upload-labs靶场练习

文件上传函数的常见函数:

在PHP中,‌文件上传涉及的主要函数包括move_uploaded_file(), is_uploaded_file(), get_file_extension(), 和 mkdir()。‌这些函数共同协作,‌使得用户可以通过HTTP POST方法上传文件,‌并在服务器上保存这些文件。

1.move_uploaded_file():‌此函数用于将上传的文件从临时位置移动到指定的位置。‌它需要两个参数:‌上传文件的临时路径和目标路径。‌如果文件成功移动,‌该函数返回true,‌否则返回false。‌

2.is_uploaded_file():‌此函数用于判断文件是否是通过HTTP POST上传的。‌它需要一个参数,‌即文件的临时路径。‌如果文件是通过HTTP POST上传的,‌该函数返回true,‌否则返回false。‌

3.get_file_extension():‌此函数用于获取文件的扩展名。‌它需要一个参数,‌即文件名。‌该函数通过pathinfo()函数获取文件扩展名并返回。‌

4.mkdir():‌此函数用于创建一个目录。‌它需要一个参数,‌即目录的路径。‌如果目录成功创建,‌该函数返回true,‌否则返回false。‌在文件上传的场景中,‌可以使用此函数来确保上传目录的存在。‌
资料:PHP中的文件上传及其相关函数-php教程-PHP中文网

代码资料:文件上传漏洞练习 upload-labs(1~5)【js过滤,MIME过滤,黑名单过滤,.htaccess文件攻击,.user,ini文件攻击】_js通过过滤器黑名单-CSDN博客

pass-01(js前端验证)

1.上传一个php文件,发现直接弹窗出现可上传的文件类型,判断为js前端验证

2.解决方案主要有三种,这里演示第三种

方法一:

可以禁用浏览器的js脚本功能(不推荐),可以会影响其他正常的js功能

方法二:

查看源代码,复制源代码删除js文件校验部分,在本地运行即可

方法三:

使用burp抓包,修改image/type

方法三

抓包修改文件的后缀名 

在新标签页打开上传的图片,我们打开后可以发现图片格式是php,说明我们的一句话木马已成功上传到网站

使用蚁剑连接,本关完成

pass-02(MIME验证)

服务端MIME类型检测是通过检查http中包含的Content-Type字段中的值来判断上传文件是否合法的。

利用Burp抓包,将报文中的Content-Type改成允许的类型。

1.上传php文件,出现以下页面

2.查看源代码,发现只能上传jpg,png,gif

3.上传php文件,发现可以抓到包,说明验证是在后端进行

4.在新标签页打开上传的图片

5.用蚁剑连接,通过此关卡

pass-03(黑名单-特殊解析后缀

1.上传php文件,发现出现以下页面

2.查看源代码,发现禁止上传.asp,.aspx,.php,.jsp后缀文件!

3.使用抓包,修改后缀名

4.在新标签页打开上传的图片,发现phtml文件上传成功,通过此关卡

pass-04(黑名单-.htaccess绕过

如果我们不存在服务器的root权限 
但是想修改 服务器配置 就可以在 apache中打开选项
然后我们就可以通过 .htaccess 来配置服务器了

1.上传php文件,发现出现以下页面

2.查看源代码,发现过滤了很多文件的后缀名

3.新建一个.htaccess文件,里面的内容为

<FilesMatch "shell.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

4.先上传.htaccess文件,再上传含有一句话木马的jpg文件,在新标签页打开上传的图片,发现成功上传php文件

5.蚁剑连接成功,通过此关卡

pass-05(.user.ini分析)

.user.ini 其实就是用户自定义的 php.ini

资料:Upload-labs Pass-05 .user.ini文件上传_upload-labs教程第五关上传出错-CSDN博客

1.上传php文件,发现出现以下页面

2.查看源代码,过滤了上一关我们所用的.htaccess文件

3.先上传.ini文件,再上传jpg文件,在新标签页打开上传的图片,发现成功上传php文件

4.蚁剑连接成功,通过本关卡

pass-06(黑名单-大小写绕过)

