Upload-Labs靶场闯关

原创 已于 2024-07-02 13:59:40 修改 · 1.3k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全

于 2024-07-02 13:55:38 首次发布

文章目录

以下是文件上传绕过的各种思路,不过是鄙人做题记下来的一些思路笔记罢了。

GitHub靶场环境下载:upload-labs

Pass-01

先传一个图片过去,成功上传。
image
尝试传muma过去,提示失败,但是这个提示是在前端直接显示出来的,好像并没有发送请求过去。
image
尝试找到前端校验代码,直接在开发者模式将其js调用的函数删掉。
image
image
然后再次尝试上传木马,上传成功了
image
直接看服务端也是上传成功了。
image

Pass-02

观察前端也是有之前的第一关的前端校验,删除后直接尝试上传木马。

发现上传失败。
image
image
可以看到前端代码我们通过了,但是后端可能又校验没有通过,所以抓包观察一下。

  • 首先尝试修改content-type是否能够上传过去。

    Content-Type: image/jpg
    image
    可以看得到还是失败了。
    image
    可能jpg不行,那试试png?
    还真过去了!现在就是直接找到回显的这个路径直接连接就行了。因为这个回显的路径和文件名都是php,也能够直接访问,然后也被当成php执行了里面的木马代码。
    image

我很纳闷为什么jpg不行,难道jpg列入黑名单了?那就showcode看看

原来是jpg没有进白名单,所以有时候多尝试几个mime头还是OK的。

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
   
    if (file_exists(UPLOAD_PATH)) {
   
   
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
   
   
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
   
   
                $is_upload = true;
            } else {
   
   
                $msg = '上传出错!';
            }
        } else {
   
   
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
   
   
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

但是我仔细一想,发现要是我一开始就先尝试看看哪种文件能够上传成功那就和自己对着能够上传过去的文件进行修改不就好了吗?我重新尝试了一下上传jpg图片看看是不是真的没法上传,但是意外上传成功了!?
image
后面再另外上传一个伪装jpg一抓包发现,原来jpg图片现在的mime头都是JPEG了。。。。原来是我的问题。。。。
image

Pass-03

先传一个带木马的jpg文件看看过不过得去
image
正常过去了
image
看下该文件路径,使用时间戳进行更改名字。但是我们的web.jpg确实过去了,很有可能没有对我内容进行检查,所以我们要抓包在文件名处做文章。
image

  • 尝试直接修改后缀名但是Content-Type为jpeg(失败了)
    image
    image

  • 首先要理解服务端保存文件名字路径的方式,他是将.前面的全当成文件名然后用时间戳替换了,.后面符合过滤条件就使用不符合就不保存返回错误提示。
    由于我们知道服务端是采用的apache,现在有如下几种手段

    • 赌一下运维人员配置不当,存在php3,php7等等也当做php文件执行了。
      (当然这一关就是这个答案,但是需要我们手动配置好)
      在http.d文件中:AddType application/x-httpd-php .php .phtml .php5

    • 双写(肯定不行,因为直接给php拦下来了,不然的话就会变成没有后缀名的时间戳文件名的文件)

    • 尝试xx.php . 或者 xx.php. .,但是都不行,因为服务端会把最后一个点的前面都当成文件名用时间戳替换掉,那么你的filename就会成为: 时间戳.

    • 大小写混合 (失败)

    • 双写
      成功但后缀名没有被替换,依旧是失败了。
      image

    • ::DATA(可能可以,因为windows刚好是服务端使用的系统)

    • 冒号: 二次传输(同理或许能行得通,因为也是针对windows系统)

    • .htaccess(试过了也失败了)

  • 上传php5后缀名,上传成功,根据回显路径访问文件。
    image
    image
    image

  • 但是在访问的时候发现版本也是一个问题,如图所示,只有非nts版本的才能够在我们http.d下添加的后缀名能够被执行,其他都是直接下载而不是执行。(当然都是在http.d下天了php5后缀名的了,只是效果不同而已)
    下面的5.5.38由于我在windowsserver2003中,他不支持就切不了。
    image

  • 重新发送一下木马
    image
    直接访问看看,访问成功了。终于结束了这场闹剧。。。。
    image

Pass-04

传一个木马图片过去看看什么情况,发现文件名没有改,然后也没有校验文件的内容
image
image
尝试::$DATA看看不行不

::$DATA失败
image
尝试windows的其他特性

  • xx.php .

