upload-labs(第十一关到第十五关)

原创 于 2025-10-23 09:00:00 发布 · 304 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #Upload-Labs #文件上传

前言:

我们还是学习Upload-labs靶场。

正文:

第十一关(双写绕过黑名单)

查看一下源代码:

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
    	//黑名单
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");
		//读取上传的文件的名字
        $file_name = trim($_FILES['upload_file']['name']);
        //如果上传文件的名字有黑名单的内容,就使用空格代替黑名单里面的内容
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;

这个适合,我们可以尝试一下双写绕过

在这里插入图片描述
上传成功
在这里插入图片描述

文件名也对。
在这里插入图片描述

第十二关(白名单 %00截断)

这个属于白名单绕过,这是php语言自身的问题,php低版本存在的漏洞。查看一下源代码。

if(isset($_POST['submit'])){
    //设置一下白名单
    $ext_arr = array('jpg','png','gif');
    //取出的上传文件的后缀
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    //如果后缀在白名单中,就开始重新命名
    if(in_array($file_ext,$ext_arr)){
        //分析代码,这是以时间戳的方式对上传文件进行命名,
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } 
    //如果后缀不在白名单中,就报错
    else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

使用上传路径名%00截断绕过,不过这需要对文件有足够的权限,比如说创建文件夹,上传的文件名写成1.jpg(这个随便写,后面的路径相当于对文件进行重命名), save_path改成…/upload/kun12343.php%00 (kun12343.php%00.jpg经过url转码后会变为kun12343.php\000.jpg),最后保存下来的文件就是kun12343.php

前提:

%00截断的限制条件是PHP<5.3.29,且GPC关闭
因为当 magic_quotes_gpc 打开时,所有的 ’(单引号), "(双引号),(反斜线) and  空字符会自动转为含有反斜线的转义字符。
magic_quotes_gpc 着重偏向数据库方面,是为了防止sql注入,
但magic_quotes_gpc开启还会对 $_REQUEST,GET ,_GET,GET,POST,$COOKIE 输入的内容进行过滤

上传一个一句话木马,

在这里插入图片描述

上传成功

在这里插入图片描述

第十三关(白名单 0x00截断)

这个代码和上一关代码类似

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传失败";
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

我们试一下

在这里插入图片描述
我们看到 ,路径不在url中了,我们使用0x00
在这里插入图片描述
将upload后面加上kun12343.php加空格,名字改成jpg格式。点击十六进制,找到我们留的一个空格,将空格改成00

在这里插入图片描述
如下:

在这里插入图片描述
点击发送
在这里插入图片描述
成功上传

第十四关(绕过文件头检查)

将文件头改成GIF的文件头
在这里插入图片描述
成功绕过
在这里插入图片描述

第十五关(getimagesize())

我们上传kun12343.php,抓包,将Content-Type修改为:image/jpeg。在请求内容开头加上GIF89A点击发送
在这里插入图片描述
上传成功。