1.上传php文件,出现以下页面

2.查看源代码,发现它没有过滤大小写

3.利用大小写绕过

4.报错,特别注意,我的环境apache 2.4.39的时候连接失败,Response报文状态码500,用nginx 1.15.11是可以成功的

pass-07(黑名单-空格绕过)

1.分析源代码,发现缺少了首尾去空格的代码,可以使用空格来绕过

2.上传php文件,使用burp抓包,在前面或者后面加上空格进行绕过

3.在新标签页打开上传的图片,发现成功上传php文件

4.使用蚁剑连接,通过本关卡

pass-08(黑名单-点绕过)

1.观察源代码,发现缺少删除文件名末尾的点的代码

2.使用burp抓包,利用点来绕过

3.在新标签页打开上传的图片,发现成功上传php文件

4.使用蚁剑连接

pass-09(黑名单-: :$DATA绕过)

php在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持"::$DATA"之前的文件名 他的目的就是不检查后缀名。

1.观察源代码,发现缺少去除字符串: :$DATA这个代码

2.继续抓包,在文件名之后加上: :$DATA

3.在新标签页打开上传的图片,发现成功上传php文件

pass-10(黑名单-点空格点绕过)

1.看源代码,利用点空格点绕过,代码运行最后得到的后缀为"." 不在黑名单中 然而又用原来的10.php. .来保存文件 由于windows在文件命名中会自动删除.和空格 所以最终得到的是10.php 因此绕过了黑名单限制

2.抓包,在文件名后面加上. .进行绕过

3.在新标签页打开上传的图片,发现成功上传php文件

4.最后使用蚁剑连接即可

pass-11(黑名单-双写绕过)

1.看源代码,str_ireplace 是 PHP 中的一个函数,它用于将字符串中的某些部分替换为其他字符串,并且对大小写不敏感。通过源码我们可以发现,他仅仅对文件名称进行了替换,替换之后的后缀没有进行黑名单验证,这里我们就可以使用双写文件后缀进行文件上传

2.利用burp抓包,双写php进行绕过

3.在新标签页打开上传的图片,发现成功上传php文件

pass-12(白名单-get%00截断)

0x00是一个Hex编码,他表示一个空字符(可以理解为一个不可见的字符串)

1.观察源代码,发现代码漏洞点就在于 用$_GET[‘save_path’]来组成上传的文件路径,而这个get传参是我们可以控制的地方,因此我们考虑用是否能进行截断,例如形成…/upload/12.php/截断后面的(xxx.jpg)

2.上传jpg文件之后,进行抓包,在bp中将路径改为save_path=../upload/shell.php%00再发送,经系统拼接会变成save_path=../upload/shell.php%00shell.jpg。而%00会将shell.jpg截断,shell.jpg里面的内容由shell.php继承(例如shell.jpg里面的内容是<?php phpinfo();?>,截断之后shell.php里面会有这个内容)

截断的条件:(1)网上说是php版本小于5.3.4才能成功,我试了几个比5.3.4高的版本,在bp上传的时候都显示上传失败,同时我也试了5.3.29带nts的也测试失败了(暂时不懂是什么原因),这题是在5.2.17不带nts版本下测试的。       

                     (2)php的magic_quotes_gpc为OFF状态

pass-13(白名单-post00截断)

原理:系统在对文件名的读取时,如果遇到0X00,就会认为读取已经结束,从而造成截断。

资料:关于00截断原理的一些思考_%00截断-CSDN博客

1.看源码发现和上一题的差别在于$_GET['save_path']和$_POST['save_path'],这题我们不能用%00截断了,因为post方法不会将%00解码,即无法造成截断,不过可以利用0X00截断。

2.先上传一张1.jpg图片,用bp抓包。在/upload/后面加上shell.php%00(加%00的原因是为了方便后续的操作,可以换成一个你熟悉它十六进制的字符)

3.在Hex找到刚刚的标记字符%00的十六进制3030改成0000

pass-14(图片马绕过)

绕过文件头检查,使用图片马加文件包含进行绕过

1.靶场自带的文件包含

2.观察源代码,通过读文件的前面两个字节,可得使用图片马,且定义了一个函数getReailFileType用来检测文件类型。只能上传jpg\png\gif类型文件

服务器在后台使用函数来判断上传的文件内容是否为图片。如果是WebShell文件仅仅是修改了后缀,可能会被pass掉。故上传的内容必须得有真实的图片内容。

图片马的制作:

