道显示的这个并不是文件真正的路径,实际上文件被保存为C:\phpstudy_pro\WWW\upload-labs\upload\sh.php

最低0.47元/天 解锁文章

200万优质内容无限畅学
Upload-Labs-Pass-11
龙狼刺的博客
04-23 1913
目录 一、相关知识 1、GET型00截断原理: 二、环境搭配 三、文件上传 1、创建webshell 2、修改文件名 3、设置代理 4、文件上传 四、Weevely连接 一、相关知识 1、GET型00截断原理: 0x00是十六进制表示方法,是ASCII码为0的字符,在有些函数处理时,会把这个字符当做结束符。系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。在PHP5.3之后的版本中完全修复了00截断。并且00截断受限于GPC,addslashes函数。 二、环境搭.
upload-labs靶场Pass-11
wanggonghanfei的博客
10-21 284
upload-labs靶场Pass-11 双写绕过
upload-labs通关小记 Pass11-16 含代码审计
Neonline254的博客
10-26 843
记录了学习"文件上传漏洞"时打的upload-labs靶场Pass11-16,包含具体的实验过程和一些题目的代码审计。
upload-labs-master靶场 Pass11-15通关秘诀(详解版)
鱼溯的博客
08-24 278
upload-labs-master靶场 Pass11-15通关秘诀(详解版)
12.upload-labs靶场通关详解(11~17)
m0_72760503的博客
08-05 2134
php版本要小于5.3.4,5.3.4及以上已经修复该问题;magic_quotes_gpc需要为OFF状态。
upload-labs:pass-15
羽的博客
07-11 382
function isImage($filename){ $types = '.jpeg|.png|.gif'; if(file_exists($filename)){ $info = getimagesize($filename); $ext = image_type_to_extension($info[2]); if(stripos($types,$ext)>=0){ return $ext; ...
Upload LABS Pass-11 00截断
热门推荐
wangyuxiang946的博客
07-05 1万+
uploadlabs11upload labs 第十一关在服务端使用了白名单 , 但文件保存路径外漏 , 可以使用00截断
upload-labs之第十四和十五关
田田云逸的博客
10-28 3128
Pass14 打开第十四关,发现任务要求跟上一关是一样的。都是要求上传图片马。所以再看看提示吧。 没有说要检查文件前两个字节了,但是用了一个新的函数来检查是否为图片文件。我们先了解一下这个getimagesize()函数是干嘛的吧。 getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。函数成功返回的就是一个数组,失败则
文件上传漏洞靶场upload-labs学习(pass11-pass15
AFCC_的博客(Web_Dog)
03-13 4868
0x00 Pass11 Pass11主要考察str_ireplace函数 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv",
upload-labs通关Pass-06~Pass-10)
箭雨镜屋
10-08 2032
Pass-06 上传sh.php失败,burp中将抓到的包send to repeater 修改filename为sh.xxx发现可以上传成功,说明是黑名单过滤 将报文send to intruder,按照Pass-03的套路爆破后缀名(upload-labs通关Pass-01~Pass-05)_箭雨镜屋-优快云博客) 爆破结果用../upload过滤,发现只有如下后缀的文件上传成功 仔细查看Response报文后发现,有如下两个文件可以作为webshell(服务器是window.
upload-labs通关Pass-01~Pass-05)
箭雨镜屋
10-07 2726
开始之前,准备好burpsuite,浏览器配置好代理。 Pass-01 这关要求上传一个webshell,我选择了一个叫sh.php的文件并点击上传之后,跳出了一个弹框,提示当前文件类型不是允许上传的文件类型。 在burpsuite上proxy模块的http history中看了一下,并没有上传文件相关的报文,说明弹框时文件格式没有经过后端校验。 查看网页源代码,发现文件类型和弹框是由前端JS代码校验的。 这关至少有两种方法:浏览器disable JS,或者上传合法格式的文件,burp抓包
Upload-labs通关
刘箫-技术库
10-27 1522
尝试把webshell传入到服务器,发现服务器对文件后缀名进行过滤。
upload-labs靶场Pass-02
wanggonghanfei的博客
10-20 1031
upload-labs靶场Pass-02 白名单绕过MIME文件类型
upload-labs】————16、Pass-15
Fly_鹏程万里
08-15 598
闯关页面 查看源代码: 这里用到php_exif模块来判断文件类型,还是直接就可以利用图片马就可进行绕过: 首先制作木马文件: 之后上传该文件 ...
