文件上传漏洞:upload-labs靶场通关

news2024/11/28 13:32:54

目录

什么是文件上传漏洞?

第1关(客户端验证-前端)

第2关(文件类型校验-MIME校验 )

第3关(文件名校验-黑名单绕过)

第4关(文件后缀校验-.htacess绕过)

第5关(文件后缀校验-双写.绕过)

第6关(文件后缀校验-大小写绕过)

第7关(文件后缀校验-空格绕过)

第8关(文件名后缀校验-点号绕过)

第9关(文件名后缀校验-::$DATA绕过)

第10关(文件名后缀校验-拼接绕过)

第11关(文件后缀名校验-双写绕过)

第12关(白名单校验-GET型0x00截断)

第13关(白名单校验-POST型0x00截断)

第14关(文件内容检测-文件头校验)

第15关(文件内容检测-getimagesize()校验)

第16关(文件内容检测-exif_imagetype()绕过)

第17关(二次渲染)

第18关(逻辑漏洞-条件竞争)

第19关(逻辑漏洞-条件竞争)

第20关(逻辑漏洞-./绕过)

第21关(逻辑漏洞-小数点绕过)


本篇会对upload-labs靶场进行通关来对文件上传漏洞做最简单学习+练习,那么直接开始ヾ(◍°∇°◍)ノ゙

什么是文件上传漏洞?

文件上传本身是一个正常的业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器,比如:上传图片,资料。

文件上传漏洞不仅涉及上传漏洞这个行为,还涉及文件上传后的进一步解析和处理,以及文件的下载,如果服务器的处理逻辑设计的不够全面,就会导致严重的后果

最简单的文件上传漏洞是指用户上传了一个可执行的脚本文件,并且根据此脚本获得了执行服务器命令的能力。

旧版本的PHP(< PHP 5.3.4以下)还存在"\0" 字符阶段的问题,C语言以"\0"作为字符串结束符,而PHP用专门的结构体来表示字符串,结构体中存储了字符串的长度,所以PHP中的字符串允许存在"\0"字符,如果攻击者上传了一个"1.php\0.jpg"文件,PHP校验时可以通过后缀名的白名单,到那时底层的C语言库在写入文件时,将 "\0" 作为字符串结束符,实际上写入的是名为 "1.php"的文件,如果该文件被放在了公开的目录中,就相当于攻击者上传了一个webshell

靶场下载地址:GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场

第1关(客户端验证-前端)

打开靶场可以看到介绍,然后我们点击来到第一关:

 可以看电脑我们可以上传一个图片,任务是上传一个webshell,这里我们就使用一个phpinfo的php文件作为测试文件,尝试上传一个包含一下内容的php文件:

<?php phpinfo();?>

但是可以看到,不语序上传.php文件,只能上传.jpg|.png|.gif后缀的文件,这里我们就无法直接上传php文件了,查看代码后发现,只是在前端页面对输入的文件进行检查,因此可以使用下面两种方式来进行绕过上传php文件

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
        alert(errMsg);
        return false;
    }
}

方法1: 在设置的隐私安全中将js的默认行为修改为:不允许网站使用Javascript

修改完成后,我们再尝试上传.php文件

方法2:使用抓包工具Burpsuite对上传的包进行改包

图片马生成方式:

(1)编写一个内容为<?php phpinfo();?>的php文件和一个普通的图片

(2)使用下列命令进行生成图片马:

上传一个图片马(.png)后,使用Burpsuite对上传的包进行拦截,然后将后缀修改为php

然后可以在上传文件中看到该文件已经成功上传了:

注:该八号才能够的第一关的漏洞现在已经不存在了,因为这一题可以绕过的原因是因为它只在前端做了过滤,后端并没有过滤,所以可以进行绕过,因此我们要知道:安全的上传文件需要前端都对上传的文件进行过滤

第2关(文件类型校验-MIME校验 )

现在来到该靶场的第二关,尝试直接上传一个php文件:

可以看到这里提示我们上传的类型不正确,那么尝试上传一个png文件:

