文件上传漏洞:upload-labs靶场通关

最新推荐文章于 2025-03-26 10:11:46 发布
最新推荐文章于 2025-03-26 10:11:46 发布
阅读量4.7k 收藏 127
点赞数 62
分类专栏: 安全 文件上传漏洞 文章标签: 安全 web安全 数据库 网络安全 文件上传 二次渲染 bypass
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_68163788/article/details/136079735
版权

目录

什么是文件上传漏洞?

第1关(客户端验证-前端)

第2关(文件类型校验-MIME校验 )

第3关(文件名校验-黑名单绕过)

第4关(文件后缀校验-.htacess绕过)

第5关(文件后缀校验-双写.绕过)

第6关(文件后缀校验-大小写绕过)

第7关(文件后缀校验-空格绕过)

第8关(文件名后缀校验-点号绕过)

第9关(文件名后缀校验-::$DATA绕过)

第10关(文件名后缀校验-拼接绕过)

第11关(文件后缀名校验-双写绕过)

第12关(白名单校验-GET型0x00截断)

第13关(白名单校验-POST型0x00截断)

第14关(文件内容检测-文件头校验)

第15关(文件内容检测-getimagesize()校验)

第16关(文件内容检测-exif_imagetype()绕过)

第17关(二次渲染)

第18关(逻辑漏洞-条件竞争)

第19关(逻辑漏洞-条件竞争)

第20关(逻辑漏洞-./绕过)

第21关(逻辑漏洞-小数点绕过)

本篇会对upload-labs靶场进行通关来对文件上传漏洞做最简单学习+练习,那么直接开始ヾ(◍°∇°◍)ノ゙

什么是文件上传漏洞?

文件上传本身是一个正常的业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器,比如:上传图片,资料。

文件上传漏洞不仅涉及上传漏洞这个行为,还涉及文件上传后的进一步解析和处理,以及文件的下载,如果服务器的处理逻辑设计的不够全面,就会导致严重的后果

最简单的文件上传漏洞是指用户上传了一个可执行的脚本文件,并且根据此脚本获得了执行服务器命令的能力。

旧版本的PHP(< PHP 5.3.4以下)还存在"\0" 字符阶段的问题,C语言以"\0"作为字符串结束符,而PHP用专门的结构体来表示字符串,结构体中存储了字符串的长度,所以PHP中的字符串允许存在"\0"字符,如果攻击者上传了一个"1.php\0.jpg"文件,PHP校验时可以通过后缀名的白名单,到那时底层的C语言库在写入文件时,将 "\0" 作为字符串结束符,实际上写入的是名为 "1.php"的文件,如果该文件被放在了公开的目录中,就相当于攻击者上传了一个webshell

靶场下载地址:GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场

第1关(客户端验证-前端)

打开靶场可以看到介绍,然后我们点击来到第一关:

 可以看电脑我们可以上传一个图片,任务是上传一个webshell,这里我们就使用一个phpinfo的php文件作为测试文件,尝试上传一个包含一下内容的php文件:

<?php phpinfo();?>

但是可以看到,不语序上传.php文件,只能上传.jpg|.png|.gif后缀的文件,这里我们就无法直接上传php文件了,查看代码后发现,只是在前端页面对输入的文件进行检查,因此可以使用下面两种方式来进行绕过上传php文件

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
        alert(errMsg);
        return false;
    }
}

方法1: 在设置的隐私安全中将js的默认行为修改为:不允许网站使用Javascript

修改完成后,我们再尝试上传.php文件

方法2:使用抓包工具Burpsuite对上传的包进行改包

图片马生成方式:

(1)编写一个内容为<?php phpinfo();?>的php文件和一个普通的图片

(2)使用下列命令进行生成图片马:

上传一个图片马(.png)后,使用Burpsuite对上传的包进行拦截,然后将后缀修改为php

然后可以在上传文件中看到该文件已经成功上传了:

