uploads-labs文件上传漏洞通关记录

最新推荐文章于 2025-11-11 13:06:42 发布
原创 最新推荐文章于 2025-11-11 13:06:42 发布 · 1.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#文件上传漏洞 #upload-labs

本文详细记录了在upload-labs平台中通过20个关卡的文件上传漏洞利用过程,包括js检测、content-type绕过、后缀名绕过、.htaccess配置修改等各种方法,揭示了文件上传漏洞的常见检测与绕过手段,涉及php、asp、jsp等不同类型的站点。

文件上传主要看的是代码对文件各种属性的检测,说到底还是寻找代码和服务器中不严谨的地方。
对于php站来说,如果服务器的配置文件只对php后缀文件进行解析,那么我们对后缀名的修改就失效了,这也是一种加固的方法。对于asp、jsp的站也是如此。

Pass-01(js检测绕过)

js检测
1)抓包改名直接绕过。
2)控制台找到检测代码进行修改

Pass-02(content-type绕过)

后台对MIME进行检测,上传php文件,然后把content-type改为image/jpeg,然后发包马就传上去了。
在这里插入图片描述
然后使用终端工具连接就行了。

Pass-03(后缀名绕过)

对文件后缀进行了简单的过滤:

$deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

抓包修改后缀为php5、php3、phtml、pht等可解析的文件后缀即可。

Pass-04(.htaccess上传修改解析配置)

.htaccess是服务器的文件解析的配置文件,如果没有过滤该后缀,那么可以上传一个.htaccess文件来修改服务器配置。
创建一个.htaccess文件,内容为SetHandler application/x-httpd-php,就是把所有的文件都当成php文件进行解析。

上传这个.htaccess文件之后,直接上传一个图片马,这个图片就可以直接被解析。

Pass-05(后缀名大小写绕过)

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
   
    if (file_exists(UPLOAD_PATH)) {
   
   
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
   
   
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
   
   
                $is_upload = true;
            } else {
   
   
                $msg = '上传出错!';
            }
        } else {
   
   
            $msg = '此文件类型不允许上传!';
        }
    } else {
   
   
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

相比于上一关,对.htaccess后缀进行了过滤,但是没有对文件后缀进行大小写转换,所以可以修改大小写进行绕过。
上传木马文件,修改文件后缀为Php、PTtml等即可。

Pass-06(后缀名添加空格绕过)

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
   
    if (file_exists(UPLOAD_PATH)) {
   
   
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
   
   
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
   
   
                $is_upload = true;
            } else {
   
   
                $msg = '上传出错!';
            }
        } else {
   
   
            $msg = '此文件不允许上传';
        }
    } else {
   
   
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

本关没有去掉后缀名的空格,抓包改为php后缀之后再加个空格即可绕过。

Pass-07(后缀名加点绕过)