文件上传漏洞:upload-labs靶场11-20
sgdhshshhs的博客
03-05 965
但POST请求有不同,因为在上传表单中存在一个enctype的属性,而且在enctype=”multipart/form-data”这里,是不会对表单中的数据进行解码的,需要我们将POST中的%00解码后传入。针对二次渲染,我们的方法是利用beyond compare工具,进行上传前和上传后的16进制对比,找出相同的位置插入我们的脚本代码,接着重新上传该图片。该文件包含解码通过get传参,我们复制图片地址,链接到文件包含界面,然后访问。文件,代码处得到的后缀为jpg,能够通过对文件后缀的检测,
upload-labs卡11(双写后缀名绕过)思路
zyh1588的博客
11-17 742
小白回顾文件上传靶场第十一
Upload LABS Pass-11 00截断
热门推荐
wangyuxiang946的博客
07-05 1万+
uploadlabs11,upload labs 第十一在服务端使用了白名单 , 但文件保存路径外漏 , 可以使用00截断
文件上传漏洞-uploadlabs靶场11~20解析
黄乔国PHP
03-19 1323
在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器。
upload-Labs靶场“11-15”教程
钟言的博客
03-04 7376
本篇为文件上传漏洞靶场的第11关到15教程,详细内容包含了一、第十一 %00截断GET上传 1、源码分析 2、%00截断GET上传 第十二 %00截断POST上传 1、源码分析 2、%00截断POST上传-。第十三 文件头检测绕过 1、源码分析 2、文件头检测绕过 四、第+四 图片检测绕过上传 1、源码分析 2、图片马绕过上传五、第十五 图片检测绕过上传 1、源码分析 2、图片马绕过上传等等内容
Upload-labs靶场 01-11攻略
weixin_51804748的博客
11-09 867
前言 文件上传漏洞靶场Upload-labs,在github上下载后部署在win10本地,测试环境使用Kali虚拟机 https://github.com/c0ny1/upload-labs Pass-01 首先尝试上传一句话木马up.php文件发现上传失败,并提示只允许.jpg|.png|.gif类型,但是我们的burp并没有抓到这个包,于是判断此处的限制为前端验证,我们直接查看源代码 将此处判断文件类型的语句修改,即可正常绕过前端验证 成功上传后界面出现了刚刚上传的图片,由于上传的是php文
upload-labs第十、十一教程
Estera的博客
06-13 722
upload-labs第十、十一教程
upload-labsupload-labs-master(前11
m0_71944965的博客
09-03 1452
一句话木马示例: 在靶场中上传图片文件并抓包 将抓包到的文件后缀名改为 返回靶场在新标签页中打开图片 新标签页无任何显示即为成功解析 查看源码发现后端PHP代码只对type进行了检查 上传图片文件后抓包,将上传的PHP的content-type为image/png 查看源码,发现禁止上传.php,那我们就上传/ 上传图片文件并抓包 更改文件后缀名为/(我这里用了.php5) 查看源码,发现.htaccess文件没有被禁 试试上传.htaccess文件先新建一个.htaccess文件,里面写上代码 上传.h
upload-labs第一教程
Estera的博客
06-03 991
upload-labs第一
文件上传漏洞--upload-labs靶场第 11-15(后三需要制作图片马)持续更新ing...
weixin_57240513的博客
07-28 1216
文件上传漏洞--upload-labs靶场详解11-15
upload-labs 上传训练
09-02
转自GitHub,是一个文件上传演练的靶场,练习文件上传思路轻松加愉快,附带源码查看,以及提示
upload-labs靶场的第12报告
nlxxdxb123111的博客
03-22 1007
upload-labs靶场的第12报告
upload-labs靶场通详解:第11 双写绕过
最新发布
CL1799438883的博客
05-19 686
现在我们知道它可以删除黑名单中的扩展名,那么这的代码是否存在逻辑漏洞呢?如果我上传文件的后缀名为pphphp,代码从第一位字母p开始读取,读到2-4位的时候发现这三位字母是php,于是将它替换成空白字符(删除),这看起来没什么问题,代码执行下一步,构建路径上传文件。但是,这里的pphphp在php被删除后,后缀只剩下了php,然后被上传,从而构成了文件绕过,这就是双写绕过。这一仍然是黑名单过滤,但是它的代码和前几都不一样, 它这里有一行核心代码,就是。3.将所有匹配的扩展名替换为空字符串(即删除)。
学习upload-labs11-20记录
Wild_Boar_Peggy的博客
11-25 2763
upload-labs11-20记录Pass10 GET00截断Pass11 POST00截断Pass12Pass14Pass15Pass16Pass17Pass18Pass19 00截断Pass20 数组绕过 Pass10 GET00截断 我们用Burp抓包后可以看见:数据包中存在save_path,这一用00截断来绕过。 在windows系统中读到00时就认为结束了,我们可以利用这一点来进行00截断。 在路径后加上1.php%00并且将文件名改成.jpg。这样拼接后的路径在读到00时就会结束。
web——upload-labs——第十一——黑名单验证,双写绕过
2301_80905479的博客
11-18 446
【代码】web——upload-labs——第十一——黑名单验证,双写绕过。
文件上传upload-labs第十一至十九
你的小粉丝的博客
10-14 3203
白名单,%00截断(需要两个条件:php版本小于5.3.4;php的magic_quotes_gpc为OFF状态) 另save_path等于下面的值:…/upload/4.php%00 BP修改一下抓到的包
upload-labs(11~12)笔记
Sheng_GuoFu的博客
12-12 647
在url中%00表示ascii码中的0,而0作为特殊字符保留,表示字符结束,也就是说,在保存文件的时候,如果路径参数(例:$img_path)中出现了%00,就会认为路径到这里就已经结束了,从而忽略后面一系列的参数,比如,此时,路径参数的后半部分就会被%00给截断,从而变成使用%00截断有两个要求:1、php的版本 < 5.3.42、php.ini中的magic_quotes_gpc的状态为Off。
upload-labs黑名单绕过通(1-11
weixin_43509478的博客
10-22 643
方法二:str_ireplace函数只替换了一次键字符,可以通过::$DATA双写的方式,绕过上传检验,文件名+::$D::$DATAATA。在windows中文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀。看代码与前面几对比,缺少删除.的函数,使用BP,上传图片马,修改为php.对比上一,少了::$DATA过滤,上传图片马,改后缀加::$DATA上传。和第五类似,就是禁止上传.user.ini文件。
upload-labs第15为什么只能gif
03-15
### Upload-Labs 第15仅允许 GIF 文件的原因 Upload-Labs 的第15...综上所述,upload-labs第十五级设置如此严格的规则旨在引导学习者深入理解现代Web应用中的各种复杂交互过程以及相应的应对方法论。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我能突破限制.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值