可以看到成功的上传了

查看源码后发现,这里对文件类型(MIME)是否为来判断上传文件的类型

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

 那么我们就可以使用BP抓包,然后修改文件的类型来绕过限制,上传PHP文件:

可以看到修改完成后就成功的上传了php文件

注:这一关的漏洞现在也已经不存在了

第3关(文件名校验-黑名单绕过)

来到了第三关,先来尝试上传一个php文件看看有什么反应:

果然不出所料,php文件是不让上传的,查看源码后发现

is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }

 可以看到,这里对后缀为.asp .aspx .php .jsp都进行了拒绝,并且对文件中的特殊字符进行了很多的过滤,使用了很多名单的方式进行了校验,那么我们就可以上传一些没有限制的后缀,例如php3 php4 php5 phtml的文件进行上传:

可以看到成功的上传了php文件

第4关(文件后缀校验-.htacess绕过)

现在来到了第四关,先来试试上传一个php文件:

可以看到,这里还是提示这个php文件不允许上传,那么我才猜测大概率还是使用了黑名单机制进行了限制,查看源码后发现

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

可以看到这次对很多的后缀名进行了限制

这里就可以扩展一个知识点:.htaccess文件

.hataccess是一个用于配置和管理网站服务器的文件。

它的作用是控制网站的访问权限,可以限制特定的IP地址或者IP地址段访问网站,防止恶意攻击或未经授权的访问。

通过.hataccess文件,网站管理员可以定义一些规则,如禁止特定文件或文件夹的访问、重定向URL、设置自定义错误页面等。

此外,.hataccess还可以用于优化网站性能,如启用Gzip压缩、启用缓存等。

总之,.hataccess文件的作用是保护网站安全、优化网站性能和控制网站访问权限。

使用最多的就是伪静态,即我们上传一个index.html文件,后端服务器会将该文件自动的发送给index.php文件,达到了访问静态页面,间接的也访问了动态页面的目的(即,我们无论上传什么文件,都会当做php文件来执行)

这里我们使用“图片马”的形式来进行上传

但是有趣的是在这一关卡中可以不使用图片马,而是直接简单的修改一个一句话木马的.txt文件的后缀为jpg进行上传就可以了

我们可以创建一个.hataccess文件,在该文件中写入一个规则:AddType application/x-httpd-php .jpg

//这条规则的意思是:无论什么文件只要包含了jpg都视为php来解析

首先创建一个.hatacess文件上传,内容如下:

AddType application/x-httpd-php .jpg

 然后上传一个带有一句话木马的jpg文件:

最后访问该图片就可以成功的将jpg文件当做php文件解析了

第5关(文件后缀校验-双写.绕过)

现在来到了第五关,那么还是先上传一个php文件试试:

还是会提示说此类型文件不允许上传,那么来看看提示:

可以看到提示我们说目录中存在一个php文件,那么可以尝试访问一下:

访问的结果也灭有什么,那么来看看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

可以看到对很多后缀进行了过滤,包括上一关用到的.htascess文件,还对很对特殊的绕过方式进行了限制,但是仔细观察会发现这里它对文件末尾的点仅仅限制了一次,那么我们就可以尝试使用两个点来绕过限制,上传php文件
我们上传一个php文件后,使用抓包的方式修改后缀:

第6关(文件后缀校验-大小写绕过)

现在来到了第六关,尝试上传php文件

果然不出所料,还是不允许上传php文件

查看源码后发现,过滤了非常多的后缀,但是之前对后缀的转小写函数strtolower()却没有了,那么就可以尝试使用大小写来绕过限制,上传php文件:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

将php文件的后缀修改为Php然后上传

可以看到成功上传了

第7关(文件后缀校验-空格绕过)

现在是第七关了,还是一样,试试上传一个php文件看看有什么反应:

还是不允许上传的,那么再来看看源码看看有什么限制:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

可以看到限制大致与上面的相同,但是这里却没有进行首尾去空格的trim函数(删除左右两边的空格)那么就可以在上传时抓包,然后在php文件的后面增加空格来绕过限制,上传php文件:

