攻防系列——上传漏洞利用之upload labs通关练习

最新推荐文章于 2025-03-25 01:03:00 发布
最新推荐文章于 2025-03-25 01:03:00 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: 攻防 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43140411/article/details/127339404
版权

说在最前面,因为我嫌麻烦,所以我的一句话基本都是写在"1.jpg"里面的,每做一道题,我就会在后台upload文件夹把刚才上传的文件删掉,这样,下一题我直接传同样文件(我实在懒得复制又新建)。所以大家可能看到的永远都是那个"1.jpg" "1.php" "2.jpg"等等,看得懂就行哈。

第1-10关:前端验证、文件类型验证、黑名单绕过

黑名单是规定不允许上传的文件,但是如果黑名单定义不完整的话是可以实现绕过的

ps:1-10为黑名单绕过,而且只是验证一次,这些关卡全部可以用".php. ."思路解出来。但是建议老实一关一关过,通过练习,掌握一些上传漏洞利用方法。

一、第一关:JS前端验证绕过

什么是webshell? 一些个webshell小知识请移步。打开WebShell_笨小孩@GF 知行合一的博客-优快云博客_webshell

按照界面的要求,直接传webshell肯定不行限定了要传图片。(当然,不可能正经上传图片的,图片无法执行,对获取网站权限没有任何帮助。必定是要上传一个可执行文件,不然就不叫webshell了。)

思路一:先来写一个一句话(随便写一个常规的一句话木马)php。然后改成允许上传的格式(通过查看源代码发现格式要求:jpg/png/gif。大佬说这是前端验证。前端验证有个技巧,就是开启代理,但是没有流量就直接进行了验证),通过burp抓包,改后缀后重新的上传。完成一句话的php webshell上传。

ok,写一个一句话木马。

根据前端规则,先把后缀改php 

 

设置代理, 打开burp,准备上传。(我是火狐浏览器) 

点击上传之后,咱们的burp就抓到包了。(提醒一下大家,配置uploadlabs的时候,要自己建upload文件夹,不然没有上传路径。另外,访问自己配置大靶场时,将127.0.0.1换成自己的IPV4网址,同时,burp设置的时候,在proxy-options要勾选127.0.0.1:8080,不然抓不到包)真的很狗,我配置靶场的时候80端口不能用,后来我换了8080端口,结果burp设置proxy-options的时候也是8080,又冲突了,我只好给靶场再换一个端口,真的会谢。

右键-send to repeater,改后缀为“.php”,然后点击“send”

 OK,有正常回显(右边response)。上传成功。正常回显。

 (从验证的角度自己看看自己的靶场upload文件夹是不是多了个文件了,哈哈就是上传成功了。当然真的渗透测试的时候不能这样看啦哈哈)

 上传到这里就完成啦,下一步如果要查看该网站的目录或者提权什么的,就是下一步的工作啦(用蚁剑连接,根据刚才的说一句话木马,连接密码是“a”)。

思路二:将浏览器js代码禁用掉(但是这种方法有缺陷,因为禁用了js代码,在实战中可能会让网站的一些正常功无法显示)

还记得刚刚的源代码吗?可以看到是js,所以想办法让他没办法正常执行就可以直接上传webshell,不必理会他所说的什么必须上传jpg、png、gif格式。

禁用办法: 右键---检查---调试器---设置---禁用JavaScript。(快捷方式:f12---f1)

注意看奥,直接上传的“.php”格式的可执行文件。

 回到upload文件夹验证下:ok,的确上传成功了,没有弹窗提示

思路三:将网站源码复制下来,放到本地,然后将js代码删除。(必须要掌握的办法)

右键---查看网站源代码---全部复制---创建一个记事本---将代码放进去---把记事本后缀名改为.html---用Notepad打开---找到js代码---删除

 如果我们打开,是有上传文件的界面,但是不知道要上传给谁

这时我们返回到原靶场,右键---检查---网络---上传图片。可以查看上传路径。

重新用Notepad打开我们刚才复制后编辑的html文件,修改action,在源代码中加一个提交的路径。 

 访问html-选择“1.php”-上传(这里我提醒一下,注意看上图,upload的是“1.php”,所以记得还是要选这个名字的文件,不然其他的传不上去,我也不知道为什么)

上传成功以后会跳转成正常的界面(之前点击自己编辑保存的html就是个很崴的拉跨界面,和原靶场界面有出入,但不知道为什么文件上传成功以后,就变正常了)。

咱们验证下,可以直接查看自己的靶场的upload文件夹,看看上传成功没。或者直接访问该文件的位置(就是action位置加/文件名),可以正常访问的话就没问题。

ps:事实上,该操作如果有firebug插件,应该可以直接在网页编辑调试,但是升级以后,火狐下架了该插件,我又不知道怎么直接使用devtools来尽心编辑调试,有知道的大佬,希望指点迷津。