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
   
    if (file_exists(UPLOAD_PATH)) {
   
   
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp"
最低0.47元/天 解锁文章
文件上传漏洞
渗透之路,攻防之间皆学问
01-09 2935
目录 漏洞描述 漏洞危害 常见的webshell 小马 大马 Upload-Labs Upload-Labs过关 漏洞描述 文件上传漏洞,指的是用户上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。 文件上传是Web 应用的必备功能之一,比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站等。如果服务器配置不当或者没有对上传的内容分进行足够的过滤,Web 用户就可以上传任意文件,包括恶意脚本文件、exe 程序等,这就造成了文件上传...
upload-labs漏洞靶场~文件上传漏洞
weixin_67832625的博客
07-31 978
寻找测试网站的文件上传的模块,常见:头像上传,修改上传,文件编辑器中文件上传,图片上传、媒体上传等,通过抓包上传恶意的文件进行测试,上传后缀名 asp php aspx 等的动态语言脚本,查看上传时的返回信息,判断是否能直接上传,如果不能直接上传,再进行测试上传突破,例如上传文件的时候只允许图片格式的后缀,但是修改文件时,却没有限制后缀名,图片文件可以修改成动态语言格式如php,则可能访问这个文件的 URL 直接 getshell,可以控制网站;
uploads-labs靶场(1-10关)
m0_72676086的博客
03-16 1893
jpg文件要和.hataccess文件在同一个目录下。.hataccess文件。.hataccess绕过。
upload-labs靶场搭建+实战(纯小白向)
A_fish_like_sing的博客
05-26 3125
先下载phpstudy,往下翻到立即下载,下载64位后解压(路径最好不要有中文)双击exe文件下载,下载成功后打开,套件启动apache和ftp就行,然后下载靶场文件压缩包​这里有说道,下载压缩包后解压到pupstudy_pro路径中WWW路径下,解压出来的名字可能是upload-labs-master的话,需要修改一下文件名,让访问网址中的文件名和WWW路径下的对照一致,否则的话就会404,这里我发一下我的​​。
Upload-labs 1-20关 靶场通关攻略(全网最详细)
最新发布
你好!经典物理世界人类
11-11 2713
本文总结了20种文件上传漏洞的绕过方法,主要分为黑名单和白名单两种防御机制的绕过技术。黑名单绕过包括使用.php3后缀、.htaccess文件配置、大小写变换、添加空格/点/$DATA后缀、双写及特殊符号等技巧;白名单绕过则利用%00截断、条件竞争和图片马等手段。针对不同验证机制(前端JS校验、MIME类型、黑名单过滤、二次渲染等),文章详细分析了每种场景下的绕过原理和具体操作步骤,重点介绍了Windows系统特性、Apache配置及move_uploaded_file()函数特性在漏洞利用中的关键作用。通
Upload-labs(1-21关详细教程)【简单易懂】【万字教程】
墨鱼菜鸡
09-10 5061
目录 思维导图 练习网站: 注意: 知识点 Pass-01 代码: 提示: 解题思路: Pass-02 知识点: 代码: 提示: 解题思路: Pass-03(本关需要使用自己搭建upload-labs) 代码: 提示: 解题思路: Pass-04 代码: 提示: 解题思路: Pass-05(建议使用本机搭建的...
Upload-labs
qq_52671379的博客
04-01 4847
Upload-labs
upload-labs靶场
09-09
upload-labs靶场提供的练习关卡覆盖了上传漏洞的多个方面,从基础的文件类型限制绕过,到复杂的文件内容过滤和黑名单检测,提供了一个全面学习和实践的环境。通过各个关卡的挑战,用户可以掌握在不同情况下利用和...
文件上传漏洞upload-labs靶场通关
m0_59151303的博客
07-27 1102
可以使用phtml、php3、php4、php5,当然前提是apache服务器,同时在配置文件夹中需要有将AddType application/x-httpd-php .php .phtml .phps .php1 .php5 .pht 这样的一段话前面的注释删除,重启phpstudy让其生效。条件竞争就是在源代码中是存在校验的,但是校验是在文件上传后,才开始校验,也就是文件先上传至服务器中,然后服务器会对该文件进行校验,当符合的时候则会对文件进行重命名,当文件不符合要求的时候就对将文件进行删除。
uploadlabs--文件上传漏洞复现
yuan_boss的博客
07-23 2734
upload-labs靶场复现
upload_labs
lc9992023的博客
01-14 1101
upload-labs全面详细教程
upload-labs 上传训练
09-02
转自GitHub,是一个文件上传演练的靶场,练习文件上传思路轻松加愉快,附带源码查看,以及提示
upload-labs
weixin_44576725的博客
04-14 1730
upload-labs通关记录 upload-labs是收集ctf和渗透测试中文件上传遇到的各种漏洞的靶场,旨在通过关卡的形式来帮助大家对文件上传有个全面的了解。 项目地址:https://github.com/c0ny1/upload-labs Pass-01 选择本地1.php文件上传,打开burp抓包,还没抓到包页面就显示只能上传.jpg.png等类型文件,说明是前端JS判断。 这里有两种绕过方法: 打开浏览器的审查元素,找到文件上传的js代码,发现checkFile()函数,推测是这个函数进行
文件上传Upload Labs通关指南
AaronLuo
12-09 1781
0x1 Pass 1 前端过滤 打开burpSuite,上传一个php探针, 发现上传之后Burp并没有抓到包,推断是前端过滤 禁用JavaScript Burp拦截请求 修改文件名为info.png,绕过前端过滤之后,在burp中修改文件后缀名 0x2 Pass 2 Content-Type验证 禁用JavaScript修改Content-Type绕过 $is_upload = false...
Upload-labs 1-21关 靶场通关笔记(含代码审计)
m0_59598029的博客
02-25 6603
basename— 返回路径中的文件名部分给出一个包含有指向一个文件的全路径的字符串,本函数返回基本的文件名。Notebasename()纯粹基于输入字符串操作, 它不会受实际文件系统和类似 “..” 的路径格式影响。php?1) sudoers3) passwd4) etc5) .6)imagecreatefromgif():创建一块画布,并从 GIF 文件或 URL 地址载入一副图像。
DVWA File Upload 通关教程
weixin_30703911的博客
08-20 631
File Upload,即文件上传文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 先看常规的文件上传操作: 客户端上传: <html> <head> <meta http-equiv="Content-Type" co...
文件上传实验(upload-labs靶场实验)
热门推荐
sveewg的博客
03-08 1万+
(1)先上传一句话木马(2)发现格式不对,查看源码发现是js的作用,先抓包,在包内改格式外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(3)在服务器上的upload文件夹下查看木马文件外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传发现只有png格式的文件可以上传(1)那就先抓包,改格式(2)将格式改为image/jpeg,发现没报错,查看。
uploads-labs靶场(附源码分析)
东隅的博客
06-30 998
uploads-labs靶场(附源码分析)
upload-labs浅谈
tricker2的博客
07-21 671
首先列一下我认为的upload-labs学习要掌握的东西,不仅要有对工具的使用了解,还给有对文件上传的理解。这两天本菜陷入了一个究极难题循环,让我很绝望,在多个视频的观看下,终于大致了解了原因,开始得本菜在burp改包传一句话木马<?php @eval($_POST['pass']);?>之后页面都会直接崩溃无法,久久不能连接的情况(连接被重置入如下图) 开始的我一直以为是代理没有关闭,或者是burp suite操作不当的原因,但实际上貌似是因为我传马的原因,因为本菜是用阿里云服务器搭建的靶场,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值