方法一:图片用notepad++打开,在尾行添加一句话木马 

方法二:使用copy命令

此题的其他绕过:

1.文件头图片格式绕过,使用工具打开修改文件头

2.文件头GIF89a绕过

“GIF89a”经常作为“Graphics Interchange Format number 89A”的缩写来使用,中文表示:“图形交换格式编号89A”

3.图片马上传成功之后, 在新标签页打开上传的图片,这里直接使用了文件包含

4.最后用蚁剑连接,此关卡通过

pass-15(与14关相同的方法)

pass-16(exif图片检测)

资料:获取图像的类型-CSDN博客

exif_imagetype_百度百科

1.观察源代码,发现此关卡使用了本题使用的检测函数为exif_imagetype(),exif_imagetype是判断一个图像的类型的进程。

2.在开始之前,你需要在php配置中开启exif选项。

3.剩下的与14关一样,最后使用蚁剑连接成功

pass-17(二次渲染)

二次渲染就是在我们上传的图片后,网站会对图片进行二次处理,比如对图片的尺寸、格式、以及网站对图片进行定义的一些要求等进行处理,并且服务器会对里面的内容进行二次替换更新,在处理完后,会生成一个合规的图片在网站上显示出来。

1.观察源代码,imagecreatefromjpeg()函数,二次渲染是由Gif文件或 URL 创建一个新图象。成功则返回一图像标识符/图像资源,失败则返回false,导致图片马的数据丢失,上传图片马失败。

二次渲染不是全部渲染,只渲染部分,所以把经过渲染的文件与未渲染的文件进行比较就可以得出不渲染的区域,随后把后门写在这里即可

这一关对上传图片进行了判断了后缀名、content-type,以及利用imagecreatefromxxx判断是否为相应格式的图片,最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,添加一句话,通过文件包含漏洞执行一句话,使用蚁剑进行连接。

 思路:二次渲染会对图片特定地方进行重写,按照标准格式进行存储,先上传一张正常gif然后下载上传完毕后的图片,作对比,在即使经过二次渲染也没有改变的地方植入木马,最后文件包含执行。

 2.上传正常的图片,文件包含打开图片,可以看到这里只是显示了图片的内容,没有解析到图片中的PHP代码。因为系统把我上传的图片重新渲染了一遍,或者说是压缩了我所上传图片的内容。

这里使用了大佬生成好的二次渲染图片:文件上传之二次渲染(专用图).zip - 蓝奏云

3.接下来先把被渲染的图片下载下来,直接右键图片,点击“另存图像为”,将两个图像使用010工具中的比较文件打开,在已经被渲染的图像里面,未被渲染的区域插入一句话木马

4.保存后,上传被渲染过且被修改过的一句话木马图像,并使用文件包含,发现成功上传

pass-18(条件竞争)

资料:https://blog.csdn.net/2301_81105268/article/details/137654545

文件上传漏洞练习 upload-labs(16~20)【exif图片检测,二次渲染绕过,上传条件竞争,包含条件竞争,文件名可控】_upload-labs通关第16关文件渲染-CSDN博客

我们可知,将文件上传至服务器后,不会被立即删除,而是做短暂的停留,中间会有一小部分时间差,这部分时间差是代码进行if判断的时间,这部分时间足够执行一句代码,我们利用这段时间差和一段代码就可以达到上传含有恶意代码的非法文件的目的,这就是“条件竞争”。 

1.进行代码审计,代码大概含义就是,对上传的文件首先进行白名单比对,如果是规定的格式,那么就重命名后储存,如果是其他文件就进行删除操作,也就是unlink() 函数

执行代码,创造一个名为 shell.php 的文件,shell.php 中写有 <?php phpinfo() ?>。这样我们在test.php 在后台短暂停留的时间内,只要访问它并执行代码,它就会在 upload 中创建 shell.php文件,达到上传非法文件的目的。 (这里我创建的是1.php文件)

2.上传 shell.php 文件,使用 Burpsuite 进行拦截,并将拦截信息发送至 intruder模块进行爆破访问,attack-type选择sniper狙击手模式。

pass-19(条件竞争)