注:这里利用了window与linux的一个处理机制不同的小点,window会自动忽略空格,但是linux就不会,因此这种绕过方式只能在windows中使用

第8关(文件名后缀校验-点号绕过)

尝试上传一个php文件看看:

不出意外还是不允许上传

看看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

可以看到,deldot()函数没有了,那么我们就可以抓包在文件名的末尾加一个.来绕过限制,上传php文件:

第9关(文件名后缀校验-::$DATA绕过)

现在是第九关,还是一样尝试上传一个php文件试试:

还是不允许上传,那么看看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

可以看到str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA的这个函数没有了,那么肯定这就是突破口,那么还是抓包然后修改文件后缀:

成功上传

第10关(文件名后缀校验-拼接绕过)

到了第十关了,还是先来试试上传一下php文件:

很明显还是不可以上传的,那么来看看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

可以看到这一关的限制还是比较充分的, 但是还是可以绕过的

方法1:使用双写.

就像上面的第五关那样,抓包双写.绕过限制

方法2:使用:

我们也可以使用:截断来绕过:

首先使用:截断

可以看到文件是上传成功了,但是内容却是空的

(2)使用<<<也就是???来写入内容

可以看到这里现在就又内容了

注:这个问题只能存在于php5.2以及以前的版本,后面都无法成功了

第11关(文件后缀名校验-双写绕过)

现在来到了第1关,关卡已经过半了,还是试试php文件是否可以上传:

这里报错的内容与前面几关不同,是上传出错,那么来看看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;        
        if (move_uploaded_file($temp_file, $img_path)) {
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

可以看到上传的文件如果是黑名单中的任意一个,就会将文件的后缀替换为空

我们可以使用双写来进行绕过,我们上传一个这样子的文件:

 可以看到,成功上传

第12关(白名单校验-GET型0x00截断)

直接上传php文件试试看:

可以看到提示我们只允许上传.jpg|.png|.gif类型的文件

查看源码:

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    截取文件后缀
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

发现使用了白名单机制,只允许上传指定的后缀文件,这里可以使用了\0(因为php底层是用c语言写的,因此\0表示结束符)提前结束,然后将文件名修改为了phpinfo.jpg

我们可以尝试使用burpsuite抓包然后在GET这个增加%00截断:

注:这种漏洞已经无了,并且仅仅存在于php5.2中

第13关(白名单校验-POST型0x00截断)

这一关和前面的十二关是一样的,不同的就是这一关使用的POST进行传参来截断,上一关使用的GET截断

首先将%00进行URL编码

然后在进行上传,就可以上传成功!!!,这里也是php的版本必须是5.2

第14关(文件内容检测-文件头校验)

现在来到了第14关,可以看到这已经提示我们任务是上传图片马:

上传图片马到服务器。

注意:

1.保证上传后的图片马中仍然包含完整的一句话webshell代码。

2.使用文件包含漏洞能运行图片马中的恶意代码。

3.图片马要.jpg,.png,.gif三种后缀都上传成功才算过关!

查看源码:

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if($file_type == 'unknown'){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

查看源码+提示我们只会读取内容的开头的两个字节

并且我们可以看到只让上传图片

那么我们就可以尝试使用图片马的方式:

(1)写一句话木马

(2)随便找一张图片

(3)将木马与图片进行融合

(4)上传生成好的一句话木马:

这里虽然可以成功的上传图片马,但是当我们访问时却不能将图片马中的内容进行解析,这时我们就需要使用文件包含的方式(将所有文件都以php文件来进行解析)来让后端解析我上传的图片马中的一句话木马

成功解析

第15关(文件内容检测-getimagesize()校验)

这一关也是对文件内容进行检测,使用了getimagesize()函数

提示为:本pass使用getimagesize()检查是否为图片文件!

getimagesize函数:

getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通 HTML 文件中 IMG 标记中的 height/width 文本字符串。

如果不能访问 filename 指定的图像或者其不是有效的图像,getimagesize() 将返回 FALSE 并产生一条 E_WARNING 级的错误。

它会对目标文件的16禁止区进行读取文件头的几个字符串是不是符合图片的要求,那么我们还可以使用上面的一句话木马图片,然后再抓包将图片的头部分别修该为php,jpg、gif

