upload-labs靶场练习

文件上传函数的常见函数:

在PHP中,‌文件上传涉及的主要函数包括move_uploaded_file(), is_uploaded_file(), get_file_extension(), 和 mkdir()。‌这些函数共同协作,‌使得用户可以通过HTTP POST方法上传文件,‌并在服务器上保存这些文件。

1.move_uploaded_file():‌此函数用于将上传的文件从临时位置移动到指定的位置。‌它需要两个参数:‌上传文件的临时路径和目标路径。‌如果文件成功移动,‌该函数返回true,‌否则返回false。‌

2.is_uploaded_file():‌此函数用于判断文件是否是通过HTTP POST上传的。‌它需要一个参数,‌即文件的临时路径。‌如果文件是通过HTTP POST上传的,‌该函数返回true,‌否则返回false。‌

3.get_file_extension():‌此函数用于获取文件的扩展名。‌它需要一个参数,‌即文件名。‌该函数通过pathinfo()函数获取文件扩展名并返回。‌

4.mkdir():‌此函数用于创建一个目录。‌它需要一个参数,‌即目录的路径。‌如果目录成功创建,‌该函数返回true,‌否则返回false。‌在文件上传的场景中,‌可以使用此函数来确保上传目录的存在。‌
资料:PHP中的文件上传及其相关函数-php教程-PHP中文网

代码资料:文件上传漏洞练习 upload-labs(1~5)【js过滤,MIME过滤,黑名单过滤,.htaccess文件攻击,.user,ini文件攻击】_js通过过滤器黑名单-CSDN博客

pass-01(js前端验证)

1.上传一个php文件,发现直接弹窗出现可上传的文件类型,判断为js前端验证

2.解决方案主要有三种,这里演示第三种

方法一:

可以禁用浏览器的js脚本功能(不推荐),可以会影响其他正常的js功能

方法二:

查看源代码,复制源代码删除js文件校验部分,在本地运行即可

方法三:

使用burp抓包,修改image/type

方法三

抓包修改文件的后缀名 

在新标签页打开上传的图片,我们打开后可以发现图片格式是php,说明我们的一句话木马已成功上传到网站

使用蚁剑连接,本关完成

pass-02(MIME验证)

服务端MIME类型检测是通过检查http中包含的Content-Type字段中的值来判断上传文件是否合法的。

利用Burp抓包,将报文中的Content-Type改成允许的类型。

1.上传php文件,出现以下页面

2.查看源代码,发现只能上传jpg,png,gif

3.上传php文件,发现可以抓到包,说明验证是在后端进行

4.在新标签页打开上传的图片

5.用蚁剑连接,通过此关卡

pass-03(黑名单-特殊解析后缀

1.上传php文件,发现出现以下页面

2.查看源代码,发现禁止上传.asp,.aspx,.php,.jsp后缀文件!

3.使用抓包,修改后缀名

4.在新标签页打开上传的图片,发现phtml文件上传成功,通过此关卡

pass-04(黑名单-.htaccess绕过

如果我们不存在服务器的root权限 
但是想修改 服务器配置 就可以在 apache中打开选项
然后我们就可以通过 .htaccess 来配置服务器了

1.上传php文件,发现出现以下页面

2.查看源代码,发现过滤了很多文件的后缀名

3.新建一个.htaccess文件,里面的内容为

<FilesMatch "shell.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

4.先上传.htaccess文件,再上传含有一句话木马的jpg文件,在新标签页打开上传的图片,发现成功上传php文件

5.蚁剑连接成功,通过此关卡

pass-05(.user.ini分析)

.user.ini 其实就是用户自定义的 php.ini

资料:Upload-labs Pass-05 .user.ini文件上传_upload-labs教程第五关上传出错-CSDN博客

1.上传php文件,发现出现以下页面

2.查看源代码,过滤了上一关我们所用的.htaccess文件

3.先上传.ini文件,再上传jpg文件,在新标签页打开上传的图片,发现成功上传php文件

4.蚁剑连接成功,通过本关卡

pass-06(黑名单-大小写绕过)

