upload-labs通关(Pass-11~Pass-15)

最新推荐文章于 2025-06-30 10:25:03 发布
最新推荐文章于 2025-06-30 10:25:03 发布
阅读量2.8k 收藏 12
点赞数 6
CC 4.0 BY-SA版权
分类专栏: upload-labs # 文件上传/下载/包含 文章标签: php 网络安全 文件上传漏洞 upload-labs web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/120660805

目录

Pass-11

Pass-12

Pass-13

Pass-14

Pass-15

Pass-11

什么鬼,我都做好了上传不成功的准备,结果sh.php居然上传成功了。

一看Response报文,果然事情没有这么简单,后端自动把文件名中的php去掉了,文件名变成sh.了

这样的话,盲猜可以用双写绕过。这关直接在repeater中试一下,就不劳intruder大驾了。

果然,双写php之后,服务器上保存的文件名是sh.php,成功绕过黑名单过滤。

代码分析:

本关代码在文件名中出现黑名单中的字符串时,用str_ireplace()函数替换为啥也没有,但是这个替换它不迭代,所以采用套娃的方式双写敏感后缀就可以绕过了。

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

Pass-12

上传sh.php之后,看这关页面返回的提示,似乎是白名单过滤呢

不死心,burp中把上图所示的报文send to repeater,发现filename改成sh.xxx上传失败,改成sh.jpg上传成功。看来真是文件名后缀的白名单过滤……

白名单还怎么玩呢(如果没有文件包含漏洞的话)……幸好这关看上去上传的文件的保存路径是用户可控的。如上图所示,请求报文的url中有个save_path参数,文件上传到服务器后的位置似乎是由这个参数决定的,这就给了%00截断发挥的机会。

构造请求报文,filename保持sh.jpg,为的是通过对文件名后缀的白名单校验;save_path的值改为 ../upload/sh.php%00,为的是使程序以为上传的文件应该保存为../upload/sh.php

虽然Response报文中显示的图片路径挺奇葩,但是后面分析代码的时候就知道显示的这个并不是文件真正的路径,实际上文件被保存为C:\phpstudy_pro\WWW\upload-labs\upload\sh.php