    失败
    image

  • xx.php. .
    成功了!!!!!!!!!!!!!但是回显是1.php.,但是没有关系,因为windows特性是不会让文件名最后一个字符是.的,所以我们接访问1.php即可
    image
    image
    使用蚁剑连接成功
    image

  • xx.php:.jpg(这里需要二次传输)

    • 第一次:(成功了!!!!!!!!!!)
      传过去但是该文件没有内容,第一次的作用就是创建一个文件。
      image
      可以看到服务端的这个文件也是0kb
      image
    • 第二次:作用是传输文件内容进去
      这里注意传的文件名是1.<<,<<是追加符号,把内容追加到文件名为1的文件中去
      image
      看到路径是1.<<,但是没关系,接着看后面
      image
      我们现在尝试着连接一下1.php,同样是成功了!!!!!!!!!!!!
      image
      回到服务器看看怎么个事。
      果然成功将内容输入进去了,不再是0kb内容。而且里面的内容就是我们要的
最低0.47元/天 解锁文章
upload-labs·文件上传(靶场攻略)
duoba_an的博客
03-19 1万+
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。文件上传漏洞成因: 具备上传文件功能的Web等应用,未对用户选择上传的文件进行校验,使得非法 用户可通过上传可执行脚本而获取应用的控制权限。
文件上传漏洞(一) upload-labs靶场练习
好好睡觉
03-18 6438
常见文件上传漏洞类型总结、upload-labs靶场
upload-labs第7.8关出现文件上传错误的情况
weixin_46023655的博客
08-15 873
upload-labs关于文件上传出错
关于upload-labs实验pass-11的00截断报上传出错的解决办法
m0_47505062的博客
03-02 2318
今天在做实验upload-labs 的pass-11, 用%00做00截断,结果没有效果,burp suite 报错:提示上传出错! 经过两处修改,问题解决,实验成功 1、修改php为 5.2.17版本, 2、修改php的php.ini文件,将 参数 magic_quotes_gpc 置 off 问题解决,是拜托了2位前辈的文章, READER-L 前辈的文章中提到实验成功需要2个必要条件, 移移 从前辈的文章中,能读出“magic_quotes_gpc” 可能与 php.ini文件有关,
文件上传实验(upload-labs靶场实验)
热门推荐
sveewg的博客
03-08 1万+
(1)先上传一句话木马(2)发现格式不对,查看源码发现是js的作用,先抓包,在包内改格式外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(3)在服务器上的upload文件夹下查看木马文件外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传发现只有png格式的文件可以上传(1)那就先抓包,改格式(2)将格式改为image/jpeg,发现没报错,查看。
文件上传漏洞--upload-labs靶场复现(前3关)
pakho_C的博客
01-28 519
靶场下载链接 第一关 源码: function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; } //定义允许上传的文件类型 var allow_ext = ".jpg|.png|.gif";
upload-labs通关笔记-第1关 文件上传之前端绕过(3种渗透方法)
mooyuan的网络安全博客
05-12 1362
本文通过《upload-labs靶场通关笔记系列》来进行upload-labs靶场的渗透实战,本文讲解upload-labs靶场第一关文件上传客户端绕过渗透实战,通过三种方法完成渗透。
upload-labs靶场1-19关
qq_70836100的博客
07-27 661
本关可采用双写绕过,抓包修改后缀为.pphphp,也就是在中间在穿插一个php,这时它过滤掉其中的php后,后缀名依旧为.php。然后我们看源代码可以发现,php不能上传了,那么我们去上传图片码,用第十八关同样的方式,只是把.php文件改为图片码。只要上传.php文件就会被删除,那么我们可以在一句话木马被上传之前访问就不会被删除,这个也叫做竞争上传绕过。本关为空格绕过,因为windows的特性,我们无法在上传前就创建带空格的1.php文件,因此我们抓包上传。本关与第四关相似,是上传.user.ini文件。
upload-labs靶场
weixin_50473876的博客
10-21 829
删除:Content-Type: image/jpeg,点击Forward发送。由此可见,服务器根据Content-Type: image/jpeg,判断文件格式。构造一个1.htaccess文件,让服务器把.jpb文件作为.php文件。将1.jpg修改为1.php,点击Forward,把数据包发送给服务器。上传含有一语句木马的1.php文件,提示:此文件不许上传。再次上传一个.jpg文件,用Burp拦截发出的数据包。我们发现,文件的后缀被删了,无法解析。上传含有一语句木马的1.php文件。
文件上传漏洞 Upload-labs靶场攻略
最新发布
m0_75212639的博客
07-20 867
第一关为JS绕过,需要修改页面代码代码中有个上传的文件检测函数,我们需要删除这里修改完成后,将我们写的php一句话木马上传上去?