1.上传php文件,出现以下页面

2.查看源代码,发现它没有过滤大小写

3.利用大小写绕过

4.报错,特别注意,我的环境apache 2.4.39的时候连接失败,Response报文状态码500,用nginx 1.15.11是可以成功的

pass-07(黑名单-空格绕过)

1.分析源代码,发现缺少了首尾去空格的代码,可以使用空格来绕过

2.上传php文件,使用burp抓包,在前面或者后面加上空格进行绕过

3.在新标签页打开上传的图片,发现成功上传php文件

4.使用蚁剑连接,通过本关卡

pass-08(黑名单-点绕过)

1.观察源代码,发现缺少删除文件名末尾的点的代码

2.使用burp抓包,利用点来绕过

3.在新标签页打开上传的图片,发现成功上传php文件

4.使用蚁剑连接

pass-09(黑名单-: :$DATA绕过)

php在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持"::$DATA"之前的文件名 他的目的就是不检查后缀名。

1.观察源代码,发现缺少去除字符串: :$DATA这个代码

2.继续抓包,在文件名之后加上: :$DATA

3.在新标签页打开上传的图片,发现成功上传php文件

pass-10(黑名单-点空格点绕过)

1.看源代码,利用点空格点绕过,代码运行最后得到的后缀为"." 不在黑名单中 然而又用原来的10.php. .来保存文件 由于windows在文件命名中会自动删除.和空格 所以最终得到的是10.php 因此绕过了黑名单限制

2.抓包,在文件名后面加上. .进行绕过

3.在新标签页打开上传的图片,发现成功上传php文件

4.最后使用蚁剑连接即可

pass-11(黑名单-双写绕过)

1.看源代码,str_ireplace 是 PHP 中的一个函数,它用于将字符串中的某些部分替换为其他字符串,并且对大小写不敏感。通过源码我们可以发现,他仅仅对文件名称进行了替换,替换之后的后缀没有进行黑名单验证,这里我们就可以使用双写文件后缀进行文件上传

2.利用burp抓包,双写php进行绕过

3.在新标签页打开上传的图片,发现成功上传php文件

pass-12(白名单-get%00截断)

0x00是一个Hex编码,他表示一个空字符(可以理解为一个不可见的字符串)

1.观察源代码,发现代码漏洞点就在于 用$_GET[‘save_path’]来组成上传的文件路径,而这个get传参是我们可以控制的地方,因此我们考虑用是否能进行截断,例如形成…/upload/12.php/截断后面的(xxx.jpg)

2.上传jpg文件之后,进行抓包,在bp中将路径改为save_path=../upload/shell.php%00再发送,经系统拼接会变成save_path=../upload/shell.php%00shell.jpg。而%00会将shell.jpg截断,shell.jpg里面的内容由shell.php继承(例如shell.jpg里面的内容是<?php phpinfo();?>,截断之后shell.php里面会有这个内容)

截断的条件:(1)网上说是php版本小于5.3.4才能成功,我试了几个比5.3.4高的版本,在bp上传的时候都显示上传失败,同时我也试了5.3.29带nts的也测试失败了(暂时不懂是什么原因),这题是在5.2.17不带nts版本下测试的。       

                     (2)php的magic_quotes_gpc为OFF状态

pass-13(白名单-post00截断)

原理:系统在对文件名的读取时,如果遇到0X00,就会认为读取已经结束,从而造成截断。

资料:关于00截断原理的一些思考_%00截断-CSDN博客

1.看源码发现和上一题的差别在于$_GET['save_path']和$_POST['save_path'],这题我们不能用%00截断了,因为post方法不会将%00解码,即无法造成截断,不过可以利用0X00截断。

2.先上传一张1.jpg图片,用bp抓包。在/upload/后面加上shell.php%00(加%00的原因是为了方便后续的操作,可以换成一个你熟悉它十六进制的字符)

3.在Hex找到刚刚的标记字符%00的十六进制3030改成0000

pass-14(图片马绕过)

绕过文件头检查,使用图片马加文件包含进行绕过

1.靶场自带的文件包含

2.观察源代码,通过读文件的前面两个字节,可得使用图片马,且定义了一个函数getReailFileType用来检测文件类型。只能上传jpg\png\gif类型文件