上传php文件的方法与14关一样

第16关(文件内容检测-exif_imagetype()绕过)

提示为:本pass使用exif_imagetype()检查是否为图片文件!

exif_imagetype函数用于判断一个图像的类型,它读取一个图像的第一个字节并且检查其后缀名。需要在phpstudy中开启php.exif选项才可以使用

上传php文件的方法还是与14关一样

第17关(二次渲染)

查看提示发现本关重新渲染了图片,也就是说我们上传图片,后端会对图片内容进行打乱,因此我们上传的php有可能会被破坏

这里的绕过方式就是使用011editor工具分析图片中相同的和不同的部分,可以将一句话图片木马插入到一直不变的区域就可以实现上传一句话木马了

首先生成一个图片马:

然后将该图片马上传:

上传后我们可以尝试访问一下,可以看到并没有解析:

然后现在将该图片下载下来,然后使用010editor分别将原本的图片马和下载的图片进行对比:

可以看到,原本在这里的php代码被打乱了,因此无法成功解析

注:这里可能需要尝试很多次才可以成功,所以需要多次尝试才行,这里就不再尝试了

这里也可以使用一些工具来辅助

第18关(逻辑漏洞-条件竞争)

提示我们需要进行代码审计,那么我们来看看源码

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

 通过审计代码发现,这里它是先将文件上传到了服务器,然后再使用move_uploaded_file()函数来对上传的文件进行判断,如果存在就重命名,不存在就会使用unlink()删除,这里我们就可以利用上传到服务器与判断的这是时间差来读取上传的文件,达到文件上传的目的:

上传php文件,然后使用Burpsuite抓包,然后将抓到的包发送到intruder模块中:

配置好后,开始不断地上传

观察本地的upload文件夹会发现,有时候就会上传成功然后立刻就会被删除了

我们就可以一边生成,一边手动的在浏览器访问该页面,如果访问到了就会保留下来

由于手工刷新很难成功,所以可以将这个刷新包也抓包来进行然后使用同样的方法来自动访问

最后如果成功就会在upload/的上级目录生成一句话木马.php文件

总:所以建议后端对文件的过滤不要使用先上传再删除这种形式,而是先检测如果是白名单中的文件再上传

第19关(逻辑漏洞-条件竞争)

提示我们需要进行代码审计,那么我们来看看源码

 这一关的上传路径有问题,修改在myupload.php文件中修改如下配置:

然后上传的方法大致与18关的差不多

第20关(逻辑漏洞-./绕过)

提示为:本pass的取文件名通过$_POST来获取。

看看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

        if(!in_array($file_ext,$deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) { 
                $is_upload = true;
            }else{
                $msg = '上传出错!';
            }
        }else{
            $msg = '禁止保存为该类型文件!';
        }

    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

可以看到还是move_uploaded_file函数对上传的文件就进行了处理,这里需要利用这个函数的一个特性,会忽略/.那么我们可以尝试使用BP抓包,然后对文件名修改再上传:

可以看到成功上传

第21关(逻辑漏洞-小数点绕过)

提示为:Pass-20来源于CTF,请审计代码!

现在来到了最后一关,查看源码:

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

查看代码发现有以下步骤:

  • 检查MIME (通过抓包改Content-Type 绕过)
  • 判断 POST参数 save_name 是否为空
  • 判断$file 是否为数组,不是数组以 .分割化为数组
  • 取 $file 最后一个元素,作为文件后缀进行检查
  • 取 f i l e 第 一 位 和 第 ‘ file 第一位和第`file第一位和第‘file[count($file) - 1]`作为文件名和后缀名保存文件

我们可以使用这种方法:上传 phpinfo.php, 修改save_name 为数组 绕过对f i l e 的 切 割 , 最 后 file 的切割,最后file的切割,最后file 最后一个元素是 save_name[2] = jpg 绕过后缀检测 , 然后reset($file) = phpinfo.php

$file[1] 没有定义为空,count($file) 的值为$file[count($file) - 1] = $file[1]