二、第二关:也是上传webshell到服务器。

看了下源码,没有个所以然。(后来看了下别人的思路,别人的源代码是有相关的限制的,但是我的看不到,不知道为啥。)

 上传一个php看看。

ok,抓包看看

思路一:由于原网站要求上传图片格式的文件,所以,要修改content type为MIME格式

常见的格式如下:

图片格式 MIME
.gif image/gif
.png image/png
.jpg image/jpeg
.bmp image/bmp
.webp image/webp
.icon image/x-icon
其他 image/vnd.microsoft.icon

随便选一种就行,我选jpg。send,有回显,ok,上传成功。

 第三关:上传一个脚本文件到服务器,并能成功执行。

看下源代码,有很多过滤函数,还有禁止上传的类型。

代码中的第一个循环是判断你有没有点击上传按钮,如果有进入下一个循环。

file_exists判断的是声明的上传目录是否存在,如果存在就执行下面的上传验证。

trim函数是用来把获取过来的文件名中的空格给删除掉

deldot函数删除文件名末尾点防止多后缀名欺骗,比如说你上传1.jpg.png.php,他接受的是1.jpg但是他是以最后一个. 为准也就是说他最终上传上去的是1.php

strrchr函数是分割字符,作用是把.前面的东西删除掉只剩下后缀名(得到你文件的真实后缀)