服务器在后台使用函数来判断上传的文件内容是否为图片。如果是WebShell文件仅仅是修改了后缀,可能会被pass掉。故上传的内容必须得有真实的图片内容。

图片马的制作:

方法一:图片用notepad++打开,在尾行添加一句话木马 

方法二:使用copy命令

此题的其他绕过:

1.文件头图片格式绕过,使用工具打开修改文件头

2.文件头GIF89a绕过

“GIF89a”经常作为“Graphics Interchange Format number 89A”的缩写来使用,中文表示:“图形交换格式编号89A”

3.图片马上传成功之后, 在新标签页打开上传的图片,这里直接使用了文件包含

4.最后用蚁剑连接,此关卡通过

pass-15(与14关相同的方法)

pass-16(exif图片检测)

资料:获取图像的类型-CSDN博客

exif_imagetype_百度百科

1.观察源代码,发现此关卡使用了本题使用的检测函数为exif_imagetype(),exif_imagetype是判断一个图像的类型的进程。

2.在开始之前,你需要在php配置中开启exif选项。

3.剩下的与14关一样,最后使用蚁剑连接成功

pass-17(二次渲染)

二次渲染就是在我们上传的图片后,网站会对图片进行二次处理,比如对图片的尺寸、格式、以及网站对图片进行定义的一些要求等进行处理,并且服务器会对里面的内容进行二次替换更新,在处理完后,会生成一个合规的图片在网站上显示出来。

1.观察源代码,imagecreatefromjpeg()函数,二次渲染是由Gif文件或 URL 创建一个新图象。成功则返回一图像标识符/图像资源,失败则返回false,导致图片马的数据丢失,上传图片马失败。

二次渲染不是全部渲染,只渲染部分,所以把经过渲染的文件与未渲染的文件进行比较就可以得出不渲染的区域,随后把后门写在这里即可

这一关对上传图片进行了判断了后缀名、content-type,以及利用imagecreatefromxxx判断是否为相应格式的图片,最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,添加一句话,通过文件包含漏洞执行一句话,使用蚁剑进行连接。

 思路:二次渲染会对图片特定地方进行重写,按照标准格式进行存储,先上传一张正常gif然后下载上传完毕后的图片,作对比,在即使经过二次渲染也没有改变的地方植入木马,最后文件包含执行。

 2.上传正常的图片,文件包含打开图片,可以看到这里只是显示了图片的内容,没有解析到图片中的PHP代码。因为系统把我上传的图片重新渲染了一遍,或者说是压缩了我所上传图片的内容。

这里使用了大佬生成好的二次渲染图片:文件上传之二次渲染(专用图).zip - 蓝奏云

3.接下来先把被渲染的图片下载下来,直接右键图片,点击“另存图像为”,将两个图像使用010工具中的比较文件打开,在已经被渲染的图像里面,未被渲染的区域插入一句话木马

4.保存后,上传被渲染过且被修改过的一句话木马图像,并使用文件包含,发现成功上传

pass-18(条件竞争)

资料:https://blog.csdn.net/2301_81105268/article/details/137654545

文件上传漏洞练习 upload-labs(16~20)【exif图片检测,二次渲染绕过,上传条件竞争,包含条件竞争,文件名可控】_upload-labs通关第16关文件渲染-CSDN博客

我们可知,将文件上传至服务器后,不会被立即删除,而是做短暂的停留,中间会有一小部分时间差,这部分时间差是代码进行if判断的时间,这部分时间足够执行一句代码,我们利用这段时间差和一段代码就可以达到上传含有恶意代码的非法文件的目的,这就是“条件竞争”。 

1.进行代码审计,代码大概含义就是,对上传的文件首先进行白名单比对,如果是规定的格式,那么就重命名后储存,如果是其他文件就进行删除操作,也就是unlink() 函数

执行代码,创造一个名为 shell.php 的文件,shell.php 中写有 <?php phpinfo() ?>。这样我们在test.php 在后台短暂停留的时间内,只要访问它并执行代码,它就会在 upload 中创建 shell.php文件,达到上传非法文件的目的。 (这里我创建的是1.php文件)

2.上传 shell.php 文件,使用 Burpsuite 进行拦截,并将拦截信息发送至 intruder模块进行爆破访问,attack-type选择sniper狙击手模式。

pass-19(条件竞争)

