Upload-labs 第1 - 11关 通过笔记

原创 已于 2022-10-18 21:03:20 修改 · 407 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #服务器 #apache #web安全 #安全

于 2022-10-15 16:48:23 首次发布

第1关
上传个一句话木马.png,抓包
修改成一句话木马.php
上传,发现上传成功
右键查看图片链接,找到图片上传地址
用中国蚁剑,成功连接

第2关
这关考的是MIME验证,那么直接上传个 一句话木马.png
抓包
修改成 一句话木马.php
上传,发现上传成功
或者 直接上传 一句话木马.php
吧 content-type 改成图片的类型就行了
右键查看图片链接,找到图片上传地址
用中国蚁剑,成功连接

第3关
随便上传个php后缀文件,发现 提示:不允许上传.asp,.aspx,.php,.jsp后缀文件!
黑名单就是了,看看能不能大小写,发现没法上传
试试.phtml .phps .php5 .pht 后缀,上传成功
也可以用 .jpg.php 绕过

第4关
查看源码,发现一大堆都没法上传,判断为黑名单大全
创建一个 .htaccess 文件,写入如下代码,就会将上传的aswd1.png文件转换成php后缀
<FilesMatch "aswd1.png">
SetHandler application/x-httpd-php
</FilesMatch>
先上传这个文件
再上传 aswd1.png
发现被当作php成功执行!
用蚁剑成功连接!!!

第5关
查看源码,发现.htaccess,被过滤了
试试 .user.ini配置文件
创建一个.user.ini文件,写入
auto_prepend_file=xxx.jpg

xxx.jpg内写入一句话木马
上传xxx.jpg
这个原理就是 .user.ini 解析了 xxx.jpg 变成了php文件
用蚁剑成功连接!!!

第6关
查看源码,发现没用转换成小写了,很明显,直接大小写绕过
上传一句话木马,抓包,php改成phP,成功上传
用蚁剑成功连接!!!

第7关
上传一句话木马的php文件,抓包,发现在php后面加个 空格 ,成功绕过了!!
用蚁剑成功连接!!!

第8关
上传一句话木马的php文件,抓包,发现在php后面加个 . ,成功绕过了!!
用蚁剑成功连接!!!

第9关
看提示,又是黑名单
看源码,发现这关没用去除 ::$DATA 字符串
百度一下,发现写在php后面就可以绕过了
试试,果然可以
连接时,记得吧图片链接的 ::data去掉
用蚁剑成功连接!!!

第10关
看提示,只允许上传
就是白名单了,但是看下源代码
好家伙,这不还是黑名单吗
上传一句话木马的php文件,抓包,发现在php后面加个 .空格.,成功绕过了!!
用蚁剑成功连接!!!

第11关
看了下还是黑名单
上传一句话木马的php文件,抓包,发现在php后面加个 . 就绕过了??
试试连接,发现图片链接后缀直接没了?
看看源码,单次检测替换,试试双写绕过.pphphp
成功上传,看看图片链接
有php后缀了
成功连接