upload-labs通关手册
12-03
详细记录了upload-labs靶场的通关步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
文件上传漏洞--upload-labs靶场第 11-15关(后三关需要制作图片马)持续更新ing...
weixin_57240513的博客
07-28 1205
文件上传漏洞--upload-labs靶场详解11-15关
文件上传漏洞:upload-labs靶场通关
qq_68163788的博客
02-16 5057
upload-labs是一个专注于Web安全的在线靶场,旨在帮助安全研究人员和学习者提升对Web安全的理解和技能。该靶场提供了丰富的漏洞场景和挑战,涵盖了常见的Web安全漏洞类型,包括但不限于SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、文件上传漏洞等。 通过upload-labs,用户可以在真实的环境中进行漏洞挖掘和漏洞利用的实践,学习并掌握各种常见的Web安全攻防技术。靶场提供了丰富的学习资源和提示,帮助用户理解漏洞的原理和挖掘漏洞的方法,同时还提供了实时的漏洞利用演示,帮助用户更好地理解漏洞
文件上传upload-labs 1~5 详细介绍
weixin_51446936的博客
09-18 3103
一、Pass-01(前端js验证) 1.1 原理描述 在文件上传时,用户选择文件时,或者提交时,有些网站会对前端文件名进行验证,一般检测后缀名,是否为上传的格式。如果上传的格式不对,则弹出提示文字。此时数据包并没有提交到服务器,只是在客户端通过 js 文件进行校验,验证不通过则不会提交到服务器进行处理。 1.2 实验操作 试着上传一个php文件,出现一个前端验证的提示,表示客户端只是通过js文件进行了验证,没有提交到服务器里 1.3 查看源码 function checkFile() { v
文件上传漏洞之上传报错(第0行错误)
weixin_59165176的博客
08-24 761
注:本文主要针对文件上传漏洞,上传文件后,访问文件时,出现第0行报错的解决方案 本案例以upload靶场为例,若帮到你请点个关注再走呗 一、报错复现 1、upload靶场第一关,正常上传文件(php文件) 2、上传成功,访问成功的图片地址,此时会报错,php第0行错误 3、虚拟机内靶机系统文件报错复现,虽然上传到指定位置 4、但是点击文件,系统会把木马文件删除,所以反馈回去的是php第0行报错 5、造成这样错误的原因是,虚拟机内搭建靶场的操作系统防火墙未全部关闭,防火墙...
upload-labs实验过程中遇到的问题
weixin_46954909的博客
06-22 773
下面是我的php目录,请根据自己的目录安装到phpstudy_pro\Extensions\php的目录下即可。然后修改在lockhost的管理接口中选择php扩展勾选exif,若还是不行可尝试重启几次虚拟机,有时候很迷。出现上传错误,大概率是php版本问题,需要下载php5.2.17版本的php或者更换其他的版本。发现500异常码,这个应该是apache版本问题,可更换其他版本,或者更换为nginx。php版本问题,换版本即可,我成功使用的版本为7.4.22。
upload-labs简易解答___文件上传漏洞
qz362228的博客
04-19 1742
文章目录pass-01和pass-02pass-03___黑名单--修改文件后缀名pass-04___.htaccess绕过pass-05___黑名单--大小写绕过pass-06__利用Windows系统的命名机制pass-07__IIS6.0解析漏洞---文件解析pass-08__IIS7.0 | IIS7.5 | Nginx的解析漏洞pass-08__Apache解析漏洞pass-10__双写绕过pass-11__00截断pass-12__IIS6.0解析漏洞----目录解析pass-13/pass-1
upload-labs-master Pass1-20笔记
skynet_x的博客
10-27 4789
实验环境: Windows 7 X64 Phpstudy 2018 PHP 5.4.45 Apache/2.4.23 pass01 — JS限制 开启burp抓包,尝试上传eval.php,点击上传后页面直接提示该文件不允许上传,而burp并没有截取到数据包,判断为JS限制。 F12将JS限制代码找出来,将代码复制到console,修改允许上传的后缀为php再运行 点击上传后显示上传成功,在下方回显的地方右键复制图片地址即可获取上传后的图片路径。 为了直观查看上传的文件有没有被执行,在上传的文件中均是
Upload-labs文件上传漏洞(图片马)——Pass13
Zichel77的博客
07-28 1万+
0×00 题目概述 0×01 源代码 function getReailFileType($filename){ $file = fopen($filename, "rb"); $bin = fread($file, 2); //只读2字节 fclose($file); $strInfo = @unpack("C2chars", $bin); $typeCode = intval($strInfo['chars1'].$strInfo['char
upload-labs靶场9关
01-04
### upload-labs 靶场第9关分析 在upload-labs靶场的第九关中,主要考察的是绕过基于文件扩展名过滤机制来实现任意文件上传的能力[^3]。 此关卡中的源代码显示服务器端采用了白名单的方式验证上传文件的合法性。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值