Upload-labs 1-21关 靶场通关攻略(全网最全最完整)_upload靶场-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/51707.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

实战:安装ElasticSearch 和常用操作命令

概叙 科普文&#xff1a;深入理解ElasticSearch体系结构-CSDN博客 Elasticsearch各版本比较 ElasticSearch 单点安装 1 创建普通用户 #1 创建普通用户名&#xff0c;密码 [roothlink1 lyz]# useradd lyz [roothlink1 lyz]# passwd lyz#2 然后 关闭xshell 重新登录 ip 地址…

kaggle使用api下载数据集

背景 kaggle通过api并配置代理下载数据集datasets 步骤 获取api key 登录kaggle&#xff0c;点个人资料&#xff0c;获取到自己的api key 创建好的key会自动下载 将key放至家目录下的kaggle.json文件中 我这里是windows的administrator用户。 装包 我用了虚拟环境 pip …

Vite + Vue3 + TS项目配置前置路由守卫

在现代前端开发中&#xff0c;使用 Vue 3 和 TypeScript 的组合是一种流行且高效的开发方式。Vite 是一个极速的构建工具&#xff0c;可以显著提升开发体验。本文博主将指导你如何在 Vite Vue 3 TypeScript 项目中配置前置路由守卫&#xff08;Navigation Guards&#xff09;…

【YashanDB知识库】如何远程连接、使用YashanDB?

问题现象 在各个项目实施中&#xff0c;我们经常遇到客户、开发人员需要连接和使用YashanDB但不知如何操作的问题&#xff0c;本文旨在介绍远程连接、使用YashanDB的几种方式。 问题的风险及影响 无风险 问题影响的版本 历史版本~23.2 问题发生原因 无 解决方法及规避方…

前端web开发HTML+CSS3+移动web(0基础,超详细)——第1天

一、开发坏境的准备 1&#xff0c;在微软商店下载并安装VS Code 以及谷歌浏览器或者其他浏览器&#xff08;我这里使用的是Microsoft Edge&#xff09; 2&#xff0c;打开vs code &#xff0c;在电脑桌面新建一个文件夹命名为code&#xff0c;将文件夹拖拽到vs code 中的右边…

Windows10安装CMake图文教程

CMake是一个跨平台的开源构建工具&#xff0c;用于管理软件构建过程。CMake允许开发人员使用简单的语法来描述项目的构建过程&#xff0c;而无需直接处理特定于操作系统或编译器的细节。开发人员可以编写CMakeLists.txt文件来指定项目的源文件、依赖项和构建规则&#xff0c;然…

Ubuntu 20.04.6 安装 Elasticsearch

1.准备 -- 系统更新 sudo apt update sudo apt upgrade -- 安装vim 文本编辑器 sudo apt install vim-- jdk 版本确认 java -versionjdk 安装可以参照&#xff1a;https://blog.csdn.net/CsethCRM/article/details/140768670 2.官方下载Elasticsearch 官方地址&#xff1a;h…

Tekion 选择 ClickHouse Cloud 提升应用性能和指标监控

本文字数&#xff1a;4187&#xff1b;估计阅读时间&#xff1a;11 分钟 作者&#xff1a;ClickHouse team 本文在公众号【ClickHouseInc】首发 Tekion 由前 Tesla CIO Jay Vijayan 于 2016 年创立&#xff0c;利用大数据、人工智能和物联网等技术&#xff0c;为其汽车客户解决…

2024电赛H题参考方案(+视频演示)——自动行使小车

目录 一、题目要求 二、参考资源获取 三、参考方案 1、环境搭建及工程移植 2、移植MPU6050模块 3、移植TB6612电机驱动模块 4、整体控制方案视频演示 总结 一、题目要求 小编自认为&#xff1a;此次H题属于控制类题目&#xff0c;相较于往年较为简单&#xff0c;功能也算单一&a…

谷歌出品,一款免费的智能绘图工具

AutoDraw是由Google开发的一款基于网络的智能绘图工具&#xff0c;旨在通过人工智能技术帮助用户快速、简便地创建图画和图表。该工具于2017年4月11日由谷歌创意实验室推出&#xff0c;并迅速获得了广泛关注。 AutoDraw的核心功能是利用机器学习算法识别用户的草图或涂鸦&…

分布式SQL查询引擎之Presto

Apache Presto 是一个开源的分布式 SQL 查询引擎&#xff0c;旨在高效地对大规模数据集执行交互式查询。Presto 最初由 Facebook 开发&#xff0c;现已成为广泛使用的数据查询工具&#xff0c;特别是在大数据和分析领域。 主要特点 高性能&#xff1a;Presto 通过并行化和内存…

【A1web 1.0】靶机复现详解!