Upload-labs 1-21关 靶场通关攻略(全网最全最完整)_upload靶场-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/389936.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

pycharm安装与配置Pyqt5

pycharm安装与配置Pyqt5 1、创建项目、虚拟环境 打开pycharm&#xff0c;File->New Project 2、安装pyqt5库 在pycharm下方Terminal终端窗口输入&#xff1a; pip install PyQt5 -i https://pypi.douban.com/simple pip install PyQt5-tools -i https://pypi.douban.c…

模拟实现strcmp,判断二个字符串是否相等

1.判断二个字符串是否相等&#xff0c;可以模仿strcmp.当二个字符串相等的时候ruturn 0.,当二个字符串小于时返回为小于0&#xff0c;当二个字符串大于时返回为大于0。const为不可以更改。 //方法一 int my_strcmp(const char* arr1, const char* arr2) {assert(arr1 &&…

CFA FRM原創講義和視頻等備考全部資料內容,順便征求建議

大家好&#xff0c;我是小伯&#xff0c; 曾經我也很喜歡上這個壇子查資料&#xff0c;好多年過去&#xff0c;現在論壇蠻雕零的很感慨。我和幾個朋友原創作了一些CFA一級二級三級和FRM一級二級雙語中英文的課件、視頻、資料&#xff0c; 是我們從2024年起一起合作的一個以自學…

C语言 | Leetcode C语言题解之第316题去除重复字母

题目&#xff1a; 题解&#xff1a; char* removeDuplicateLetters(char* s) {int vis[26], num[26];memset(vis, 0, sizeof(vis));memset(num, 0, sizeof(num));int n strlen(s);for (int i 0; i < n; i) {num[s[i] - a];}char* stk malloc(sizeof(char) * 27);int stk…

算法学习day27

一、寻找重复数(链表中找环) 给定一个包含 n 1 个整数的数组 nums &#xff0c;其数字都在 [1, n] 范围内&#xff08;包括 1 和 n&#xff09;&#xff0c;可知至少存在一个重复的整数。 假设 nums 只有 一个重复的整数 &#xff0c;返回 这个重复的数 。 题意&#xff1a…

[Git][认识Git]详细讲解

目录 1.什么是仓库&#xff1f;2.认识工作区、暂存区、版本库3.认识 .git1.index2.HEAD && master3.objects4.总结 1.什么是仓库&#xff1f; 仓库&#xff1a;进⾏版本控制的⼀个⽂件⽬录 2.认识工作区、暂存区、版本库 工作区&#xff1a;在电脑上写代码或⽂件的⽬录…

Java Excel复杂表头,表头合并单元格

Java Excel复杂表头&#xff0c;表头合并单元格 效果预览 一、maven依赖 <!--操作excel --><dependency><groupId>com.alibaba</groupId><artifactId>easyexcel</artifactId><version>2.1.1</version><scope>test</…

【C++标准模版库】vector的介绍及使用

vector 一.vector的介绍二.vector的使用1.vector 构造函数2.vector 空间增长3.vector 增删查改4.vector 迭代器的使用1.正向迭代器2.反向迭代器 5.victor 迭代器失效问题&#xff08;重点&#xff09; 三.vector不支持 流提取与流插入四.vector存储自定义类型1.存储string2.存储…

大数据环境安装Elasticsearch Kibana可视化

1、用yum安装&#xff0c;配置仓库和镜像。 2、用离线软件包&#xff0c;rpm安装。 服务器环境CentOS7.9 因为云安装&#xff0c;配置镜像版本一直没有成功&#xff0c;改为直接下载软件安装。 官方网址&#xff1a;https://www.elastic.co/cn/downloads/elasticsearch 因为要…

linux用户组练习

准备工作 [rootlocalhost ~]# watch -n 1 tail -n 5 /etc/group使用watch 动态监控 1.建立用户组 shengcan&#xff0c;其id 为2000 2.建立用户组 caiwu&#xff0c;其id 为 2001 3.足建立用户组 jishu&#xff0c;其id 为 2002 4.建立用户lee&#xff0c;指定其主组id为sh…