Upload-Lab第15关:巧妙利用头文件绕过文件上传验证限制
didiplus
08-21 509
网络安全领域,文件上传漏洞是一个常见且危险的漏洞。通过这些漏洞,攻击者可以上传恶意文件并在目标服务器上执行任意代码,从而控制整个系统。在Upload-Lab的第15关,我们将学习如何通过巧妙利用头文件来绕过文件上传的验证限制。这一关的挑战在于理解和利用 头文件的细节,从而成功绕过服务器的安全检查。通过第15关的学习,我们深入了解了如何利用头文件绕过文件上传验证限制。这不仅增强了我们对文件上传漏洞的认识,也提高了我们在实际工作中防御此类攻击的能力。
upload-labs通关(Pass11-Pass15)
m0_46467017的博客
08-15 800
从下面这段代码的第3和第4行可知,文件名后缀白名单检测的位置是filename参数值,而从第6行可知,本关文件最后保存的路径是由url中save_path的值和一个随机数以及通过filename传入的文件名后缀组成的。本关用getimagesize()函数获取图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度,并将其取出的文件类型信息$info[2]与文件后缀白名单$types进行对比,判断上传的文件是否合法,并将$info[2]作为上传后的文件的后缀名。文件,说明本关是白名单过滤。...
UPLOAD LABS | PASS 15 - 白名单绕过(图片马 - 图片马的制作)
Blue17 の 小窝
12-04 933
图片末尾追加上一句话木马的内容?但是呢,前面我们也写了,我们是用二进制方式操作的,如果你直接将图片用 Windows 自带的记事本打开,然后添加上一句话木马的话,这个是无效的,甚至会直接破坏图片原本的格式(因为 Windows 记事本保存的格式与图片的编码还是不太一致的,这个东东最好还是对二进制进行操作)。所以,此时我们就需要专业的伪造手法,即笔者前面提到的 “图片马的制作” 部分的内容。上面链接的靶场是一个练习 XSS 的靶场,其插入的是 HTML 代码,同理,你换成一句话木马插入就可以了。
upload-labs15~17关
weixin_67813445的博客
02-28 369
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。
upload-master-pass15
diemozao8175的博客
08-18 192
第十五关 提示 “pass使用exif_imagetype()检查是否为图片文件!” exif_imagetype() 读取一个图像的第一个字节并检查其签名。 这样可以避免修改后缀名来进行绕过 但同样可以上传图片马来进行绕过 转载于:https://www.cnblogs.com/gaonuoqi/p/11372066.html...
upload-labs通关pass-12
最新发布
01-24
### 关于 Upload-Labs Pass-12 的解法 #### 背景介绍 Upload-Labs 是一个基于 PHP 编写的靶场项目,用于练习和学习文件上传漏洞的相关技巧。Pass-12 主要涉及通过特定条件下的文件上传来实现攻击目标。 #### 文件类型检测机制分析 在第十二关中,服务器端不仅会检查文件头信息还会验证 MIME 类型以及文件扩展名。为了成功绕过这些限制并完成挑战,可以利用某些浏览器或工具发送自定义 HTTP 请求头部[^1]。 #### 利用方法 一种常见的策略是构造特殊格式的数据包,在请求体内的 `Content-Type` 字段指定合法的图片MIME类型(如 image/jpeg),而实际提交的内容则为恶意脚本代码。由于服务端仅依赖客户端声明的信息来进行初步判断,因此这种方法可以在一定程度上规避基本的安全过滤[^2]。 另外需要注意的是,尽管该题目可能允许上传带有 .php 扩展名以外其他类型的文件,但在最终保存到磁盘之前通常会被重命名为随机字符串加上固定的后缀形式存储。所以即使能够上传 php 文件也需要考虑如何触发执行[^3]。 ```bash curl -X POST \ http://target_url/index.php?case=12&action=upload \ -H 'content-type: multipart/form-data;' \ -F "file=@/path/to/malicious_file.jpg;filename=image.jpg" ``` 此命令展示了如何使用 curl 工具向目标 URL 发送包含伪造 Content-Type 头部字段的POST请求,并附带一个名为image.jpg的实际载荷文件路径。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值