靶机地址&#xff1a; https://www.vulnhub.com/entry/ai-web-1,353/攻击机&#xff1a;kali 首先虚拟机建一个A1web 1.0靶机 切换nat模式 然后kali扫描 nmap -sV ip段 0/24 扫描出ip进行访问 访问没有什么信息 使用dirb 对网页…

使用 Matlab 绘制带有纹理的柱状图

以下是效果 1. 在 Matlab 里安装两个额外的库&#xff1a; hatchfill2 和 legendflex。 &#xff08;1&#xff09;搜索并安装 hatchfill2&#xff0c;用来画纹理 (2) 搜索并安装 legendflex&#xff0c;用来画自定义的图例 2. 代码&#xff08;说明见注释&#xff09; data …

排序算法辨析(快速记忆版)(冒泡排序,选择排序,插入排序,希尔排序,归并排序,快速排序)保研面经

选择排序&#xff1a;摸到一叠牌&#xff0c;每次选择出最小的放在合适的位置&#xff08;第一次放在第一张&#xff0c;第二次放在第二张&#xff09;&#xff0c;实现排序 最好最坏都是 O&#xff08;n^2&#xff09; 插入排序&#xff1a;摸牌的时候一张一张摸&#xff0c;每…

每日Attention学习14——Efficient Self-Attention

模块出处 [MICCAI 22] [link] [code] Lesion-aware Dynamic Kernel for Polyp Segmentation 模块名称 Efficient Self-Attention (ESA) 模块作用 高效自注意力 模块结构 模块思想 Self Attention操作在具有优秀的长距离建模能力的同时&#xff0c;也有着较高的计算与内存成…

学习ruixingkafei过程

一、抓包 手机安装证书&#xff0c;开启VPN抓包&#xff0c;电脑上打开花瓶&#xff0c;在同一个局域网内抓包&#xff0c;这些老一套没什么可说的。 看看我们的抓包结果是不是很美丽&#xff0c;请求内容加密&#xff0c;返回内容也加密&#xff0c;猜测加密方式aes&#xff0…

JWT (JSON Web Token)

&#x1f3bc;个人主页&#xff1a;金灰 &#x1f60e;作者简介:一名简单的大一学生;易编橙终身成长社群的嘉宾.✨ 专注网络空间安全服务,期待与您的交流分享~ 感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持&#xff01;❤️ &#x1f34a;易编橙终身成长社群&#…

AI绘画3分钟解决英文恐惧症,comfyui汉化插件

前言 全面解析&#xff1a;Comfy UI汉化插件的安装与配置指南 本文涉及的工作流和插件&#xff0c;需要的朋友请扫描免费获取哦 引言 本文图片来源网络&#xff0c;侵权联删除。 在全球化的今天&#xff0c;软件界面的本地化是提升用户体验的重要一环。对于许多非英语母语的…

EasyExcel入门

目录 一、文章简介 二、概念 1.EasyExcel是什么&#xff1f; 2.EasyExcel 能用在哪里&#xff1f; 3.为什么要选用EasyExcel解析excel&#xff1f; 4.如何使用EasyExcel&#xff1f; 三、EasyExcel快速入门 1.环境搭建 2.简单写excel 代码示例 TestFileUtil Employe…

心灵调整:音乐之美

音乐每天都在不同的空间和复杂的形式影响着人们。从电梯音乐削减尴尬的沉默,到家庭交通堵塞。音乐增强了人们所爱的人与人之间的瞬间,并帮助他们度过艰难时期。音乐被用于世界各地几代人的各种形式的治疗。本文进一步阐述了它如何在几种类型的心理健康状况中得到应用。 什么是音…