Upload-labs 1-5

最新推荐文章于 2025-05-14 20:31:51 发布
最新推荐文章于 2025-05-14 20:31:51 发布
阅读量193 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 靶场
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45808659/article/details/105755240
本文探讨了多种绕过Web应用中文件上传限制的方法,包括利用黑名单漏洞、特殊文件名和.htaccess配置,以实现非授权文件类型的上传。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Pass1

首先分析源码,只允许.jpg、.png、.gif格式
在这里插入图片描述
我们修改要上传的webshell.php为webshell.jpg,然后使用burp抓包修改为.php,然后点击forward放行在这里插入图片描述
打开蚁剑,输入地址在这里插入图片描述

Pass2

首先分析源码,规定请求数据中的content-type类型必须为image/jpeg
在这里插入图片描述

使用burp抓包进行修改在这里插入图片描述

Pass3

源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        #strrchr将条件以及后面的内容保留
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

分析函数

strrchr
将条件以及后面的内容保留
语法:strrchr(string,char)

str_ireplace
语法: str_ireplace(find,replace,string,count)

trim函数
语法: trim(string,charlist)

绕过:

限制了脚本后缀,尝试黑名单绕过:
在这里插入图片描述
把webshell.php更改为webshell.php3
然后上传,右击方框,在新标签中打开
在这里插入图片描述

黑名单绕过

1.文件大小名绕过 windows 后缀名不区分大小写
2.名单列表绕过
php可以用php3 phtml来代替
3.特殊文件名绕过
可以在后缀名中加上.或_,在windows中其会自动去掉
4.0x00截断
5.空格绕过
6.末尾加. (.在windows中会自动删去)
php在window的时候如果文件名+"::DATA"会把::DATA"会把::DATA"::DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名
他的目的就是不检查后缀名

pass4

查看源码,限制了更多的后缀
在这里插入图片描述
有:

“.php”,".php5",".php4",".php3",".php2",“php1”,".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",“pHp1”,".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf"
但是没有限制htaccess文件
新建一个1.htaccess文件,内容为AddType application/x-httpd-php .jpg
使用burp抓包,删除名称里面的1,然后上传,

在这里插入图片描述

然后上传webshell.jpg,转到地址

.htaccess

.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在httpd.conf文件中配置。

构造.htaccess文件,内容如下:AddType application/x-httpd-php .jpg
这里代码的意思可以让 .jpg后缀名文件格式的文件名以php格式解析,因此达到了可执行的效果。所以我们可以把要上传的php文件的后缀名改为.jpg格式从而绕过

pass5

检查源码

“.php”,".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess"