所以最后上传的文件为phpinfo.php

成功上传

到此,文件上传的upload-labs的靶场到此就演示完毕了(*^▽^*) 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1450475.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

GPIO八种工作模式

目录 一、推挽输出 二、开漏输出 三、复用推挽输出 四、复用开漏输出 五、浮空输入 六、上拉输入 七、下拉输入 八、模拟输入 GPIO八种配置模式&#xff0c;原理和使用场景&#xff0c;硬件原理如下图&#xff1a; 一、推挽输出 1、 原理 当控制栅极为低电平时&#x…

随机过程及应用学习笔记(四) 马尔可夫过程

马尔可夫过程是理论上和实际应用中都十分重要的一类随机过程。 目录 前言 一、马尔可夫过程的概念 二、离散参数马氏链 1 定义 2 齐次马尔可夫链 3 齐次马尔可夫链的性质 三、齐次马尔可夫链状态的分类 四、有限马尔可夫链 五、状态的周期性 六、极限定理 七、生灭过…

找不到目标和方向,怎么办?

现代社会里&#xff0c;许多人常见的症状&#xff0c;就是「空心病」。 什么是空心病呢&#xff1f;类似这样&#xff1a; 我知道要有目标&#xff0c;但我就是不知道想做什么&#xff0c;感觉对一切事物都提不起兴趣&#xff0c;没有动力&#xff0c;怎么办&#xff1f; 这个…

Mysql第一关之常规用法

简介 介绍Mysql常规概念&#xff0c;用法。包括DDL、DCL、DML、DQL&#xff0c;关键字、分组、连表、函数、排序、分页等。 一、 SQL DCMQ&#xff0c;分别代表DDL、DCL、DML、DQL。 模糊简记为DCMQ&#xff0c;看起来像一个消息队列。 D&#xff1a;Definition 定义语句 M…

[UI5 常用控件] 09.IconTabBar,IconTabHeader,TabContainer

文章目录 前言1. IconTabBar1.1 简介1.2 基本结构1.3 用法1.3.1 颜色&#xff0c;拖放&#xff0c;溢出1.3.2 Icons Only , Inner Contents1.3.3 showAll,Count,key,IconTabSeparator 1.3.4 Only Text1.3.5 headerMode-Inline1.3.6 design,IconTabSeparator-icon1.3.7 DensityM…

当下时代,什么样的人赚钱最容易

如果你问&#xff0c;今天什么样的人赚钱最容易 答案是那些有大量粉丝、有个人IP的人 微信里面&#xff0c;要获取到流量&#xff0c;就必须有粉丝&#xff0c;而在抖音、快手里面&#xff0c;即使你没有任何粉丝 只要能输出平台和用户喜欢的优质内容&#xff0c;一样可以获取巨…

一条 SQL 查询语句是如何执行的

MySQL 的基本架构示意图 大体来说&#xff0c;MySQL 可以分为 Server 层和存储引擎层两部分 Server 层包括连接器、查询缓存、分析器、优化器、执行器等&#xff0c;涵盖 MySQL 的大多数核心服务功能&#xff0c;以及所有的内置函数&#xff08;如日期、时间、数学和加密函数等…

基于FPGA的ECG信号滤波与心率计算verilog实现,包含testbench

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 4.1 ECG信号的特点与噪声 4.2 FPGA在ECG信号处理中的应用 4.3 ECG信号滤波原理 4.4 心率计算原理 4.5 FPGA在ECG信号处理中的优势 5.算法完整程序工程 1.算法运行效果图预览 其RTL结构如…

探索设计模式的魅力:创建型设计模式的比较与决策

设计模式专栏&#xff1a;http://t.csdnimg.cn/U54zu 目录 一、设计模式概览 1.1 创建型模式 二、比较创建型设计模式 1.1 适用场景典型用例 1.2 关键要素与差异对比 1.3 结构图 三、模式选择指南 3.1 场景分析 3.2 决策流程图 四、结语 4.1 优势 4.2 考量因素 一、…