【开源】嵌入式Linux(IMX6U)应用层综合项目(1)--云平台调试APP

目录 1.简介 1.1功能介绍 1.2技术栈介绍 1.3演示视频 1.4硬件介绍 2.软件设计 2.1连接阿里云 2.2云平台调试UI 2.3Ui_main.c界面切换处理文件 2.4.main函数 3.结尾&#xff08;附网盘链接&#xff09; 1.简介 此文章并不是教程&#xff0c;只能当作笔者的学习分享&…

江协科技51单片机学习- p31 LCD1602液晶屏驱动

&#x1f680;write in front&#x1f680; &#x1f50e;大家好&#xff0c;我是黄桃罐头&#xff0c;希望你看完之后&#xff0c;能对你有所帮助&#xff0c;不足请指正&#xff01;共同学习交流 &#x1f381;欢迎各位→点赞&#x1f44d; 收藏⭐️ 留言&#x1f4dd;​…

端到端自动驾驶:挑战与前沿

End-to-end Autonomous Driving: Challenges and Frontiers 端到端自动驾驶&#xff1a;挑战与前沿 Abstract The autonomous driving community has witnessed a rapid growth in approaches that embrace an end-to-end algorithm framework, utilizing raw sensor input …

OpenSPG安装部署

文章目录 前言一、安装前准备安装docker安装docker compose 二、安装服务端下载 docker-compose.yml 文件启动服务端 三、安装客户端拉取镜像克隆OpenSPG源码 案例 前言 OpenSPG是以SPG框架为基础设计和实现的知识图谱开放引擎&#xff0c;它为领域图谱构建提供了明确的语义表…

常见病症之中医药草一枝黄花

常见病症之中医药草一枝黄花 1. 源由2. 一枝黄花植物描述药用部分主要成分药理作用使用方法注意事项 3. 常用方剂3.1 一枝黄花汤3.2 一枝黄花解毒汤 4. 着凉感冒主要方剂加味处方使用方法注意事项 5. 补充资料 1. 源由 注&#xff1a;仅供参考&#xff0c;建议在中医师指导下使…

电商兴农,柳湖新篇:特色产品助力乡村发展

在 2024 年这个充满希望与活力的年份&#xff0c;电商兴农的热潮如同一股春风&#xff0c;吹进了柳湖这片充满生机的土地。玄鹤洞油茶、醋&#xff0c;食家巷特色传统面点、陇原雪陇强面粉、陇源香亚麻籽油等特色产品&#xff0c;以及众多农家的积极参与&#xff0c;共同书写了…

欧科云链7月安全月报 | 私钥泄露损失约占总损失88%,超2.6亿美元

7 月全网累计造成损失约 2.9 亿美元&#xff0c;因私钥泄露所造成损失占总损失的 88.31%&#xff0c;其中 WazirX 因多签钱包私钥泄露&#xff0c;造成约 2.35 亿美元的损失&#xff0c;为 7 月最大安全事件。 最大安全事件-私钥泄漏 7 月 18 日&#xff0c;WazirX 多签钱包私…

免账户免权限免费获取 A股 全市场股票ETF指数 分钟级数据

日期 2024/8/2 意外发现的&#xff0c;抛砖引玉&#xff0c;测试了下&#xff0c;其他券商的也可以。 可以直接获取 1m 5m 1day 级别的数据&#xff0c;全A股市场的都可以。期货未测试。 需要 其他的级别的分数数据可以自行合成。 原理 券商版qmt获取行情数据时&#xff0c;不…

Java 设计模式之策略模式 (Strategy Pattern) 详解

Java 设计模式之策略模式 (Strategy Pattern) 详解 策略模式&#xff08;Strategy Pattern&#xff09;是一种行为型设计模式&#xff0c;旨在定义一系列算法&#xff0c;将每个算法封装起来&#xff0c;并使它们可以互相替换&#xff0c;从而使得算法的变化不会影响使用算法的…

高并发内存池

高并发内存池 一、项目介绍二、什么是内存池1.池化技术2.内存池3.内存池主要解决的问题3.1内碎片3.2外碎片3.3内存池的解决方案 4.malloc 三、定长内存池1.定长内存池设计2.成员属性3.析构和构造4.New和Delete5.性能测试 四、高并发内存池整体框架设计五、申请内存设计1.Thread…