所有都被列入黑名单
但是并没有像第四关一样转换为小写
在这里插入图片描述
将webshell.php命名为webshell.PHP即可绕过

upload-labs1-5
shangMD01的博客
02-24 4231
用浏览器打开upload: 第一关 -js检查 上传文件会获得提示 把文件后缀改为.jpg/.png/.gif,我这里用的是jpg: 打开burpsuite在upload上传修改后的文件进行爪包: 在burpsuite中修改文件进行回显: 第二关 仅判断Content-type类型 上传文件失败,对文件进行爪包: 在burpsuite修改Content-type类型为image/jpeg、image/png、image/gif的任意一种进行回显: ...
Upload-labs 1-5 文件上传靶场
m0_73910867的博客
10-01 642
Upload-labs 1-5关 文件上传靶场 思路
文件上传的复习(upload-labs1-5关)
2302_80935968的博客
04-23 2062
文件上传本身是一个正常的业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器,比如:上传图片,资料。文件上传漏洞不仅涉及上传漏洞这个行为,还涉及文件上传后的进一步解析和处理,以及文件的下载,如果服务器的处理逻辑设计的不够全面,就会导致严重的后果最简单的文件上传漏洞是指用户上传了一个可执行的脚本文件,并且根据此脚本获得了执行服务器命令的能力。
使用phpstudy搭建upload-labs靶场
m0_75167824的博客
03-04 704
如果已经搭建过sql及其他靶场或者已经成功使用phpstudy的可在看完---1.下载安装包与文件,下载好upload-labs文件后直接跳转到---6.搭建upload-labs靶场。2.关掉MySQL的进程再打开小皮面板上的MySQL(不删除原本下载的MySQL是可能有数据或者还需要用;将下载的压缩包解压到下面路径下面---其实就是网站的根目录下,一般都是这个位置,如果不是请换成网站的根目录下。在打开的网站后面加/upload-labs-master,然后回车进去,得到下,下面就成功了。
文件上传upload-labs-docker通关
shdbehdvd的博客
11-26 2446
文件上传基础 阶段一
upload-labs通关攻略
gysadsadsa的博客
03-11 853
同上 不同的是这次php文件不能上传了,jpg文件刚传就被删,所以在jpg内写上输出木马到目录里面的代码,利用文件包含漏洞一直 包含这个文件,只要包含到这个文件,这个jpg文件内的php代码就会被运行,木马就会生成。1.构造后缀绕过 点空格点绕过,去除文件名末尾的点,剩下点空格,收尾去空,剩下点。上传能够输出木马文件的木马(不是上传一句话木马),然后上传了这个木马会在极短的时间内被删除,我们需要抓包一直爆破这个上传木马的数据包,以达到一直上传木马的目的,然后在未被删除的时间内访问到这个文件。
upload-labs 1-5
Z_l123的博客
02-24 212
1.Pass-01 提交1.php,开启Burpsuite抓包 发现没有产生流量就验证了 修改前端代码 这里调用后面的函数,直接删除,即可上传成功 2.Pass-02 提交1.php 开启Burpsuite抓包 将文件类型application/octet-data为image/jpeg,放行包即可 3.Pass-03 提交1.php 黑名单检测,可将1.php修改为1.php3或1.php5进行绕过 4.Pass-04 提交1.php 新...
Upload-Labs-Linux1
shierbai的博客
05-17 1207
直接传了个图片马包含一下就成功了,不过还是条件竞争,此处因为上传了图片可以得到重命名后路径,做条件竞争就是为了在重命名前去访问该文件(路径可知,但重命名后文件名不可知)图片马是可以的,但这里应该是考条件竞争,写入木马文件放到burp intruder重放,然后同时进行访问,再被重命名前访问到php解析的图片马即可。存在文件解析漏洞,不知道的可以自行百度,这里也可以上传一个.htaccess,利用此文件去将上传的jpg啊,什么gif文件按照php解析。空格,真是让人尽兴啊,也许我一生都不会忘了你的吧。
upload-labs 通关方法
cooper的笔记本
05-23 1428
upload-labs 通关方法
upload-labs通关笔记-5关 文件上传之.ini绕过
mooyuan的网络安全博客
05-14 1607
本文通过《upload-labs靶场通关笔记系列》来进行upload-labs靶场的渗透实战,本文讲解upload-labs靶场第四关文件.ini渗透实战。
安装upload-labs
10-22
1. 学习文件上传漏洞课程:upload-labs提供了详细的课程讲解文件上传漏洞的基础知识和实践经验,您可以通过学习这些课程来了解文件上传漏洞的原理和防御方法。 2. 根据关卡提示信息练习:upload-labs提供了多个关卡...
upload-labs靶场
09-09
在网络安全领域,upload-labs靶场是一个针对Web应用上传漏洞进行练习和测试的平台。通过利用upload-labs,安全研究人员和爱好者可以提高对各种上传漏洞的识别和利用能力,这对于提升网站的安全防护水平至关重要。...
WEB渗透学习-upload-labs靶场
04-20
**WEB渗透学习-upload-labs靶场详解** 在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至关重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础...
upload-labs.zip
04-07
Upload-Labs是一个专门针对上传文件漏洞进行研究和实践的平台,它允许我们深入了解和学习如何利用和查找这些漏洞。在这个过程中,我们将探讨前端技术、Web安全策略以及如何防止安全威胁。 上传文件漏洞通常是由于...
upload-labs19-20以及总结1
08-08
5. **00截断**:在某些环境中,文件名中包含"00"字节可能导致路径截断,使得恶意文件可以以不同的方式被执行。在Pass19中,可以通过在`save_name`参数中添加"00"来尝试绕过黑名单,但这可能需要特定环境支持。 6. *...
XPage新标签页 - Chrome 应用商店 0.6.7.0.crx
08-25
XPage新标签页 - Chrome 应用商店 0.6.7.0.crx
ComfyUILotus Depth实现高效单目深度估计与细节重建
08-25
文件编号:c0068 ComfyUI使用教程、开发指导、资源下载: https://datayang.blog.csdn.net/article/details/145220524 AIGC工具平台Tauri+Django开源ComfyUI项目介绍和使用 https://datayang.blog.csdn.net/article/details/146316250 更多工具介绍 项目源码搭建介绍: 《我的AI工具箱Tauri+Django开源git项目介绍和使用》https://datayang.blog.csdn.net/article/details/146156817 图形桌面工具使用教程: 《我的AI工具箱Tauri+Django环境开发,支持局域网使用》https://datayang.blog.csdn.net/article/details/141897682
基于STM32单片机的串口双机通信汽车电量里程模拟项目 - OLED显示
08-25
内容概要:本文介绍了基于STM32单片机的串口双机通信项目,用于模拟汽车电量和里程。该项目涉及两个STM32单片机之间的数据交互,其中一个作为主控板负责调整参数并显示,另一个作为驱动板负责发送传感器数据。项目提供了详细的程序源码和Proteus仿真文件,涵盖了硬件连接、按键处理、ADC采集、串口通信协议以及OLED显示等多个方面。文中还特别提到了按键消抖、软件滤波、串口通信优化和OLED图形界面的设计细节。 适合人群:嵌入式系统开发人员,尤其是对STM32单片机和串口通信感兴趣的开发者。 使用场景及目标:本项目的应用场景为汽车电子系统的开发与测试,旨在帮助开发人员理解和掌握STM32单片机的串口通信机制及其应用。目标是通过实际项目操作,提升开发人员对嵌入式系统设计的理解和技术水平。 其他说明:项目中包含了多个实用的技术点,如状态机实现的按键处理、一阶低通滤波、DMA+环形缓冲区的串口通信优化、OLED GUI库的应用等。此外,项目还包括了一个有趣的彩蛋——当里程达到520公里时,OLED会显示特殊爱心动画。
BusyBox环境Armv7l-ARMv7 架构 安装curl命令
最新发布
08-25
busybox环境armv7l---ARMv7 架构 安装curl命令
upload-labs-master1-19
01-01
### 下载并研究 upload-labs-master GitHub 仓库 为了下载 `upload-labs-master` GitHub 仓库,可以按照如下方法操作: #### 使用 Git 命令克隆仓库 通过命令行工具使用 Git 来获取最新的项目源码是一个常见做法。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值