最低0.47元/天 解锁文章

200万优质内容无限畅学
Upload-Labs-Pass-11
龙狼刺的博客
04-23 1915
目录 一、相关知识 1、GET型00截断原理: 二、环境搭配 三、文件上传 1、创建webshell 2、修改文件名 3、设置代理 4、文件上传 四、Weevely连接 一、相关知识 1、GET型00截断原理: 0x00是十六进制表示方法,是ASCII码为0的字符,在有些函数处理时,会把这个字符当做结束符。系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。在PHP5.3之后的版本中完全修复了00截断。并且00截断受限于GPC,addslashes函数。 二、环境搭.
upload-labs靶场Pass-11
wanggonghanfei的博客
10-21 289
upload-labs靶场Pass-11 双写绕过
upload-labs靶场通关详解:第15-16关 函数验证图片马绕过
最新发布
CL1799438883的博客
06-30 412
文件上传验证中,如果文件不是有效图像,则返回错误,是有效图像则返回一个数组,这里返回的$info[2]是图像类型代码。这里虽然使用了getimagesize()函数来验证文件是否为有效图像,但是攻击者仍然可以将一段恶意的php代码插入正常的图片中,达到上传到服务器的目的。人们说,客观上当你不需要爱情的时候,主观上你就做好了迎接她的准备。遇见她之前的那段时间,我的生活状态不断向上向好,整个人焕发出蓬勃的生机。我想对Y同学说一句话,也是她当初对我说的,“你什么样都很好。我鼓足勇气,伸出手,向那株蒲公英。
Upload-Lab第15关:巧妙利用头文件绕过文件上传验证限制
didiplus
08-21 517
网络安全领域,文件上传漏洞是一个常见且危险的漏洞。通过这些漏洞,攻击者可以上传恶意文件并在目标服务器上执行任意代码,从而控制整个系统。在Upload-Lab的第15关,我们将学习如何通过巧妙利用头文件来绕过文件上传的验证限制。这一关的挑战在于理解和利用 头文件的细节,从而成功绕过服务器的安全检查。通过第15关的学习,我们深入了解了如何利用头文件绕过文件上传验证限制。这不仅增强了我们对文件上传漏洞的认识,也提高了我们在实际工作中防御此类攻击的能力。
upload-labs15~17关
weixin_67813445的博客
02-28 375
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。
upload-labs Pass-15
wanggonghanfei的博客
10-23 270
根据源码分析,本关卡任然可以使用图片制作的webshell。利用文件包含漏洞直接访问,详细步骤可以查看我。制作图片木马,然后直接上传,准备文件info.php
upload-labs通关Pass-06~Pass-10)
箭雨镜屋
10-08 2042
Pass-06 上传sh.php失败,burp中将抓到的包send to repeater 修改filename为sh.xxx发现可以上传成功,说明是黑名单过滤 将报文send to intruder,按照Pass-03的套路爆破后缀名(upload-labs通关Pass-01~Pass-05)_箭雨镜屋-CSDN博客) 爆破结果用../upload过滤,发现只有如下后缀的文件上传成功 仔细查看Response报文后发现,有如下两个文件可以作为webshell(服务器是window.
upload-labs通关Pass-01~Pass-05)
箭雨镜屋
10-07 2740
开始之前,准备好burpsuite,浏览器配置好代理。 Pass-01 这关要求上传一个webshell,我选择了一个叫sh.php的文件并点击上传之后,跳出了一个弹框,提示当前文件类型不是允许上传的文件类型。 在burpsuite上proxy模块的http history中看了一下,并没有上传文件相关的报文,说明弹框时文件格式没有经过后端校验。 查看网页源代码,发现文件类型和弹框是由前端JS代码校验的。 这关至少有两种方法:浏览器disable JS,或者上传合法格式的文件,burp抓包
Upload-labs通关
刘箫-技术库
10-27 1535
尝试把webshell传入到服务器,发现服务器对文件后缀名进行过滤。
upload-labs靶场Pass-02
wanggonghanfei的博客
10-20 1044
upload-labs靶场Pass-02 白名单绕过MIME文件类型
upload-labs通关(第14-15关)
qq_73985955的博客
08-04 1189
首先我们创建一个1.php文件,在里面写入我们的一句话木马,记住要在代码的前面敲两个空格或者其他两个符号都可以,然后使用010editor打开这个文件,将两个空格处变成jpg的文件头(gif和png的也可以啊,不一定是jpg的),如果具体不知道怎么操作,可以看这位大佬的。查看源码发现,这个代码只对上传的文件的头两个字节进行检验,检查是否是jpg、gif或者是png图片。这个命令必须把xx.jpg放在前面,否则后面生成的xxx.jpg文件还是会被代码识别到,从而过滤。,我也是根据这位大佬的思路才做出了的。
upload-labs(15-21)
weixin_43825758的博客
04-17 884
123
upload-labs:pass-15
羽的博客
07-11 388
function isImage($filename){ $types = '.jpeg|.png|.gif'; if(file_exists($filename)){ $info = getimagesize($filename); $ext = image_type_to_extension($info[2]); if(stripos($types,$ext)>=0){ return $ext; ...
Upload LABS Pass-11 00截断
热门推荐
wangyuxiang946的博客
07-05 1万+
uploadlabs11upload labs 第十一关在服务端使用了白名单 , 但文件保存路径外漏 , 可以使用00截断
upload-labs之第十四和十五关
田田云逸的博客
10-28 3158
Pass14 打开第十四关,发现任务要求跟上一关是一样的。都是要求上传图片马。所以再看看提示吧。 没有说要检查文件前两个字节了,但是用了一个新的函数来检查是否为图片文件。我们先了解一下这个getimagesize()函数是干嘛的吧。 getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。函数成功返回的就是一个数组,失败则
文件上传漏洞靶场upload-labs学习(pass11-pass15
AFCC_的博客(Web_Dog)
03-13 4878
0x00 Pass11 Pass11主要考察str_ireplace函数 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv",
upload-labs】————16、Pass-15
Fly_鹏程万里
08-15 599
闯关页面 查看源代码: 这里用到php_exif模块来判断文件类型,还是直接就可以利用图片马就可进行绕过: 首先制作木马文件: 之后上传该文件 ...
upload-labs通关(Pass11-Pass15)
m0_46467017的博客
08-15 807
从下面这段代码的第3和第4行可知,文件名后缀白名单检测的位置是filename参数值,而从第6行可知,本关文件最后保存的路径是由url中save_path的值和一个随机数以及通过filename传入的文件名后缀组成的。本关用getimagesize()函数获取图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度,并将其取出的文件类型信息$info[2]与文件后缀白名单$types进行对比,判断上传的文件是否合法,并将$info[2]作为上传后的文件的后缀名。文件,说明本关是白名单过滤。...
UPLOAD LABS | PASS 15 - 白名单绕过(图片马 - 图片马的制作)
Blue17 の 小窝
12-04 948
图片末尾追加上一句话木马的内容?但是呢,前面我们也写了,我们是用二进制方式操作的,如果你直接将图片用 Windows 自带的记事本打开,然后添加上一句话木马的话,这个是无效的,甚至会直接破坏图片原本的格式(因为 Windows 记事本保存的格式与图片的编码还是不太一致的,这个东东最好还是对二进制进行操作)。所以,此时我们就需要专业的伪造手法,即笔者前面提到的 “图片马的制作” 部分的内容。上面链接的靶场是一个练习 XSS 的靶场,其插入的是 HTML 代码,同理,你换成一句话木马插入就可以了。
upload-labs通关pass-12
01-24
### 关于 Upload-Labs Pass-12 的解法 #### 背景介绍 Upload-Labs 是一个基于 PHP 编写的靶场项目,用于练习和学习文件上传漏洞的相关技巧。Pass-12 主要涉及通过特定条件下的文件上传来实现攻击目标。 #### 文件...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值