SunMMory
关注
文件上传:Upload靶场1117详解。
lxz021202的博客
01-04 751
web渗透测试之文件上传:Upload靶场1117
upload-labs第九教程
Estera的博客
06-11 631
备用数据流(Alternate Data Streams,ADS)是Windows中的一个特性,它允许在一个文件中隐藏额外的信息。这个特性是NTFS(Windows常用的一种文件系统)独有的。可以这样想:可以把备用数据流想象成一本书中的“隐形笔记”。这本书(文件)看起来还是那本书,里面的主要内容没有变,但你可以在书页的空白处(备用数据流)用隐形墨水写一些额外的内容(数据流),只有知道方法的人才能看到这些内容。
upload-labs11(双写后缀名绕过)通思路
zyh1588的博客
11-17 698
小白回顾文件上传靶场第十一
Upload LABS Pass-11 00截断
热门推荐
wangyuxiang946的博客
07-05 1万+
uploadlabs11upload labs 第十一在服务端使用了白名单 , 但文件保存路径外漏 , 可以使用00截断
upload靶场第11~21
2302_80097039的博客
11-23 2065
用了一个str_ireplace()函数先了解一下str_ireplace()是一个PHP函数,用于在字符串中查找并替换指定的子字符串。它与str_replace()函数类似,但不区分大小写。这意味着无论子字符串的大小写如何,它都会被替换为指定的新字符串。这个函数的语法是:str_ireplace(search, replace, subject)。其中search是要查找的子字符串,replace是要替换为的新字符串,subject是要在其中进行查找和替换的原始字符串。还是和上一思路相同。
upload-labs靶场通详解:第11 双写绕过
最新发布
CL1799438883的博客
05-19 647
现在我们知道它可以删除黑名单中的扩展名,那么这的代码是否存在逻辑漏洞呢?如果我上传文件的后缀名为pphphp,代码从第一位字母p开始读取,读到2-4位的时候发现这三位字母是php,于是将它替换成空白字符(删除),这看起来没什么问题,代码执行下一步,构建路径上传文件。但是,这里的pphphp在php被删除后,后缀只剩下了php,然后被上传,从而构成了文件绕过,这就是双写绕过。这一仍然是黑名单过滤,但是它的代码和前几都不一样, 它这里有一行核心代码,就是。3.将所有匹配的扩展名替换为空字符串(即删除)。
upload-labs(第14-15
qq_73985955的博客
08-04 1189
首先我们创建一个1.php文件,在里面写入我们的一句话木马,记住要在代码的前面敲两个空格或者其他两个符号都可以,然后使用010editor打开这个文件,将两个空格处变成jpg的文件头(gif和png的也可以啊,不一定是jpg的),如果具体不知道怎么操作,可以看这位大佬的。查看源码发现,这个代码只对上传的文件的头两个字节进行检验,检查是否是jpg、gif或者是png图片。这个命令必须把xx.jpg放在前面,否则后面生成的xxx.jpg文件还是会被代码识别到,从而过滤。,我也是根据这位大佬的思路才做出了的。
upload-labs(第18-19
qq_73985955的博客
08-06 1182
在这它先把文件上传至网站目录, 然后才对文件进行检验来决定是否删除这个文件,所以我们可以通过burpsuite发送大量的上传文件和访问所创建的webshell文件的请求,从而绕过代码的限制,上传后门文件。这不知道是不是代码有问题,还是我的配置有问题,我这直接用文件包含漏洞就能上传上去,我还看了其他人的wp,他们的都是用白名单+条件竞争+apache解析漏洞或者白名单+条件竞争+文件包含漏洞。接下来我们开始攻击,我们要分别点击上传请求的开始攻击按钮和文件访问的按钮(如果只点一个,它只会攻击一个)
upload-labs 1-6学习笔记
weixin_51151498的博客
10-27 923
简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21,每一都包含着不同上传方式。
文件上传upload-labs-docker通
shdbehdvd的博客
11-26 2446
文件上传基础 阶段一
upload-labs 上传训练
09-02
转自GitHub,是一个文件上传演练的靶场,练习文件上传思路轻松加愉快,附带源码查看,以及提示
Upload-labs靶场 01-11攻略
weixin_51804748的博客
11-09 852
前言 文件上传漏洞靶场Upload-labs,在github上下载后部署在win10本地,测试环境使用Kali虚拟机 https://github.com/c0ny1/upload-labs Pass-01 首先尝试上传一句话木马up.php文件发现上传失败,并提示只允许.jpg|.png|.gif类型,但是我们的burp并没有抓到这个包,于是判断此处的限制为前端验证,我们直接查看源代码 将此处判断文件类型的语句修改,即可正常绕过前端验证 成功上传后界面出现了刚刚上传的图片,由于上传的是php
upload-labs(11~12)通笔记
Sheng_GuoFu的博客
12-12 617
在url中%00表示ascii码中的0,而0作为特殊字符保留,表示字符结束,也就是说,在保存文件的时候,如果路径参数(例:$img_path)中出现了%00,就会认为路径到这里就已经结束了,从而忽略后面一系列的参数,比如,此时,路径参数的后半部分就会被%00给截断,从而变成使用%00截断有两个要求:1php的版本 < 5.3.42、php.ini中的magic_quotes_gpc的状态为Off。
upload靶场全通(上)1-11
weixin_59165176的博客
08-28 1589
本案例以upload靶场为例,若帮到你请点个注再走呗 第一(JS前端验证) js前端校验,这里可以使用火狐插件闭js,或者burp抓包绕过 把php木马文件,更改后缀名称为【.jpg】,使用Burp抓包,更改后缀名称 上传成功,右键图片复制地址,使用连接 第二(MIME验证) 只验证Content-type的属性,抓包修改即可绕过 还是一样的首先上传一个php木马,进行抓包,更改【content-type】的内容为 image...
文件上传漏洞--upload-labs靶场第 11-15(后三需要制作图片马)持续更新ing...
weixin_57240513的博客
07-28 1142
文件上传漏洞--upload-labs靶场详解11-15
upload-Labs靶场“11-15”教程
钟言的博客
03-04 7293
本篇为文件上传漏洞靶场的第1115教程,详细内容包含了一、第十一 %00截断GET上传 1、源码分析 2、%00截断GET上传 第十二 %00截断POST上传 1、源码分析 2、%00截断POST上传-。第十三 文件头检测绕过 1、源码分析 2、文件头检测绕过 四、第+四 图片检测绕过上传 1、源码分析 2、图片马绕过上传五、第十五 图片检测绕过上传 1、源码分析 2、图片马绕过上传等等内容
upload-labs(第8-11
qq_73985955的博客
07-27 524
查看代码,我们会发现代码虽然少了一些,但是按照之前的方法还是不能绕过黑名单上传文件,主要是因为下面这行代码把黑名单中的文件后缀名都用空格替换掉了,但只替换了一次,那我们不就可以用双写后缀名绕过了。我们观察这的代码,发现这次代码什么都没缺,很像之前的一,发现就是一样的,又是只对空格和点只过滤一次,那我们又能用点加空格加点绕过了(好吧,我也不记得我用了多少这个方法绕过了)这里代码会先把pphphp里面的php过滤掉并用空格替代,然后就剩下了p hp,因为系统特性,又会把空格去掉,所以就剩下php了。
upload-labs 11(00截断)
LuckySec
11-07 2342
题目 查看源码 从代码中可以发现红线处,对上传的文件名进行重新拼接 可以通过%00进行截断上传 小提示:%00截断的条件 (1php版本必须小于5.3.4 (2)打开php的配置文件php-ini,将magic_quotes_gpc设置为Off 验证 文件成功上传! ...
文件上传漏洞-uploadlabs靶场11~20解析
黄乔国PHP
03-19 1271
在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器
upload-labs第三
01-19
### upload-labs 第三解决方案 在处理 `upload-labs` 的第三时,主要挑战在于服务器端对上传文件的内容类型进行了验证。为了绕过这种验证并成功上传 PHP 文件,可以采取以下方法: #### 方法一:修改 Content-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值