strtlolwer函数把真实后缀名转为小写

str_ireplace函数是把::$DATA替换为空,最后再用trim函数进行空格过滤。

基本上能过滤的都过滤了,但是在禁止上传的脚本后缀那里可以想办法绕过。

最低0.47元/天 解锁文章
upload文件上传漏洞复现
weixin_71398630的博客
03-14 1272
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
文件上传漏洞 绕过分析
m0_64118193的博客
06-18 1725
目录1.一句话木常见函数1.前端js绕过文件漏洞绕过2.文件类型绕过(MIME)3.黑名单绕过-同类型绕过 4. 黑名单绕过-.htaccess绕过5.黑名单绕过-点格点绕过6.黑名单绕过-大小写文件绕过7.黑名单绕过-格绕过8.黑名单绕过-点绕过9.黑名单绕过-win10文件流特征绕过10.黑名单绕过-双写绕过*蚁剑连接,获取权限文件上传靶场链接下载 Search · upload · GitHub在很多渗透过程中,渗透人员会上传一句话木(简称Webshell)到目前web服务目录继而提取权限,不
文件上传漏洞upload部分通关教程)_upload文件上传漏洞
uiuuyy67的博客
04-12 1192
作用:分布式配置文件,一般用于URL重写、认证、访问控制等作用范围:网站根目录及其子目录优先级:高,可覆盖apache主配置文件修改后立即生效。
文件上传绕过的小点总结(4)
最新发布
m0_65853019的博客
03-25 370
第一个参数是所有文件名的黑名单,第三个参数是上传的文件名,该函数意为将如果上传的文件名在黑名单中,则全部替换为,那也就是我们所有的php等后缀都无法生效,但是我们可以利用这一特点,代码执行从左至右,我们可以嵌套php在php里,例如info.pphphp,代码从左至右运行时,会将中间的php置换为,就剩下info.php了,刚好文件生效。简单思路:开启BP拦截,上传info.php文件,拦截内容后将"info.php"改为"info.php. .",在关闭拦截,此时就可以成功上传文件。
upload文件上传漏洞复现(1),内容太过真实
m0_60732644的博客
04-06 1067
使用抓包软件,更改web.php的文件类型为image/jpeg放包后发现上传成功。
攻防世界-web-ctf-upload
m0_52484587的博客
08-09 442
这个文件是php.ini的补充文件,当网页访问的时候就会自动查看当前目录下是否有.user.ini,然后将其补充进php.ini,并作为cgi的启动项。其中很多功能设置了只能php.ini配置,但是还是有一些危险的功能可以被我们控制,比如auto_prepend_file。本题需要利用文件上传漏洞点,通过绕过服务器的安全防护,达到getshell的目的。本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行。上传.user.ini,内容为。上传.user.ini。这里需要绕过的点如下。
攻防系列——pikachu靶场通关练习
weixin_43140411的博客
10-23 2577
从来没有哪个时代的黑客像今天一样热衷于猜解密码 ---奥斯特洛夫斯基
文件上传漏洞upload-labs靶场通关
qq_68163788的博客
02-16 4818
upload-labs是一个专注于Web安全的在线靶场,旨在帮助安全研究人员和学习者提升对Web安全的理解和技能。该靶场提供了丰富的漏洞场景和挑战,涵盖了常见的Web安全漏洞类型,包括但不限于SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、文件上传漏洞等。 通过upload-labs,用户可以在真实的环境中进行漏洞挖掘和漏洞利用的实践,学习并掌握各种常见的Web安全攻防技术。靶场提供了丰富的学习资源和提示,帮助用户理解漏洞的原理和挖掘漏洞的方法,同时还提供了实时的漏洞利用演示,帮助用户更好地理解漏洞
upload-labs通关指南
01-22
upload-labs通关指南》是一份针对upload_labs文件上传靶场的详细通关攻略文档。在网络安全领域,文件上传靶场是一个专门用于学习和研究文件上传漏洞攻防技术的平台。本指南不仅涵盖了客户端验证漏洞和多种服务端...
upload-labs通关练习
m0_61858762的博客
11-12 1255
在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名。通过分析源码,发现与之前相比发现少了对上传的文件后缀名为做去::$DATA 处理的过程,上传到服务器的文件在Windows中会自动去掉::$DATA。由于是在本地搭建,通过查看路径发现文件已经上传成功。),并结合随机数、当前时间戳和文件后缀名生成唯一的文件名,所以可以通过控制文件路径,将其截断,将图片中的PHP代码存入其中。
上传文件的$_FILES
淡蓝海的博客
11-05 423
$_FILES这个变量用与上传的文件参数设置,是一个多维数组 数组的用法就是 $_FILES['key']['key2']; $_FILES['upfile']是你表单上传的文件信息数组,upfile是文件上传字段,在上传时由服务器根据上传字段设定。 $_FILES['upfile']包含了以下内容: $_FILES['upfile']['name'] 客户端文件的原名称。 $_FILE
10_上传漏洞_代码审计&文件命名
qq_42171569的博客
07-04 1008
许多文件上传的题型都涉及代码审计,个人认为这类题型有一定复杂性,同时这也是我不太擅长的点,因此本章节将结合先前博文中介绍过的上传漏洞,先总结出一些解题过关时需要注意的要点,再通过upload-labs-pass 19进行案例演示。就像去吃火锅调酱料一样,为了调配出自己喜欢的口味,顾客会将多种酱料混合。对于文件上传检测也是这样,往往过滤函数检查的位置不止一处,因此我们在修改数据包进行绕过操作时,需要注意修改的位置有时不止一处,尤其是对MIME类型的检测不可忽略,代码案例如下所示: notice2:“黑名单”思
$_FILES详解
zhaohjjq的专栏
12-10 1113
$_FILES详解 文件上传表单 enctype="multipart/form-data" action="URL" method="post"> name="myFile" type="file"> $_FILES数组内容如下: $_FILES['myFile']['name']   客户端文件的原名称。 $_FILES['myFile']['ty
DVWA-文件上传与文件包含
qq_60848021的博客
06-23 3558
1,代码分析: 从以上代码可以看出并没有做任何限制,先用最简单的PHP一句话代码试下: 使用中国蚁剑进行连接 扩展:使用中国蚁剑连接出现以下情况是路径地址错误 出现”返回数据“,是代码有错误;basename()函数:返回带有文件扩展名的文件名部分。例如:/xx/test.php,返回test.php代码分析:继续上传yjh.php,使用BP进行抓包,更改文件类型扩展:[$_FILES’userfile’][‘name’]客户端机器文件的原名称。[$_FILES’userfile’][‘type
干货:网站常见文件上传漏洞攻击手法和防范
03-20 2739
文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上传可执行亩疟疚募H绯
文件上传笔记(.htaccess)
weixin_43827234的博客
08-11 148
最后连接119.jpg这个文件就可以连接了。然后在上传点先上传.htaccess文件。然后再上传名为119.jpg的图片。首先确定网站是PHP编写的。
php多文件上传错误信息,PHP文件上传不断抛出错误
weixin_30120049的博客
03-27 190
我正在将一个rsa私钥(.pem文件)上传到我的网站并使用fopen来读取内容,但最近我一遍又一遍地得到同样的错误而没有多大意义.Choose a file to upload: upload.php的session_start();if( $_SERVER['SERVER_PORT'] == 80) {header('Location:https://'.$_SERVER['HTTP_HOST'...
文件上传漏洞总结
热门推荐
weixin_46739058的博客
03-18 1万+
目录 1、文件上传漏洞原理 2、常见的文件上传类型 3、文件上传注入点 4、web中常见的上传验证 黑名单常见自定义过滤规则 白名单常见的过滤规则 5、逻辑数组绕过 5.1、图片一句话木的制作与利用 5.2、文件头检查 5.3、getimagesize()图像信息判断 5.4、竞争条件攻击 5.5、突破exif_imagetype() 5.6、脚本解析漏洞 6、WAF绕过 1、文件上传漏洞原理 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上
Upload-labs文件上传(6-10)
a1b2c3是弱口令
07-29 2072
第六关(禁止上传很多中后缀,识别大小写) 我们查看第五关代码: $file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, '.'); $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串...
上传绕过php文件改为图片,文件上传绕过(二)
weixin_30746159的博客
03-12 348
基于文件后缀名的绕过同理,我们先看源码$is_upload = false;$msg = null;if (isset($_POST['submit'])) {if (file_exists($UPLOAD_ADDR)) {$deny_ext = array('.asp','.aspx','.php','.jsp');$file_name = trim($_FILES['upload_file']...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值