【Java多线程】Thread类的基本用法

目录 Thread类 1、创建线程 1.1、继承 Thread&#xff0c;重写run 1.2、实现 Runnable&#xff0c;重写run 1.3、使用匿名内部类&#xff0c;继承 Thread&#xff0c;重写run 1.4、使用匿名内部类&#xff0c;实现 Runnable&#xff0c;重写run 1.5、使用 lambda 表达式…

问题:总离差平方和为变形观测值与变形观测值的平均值之差的平方和。() #微信#其他

问题&#xff1a;总离差平方和为变形观测值与变形观测值的平均值之差的平方和。&#xff08;) 是 否 参考答案如图所示

html的表格标签

html的表格标签 table标签:表示整个表格tr:表示表格的一行td:表示一个单元格th:表示表头单元格.会居中加粗thead:表格的头部区域 (注意和th区分,范围是比th要大的).tbody:表格得到主体区域. table包含tr , tr包含td或者th. 表格标签有一些属性&#xff0c;可以用于设置大小边…

ChatGPT高效提问—prompt实践(健康助手)

ChatGPT高效提问—prompt实践&#xff08;健康助手&#xff09; ​ 随着社会经济的发展&#xff0c;人们的生活条件不断改善&#xff0c;人们对身体健康也日益重现。让ChatGPT作为健康助手也是一件不错的事。开始之前&#xff0c;还是老样子&#xff0c;先设置角色。 ​ 输入…

Typora+PicGO+腾讯云COS做图床教程

文章目录 Typora&#xff0b;PicGO&#xff0b;腾讯云COS做图床教程一、为什么使用图床二、Typora、PicGO和腾讯云COS介绍三、下载Typora和PicGOTyporaPicGO 四、配置Typora、PicGO和腾讯云COS腾讯云COS配置PicGO配置Typora配置 Typora&#xff0b;PicGO&#xff0b;腾讯云COS做…

【MySQL】操作库 —— 表的操作 -- 详解

一、增加表 1、创建表 mysql> create database [if not exists] table_name ( -> field1 datatype, -> field2 datatype, -> field3 datatype -> ) character set 字符集 collate 校验规则 engine 存储引擎; 注意 &#xff1a;最后一行也可以写成&#x…

中国电子学会2023年12月份青少年软件编程Scratch图形化等级考试试卷一级真题(含答案)

2023-12 Scratch一级真题 分数&#xff1a;100 题数&#xff1a;37 测试时长&#xff1a;60min 一、单选题(共25题&#xff0c;共50分) 1.观察下列每个圆形中的四个数&#xff0c;找出规律&#xff0c;在括号里填上适当的数&#xff1f;&#xff08;C&#xff09;&#xf…

C语言操作符练习

练习开胃菜 曾经有一道面试题&#xff0c;要求不能创建临时变量&#xff08;第三个变量&#xff09;&#xff0c;实现两个数的交换。 这道题如果没有前半句的修饰&#xff0c;就只是简单的一道基础题。 法一&#xff1a; #include <stdio.h> int main() {int a 0;i…

网络安全威胁,如何解决缓冲区溢出攻击

目录 一、什么是网络安全 二、什么是缓冲区 三、缓冲区溢出 四、缓冲区溢出攻击的类型 一、什么是网络安全 网络安全&#xff08;Network Security&#xff09;指的是保护计算机网络及其相关设备、系统和数据免受未经授权访问、破坏、篡改、窃取或滥用的威胁和攻击。随着网…

生成式AI相关知识记录

一、简述开发步骤 开发一个生成式AI模型通常涉及以下步骤&#xff1a; 1. **需求分析与目标设定**&#xff1a; - 确定应用领域和目标&#xff0c;例如文本生成、图像生成、音乐创作等。 - 分析应用场景的具体需求&#xff0c;包括输出质量、速度、多样性、可控性等因素…

Codeforces Round 926 (Div. 2)

Codeforces Round 926 (Div. 2) Codeforces Round 926 (Div. 2) A. Sasha and the Beautiful Array 题意&#xff1a;略。 思路&#xff1a;从小到大排序&#xff0c;取前后差和。 AC code&#xff1a; void solve() {int ans 0;cin >> n;for (int i 1; i < n…