注:该八号才能够的第一关的漏洞现在已经不存在了,因为这一题可以绕过的原因是因为它只在前端做了过滤,后端并没有过滤,所以可以进行绕过,因此我们要知道:安全的上传文件需要前端都对上传的文件进行过滤

第2关(文件类型校验-MIME校验 )

现在来到该靶场的第二关,尝试直接上传一个php文件:

可以看到这里提示我们上传的类型不正确,那么尝试上传一个png文件:

可以看到成功的上传了

查看源码后发现,这里对文件类型(MIME)是否为来判断上传文件的类型

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

 那么我们就可以使用BP抓包,然后修改文件的类型来绕过限制,上传PHP文件:

可以看到修改完成后就成功的上传了php文件

注:这一关的漏洞现在也已经不存在了

第3关(文件名校验-黑名单绕过)

来到了第三关,先来尝试上传一个php文件看看有什么反应:

果然不出所料,php文件是不让上传的,查看源码后发现

is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }

 可以看到,这里对后缀为.asp .aspx .php .jsp都进行了拒绝,并且对文件中的特殊字符进行了很多的过滤,使用了很多名单的方式进行了校验,那么我们就可以上传一些没有限制的后缀,例如php3 php4 php5 phtml的文件进行上传:

可以看到成功的上传了php文件

第4关(文件后缀校验-.htacess绕过)

现在来到了第四关,先来试试上传一个php文件:

可以看到,这里还是提示这个php文件不允许上传,那么我才猜测大概率还是使用了黑名单机制进行了限制,查看源码后发现

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg 
最低0.47元/天 解锁文章
文件上传漏洞upload-labs靶场通关
m0_59151303的博客
07-27 1025
可以使用phtml、php3、php4、php5,当然前提是apache服务器,同时在配置文件夹中需要有将AddType application/x-httpd-php .php .phtml .phps .php1 .php5 .pht 这样的一段话前面的注释删除,重启phpstudy让其生效。条件竞争就是在源代码中是存在校验的,但是校验是在文件上传后,才开始校验,也就是文件先上传至服务器中,然后服务器会对该文件进行校验,当符合的时候则会对文件进行重命名,当文件不符合要求的时候就对将文件进行删除。
文件上传漏洞upload-labs靶场通关1到5关保姆级详解
2401_84893440的博客
03-04 1439
httpd.conf 文件通常需要管理员级别的权限进行修改,修改后需要重启 Apache 服务器才能生效(实际不太可能用的上)​Content-Type​ 用来告诉接收方(比如浏览器或服务器)发送的数据是什么类型的。作用: 特定于用户或特定目录的配置文件,通常位于 Web 应用程序的根目录下。它用于覆盖或追加全局配置文件(如 php.ini)中的 PHP 配置选项。php​:这是PHP的开始标签,表示以下内容是PHP代码。那么我将上传php文件的Content-Type​改成jpg的。
web文件上传漏洞webload-labs靶场21关讲解
2401_87790882的博客
11-01 2327
一句话木马是一种常见的网络安全攻击工具,通常用于web服务器的非法控制。被称为一句话是因为攻击者只需在目标服务器上的一个可访问的web页面中植入一小段代码,就可以实现对服务器的远程控制。这种木马通常使用PHP、ASP、JSP等服务端脚本语言的形式出现。一句话木马的代码很简短但是功能非常强大,能够接受远程命令并在服务器上执行这些命令。例如,一个PHP语言的木马可能看起来像这样:?在这段代码中,‘password’不是传统意义上的密码,而是一个参数名称,用于传递执行代码到服务器是的一句话木马。
上传文件漏洞靶场upload-labs
09-27
上传文件漏洞靶场upload-labs,用于练习上传文件漏洞,学习web安全的小白可用。我的博客也有详细的使用教程
upload文件上传靶场通关解析(个人理解版)
最新发布
weixin_74383749的博客
03-26 846
这里的文件上传靶场,我直接就是从第一关到最后通关全部写了下来,所以会有点长,并且文章当中引用借鉴了其他博主的博客文章,后面会加以说明的。
文件上传漏洞upload-labs靶场通关_文件上传漏洞靶场
小司机的奥拓
01-15 1078
文件上传本身是一个正常的业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器,比如:上传图片,资料。文件上传漏洞不仅涉及上传漏洞这个行为,还涉及文件上传后的进一步解析和处理,以及文件的下载,如果服务器的处理逻辑设计的不够全面,就会导致严重的后果最简单的文件上传漏洞是指用户上传了一个可执行的脚本文件,并且根据此脚本获得了执行服务器命令的能力。
文件上传漏洞靶场
m0_63069714的博客
05-02 1816
我们可以通过一个线程不间断的访问,一个线程不间断的上传,此时肯定会出现在上传未删除的时候,上传的文件被我们访问到。所有过滤的后缀名如下:"php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess";从而实现了文件上传
文件上传靶场upload-labs通关
p36273的博客
07-03 4129
upload-labs是一个专门用来练习文件上传靶场一共20关,现在,我们开始通关吧。
Upload-labs 靶场(通关攻略)
m0_68706634的博客
12-19 1872
WebShell一句话木马:<?php @eval($_POST['a'])?><?php @system($_POST['a'])?>删除return checkFile()就能上传成功BP抓包修改后缀改为2.php后放行根据源码发现这关的黑名单不太严谨,我们就可以使用php同种类型的不同后缀后缀加个3 放行根据源码发现这些后缀的都无法上传,这时候就要用到.htaccess文件上传了上传.htaccess配置文件 把我们的木马文件后缀修改为png根据源码发现这关没有过滤大小写就可以上传成功了根据源码发
upload-labs靶场
09-09
upload-labs靶场提供的练习关卡覆盖了上传漏洞的多个方面,从基础的文件类型限制绕过,到复杂的文件内容过滤和黑名单检测,提供了一个全面学习和实践的环境。通过各个关卡的挑战,用户可以掌握在不同情况下利用和...
upload-labs靶场通关指南
07-02
Upload-labs靶场通关指南 Upload-labs靶场是一款文件上传漏洞靶场,旨在帮助安全研究员和渗透测试人员练习文件上传漏洞的检测和利用。本指南提供了 Upload-labs靶场通关指南,涵盖了从基础的文件上传漏洞到高级...
upload-labs-master【文件上传靶场
04-05
最新版文件上传靶场
upload-labs-master靶场(1-20)
A2893992091的博客
09-01 1910
本关查看源码,发现文件上传后会在临时目录下,检测出不符合规则直接删除,但是上传和删除之间有一点点的间隔,我们可以在这个间隔中搞点事情,例如将上传的.php文件修改成可以写一句话木马的脚本,只要在间隔中打开文件,它就会生成一个木马文件,系统只会判断上传的文件,不会判断生成出的文件。这么看来的话,php是不能上传了,只能上传图片马了,而且需要在图片马没有被重命名之前访问它。上传图片马失败,发现本关会删掉图片内多余的内容,图片马没有用,只能使用反二次渲染的图片。这里还是将前一关的代码插入图片作出图片马。
文件上传漏洞upload靶场
nixiaoge的博客
03-08 1219
文件上传漏洞靶场
文件上传漏洞(一) upload-labs靶场练习
好好睡觉
03-18 6174
常见文件上传漏洞类型总结、upload-labs靶场
DVWA靶场-文件上传漏洞
热门推荐
zeroone的博客
03-08 1万+
第五关:File upload文件上传)       文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 Low <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to
pikachu靶场通关-Unsafe Fileupload文件上传漏洞
qq_43381463的博客
02-11 775
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。 所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。
Burpsuite靶场——文件上传漏洞
小林说安全的博客
05-12 5083
Burpsuite YYDS!!! Portswigger是著名神器Burpsuite的官方网站,实际上也是一个非常好的漏洞训练平台。
Pikachu靶场——文件上传漏洞
知世郎
08-21 2095
​ 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值