upload-labs靶场全通关

news2024/11/24 22:27:48

upload-labs靶场全通关

    • pass-1
    • pass-2
    • pass-3
    • pass-4
    • pass-5
    • pass-6
    • pass-7
    • pass-8
    • pass-9
    • pass-10
    • pass-11
    • pass-12
    • pass-13
    • pass-14
    • pass-15
    • pass-16
    • pass-17
    • pass-18
    • pass-19
    • pass-20

pass-1

首先我们新建一个php的webshell文件

在这里我写了一个rabb1t.php的shell文件

内容为这个样子

在这里插入图片描述

然后我们把它的后缀改为img,然后我们在upload上选择这个文件进行上传并用burpsuit进行抓包

在这里插入图片描述

在这里插入图片描述

把红框处的后缀从img在改回来

上传成功后我们用蚁剑去连接shell(上传失败的原因可能是靶场中没有upload目录,我们可以手动建立一个,并且记得把权限调到最高777)

路径是ip地址加上/upload/rabb1t.php

在这里插入图片描述

pass-2

第二题和第一题差不多,为了区别我把shell改名成了rabb2t.php

在这里插入图片描述

在上传时抓包,我们把框中内容改成如图所示,改成图片格式就行

然后用蚁剑去连就好了

pass-3

第三题把php的后缀加入了黑名单,我们可以在php后加数字来进行绕过

在这里插入图片描述

我们可以直接把文件名改了也可以在红框这里去改发包里的文件名

在这里插入图片描述

这个shell穿进去会改名字我们找到相应的文件

就可以用蚁剑去getshell了

请添加图片描述

进去之后可以看到我们的shell文件

pass-4

第四题禁止了很多后缀

请添加图片描述

所以这时候就需要尝试使用.htaccess重写文件解析绕过

我们新建一个文件就叫.htaccess,在里面写入如下内容请添加图片描述

请添加图片描述

然后我们将这个文件传上去

在这里插入图片描述

我们在把shell后缀改成图片的格式(img或者png)在传上去,.htaccess文件会将这个重新解析成webshell

我们就可以用蚁剑连接了

在这里插入图片描述

pass-5

第五题和之前的差不多我们可以用改变后缀大小写绕过

在这里插入图片描述

上传之后名字会改变

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

pass-6

第六关禁止常见后缀与大小写混用绕过
可以使用后缀加空格进行绕过

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

pass-7

第七关禁止上传所有可以解析的后缀,这一关黑名单,没有使用deldot()过滤文件名末尾的点,
使用shell后加.绕过(对文件命名时最后一个字符为.会自动忽略)

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

pass-8

使用webshell后加::$DATA绕过

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

pass-9

第九关只允许上传.jpg|.png|.gif后缀的文件

这一关黑名单,最后上传路径直接使用文件名进行拼接,而且只对文件名进行

file_name = deldot(filename)

操作去除文件名末尾的点,构造后缀绕过黑名单

补充知识:deldot()函数从后向前检测,当检测到末尾的第一个点时会继续它的检测,但是遇到空格会停下来

上传rabb9t.php 然后用bp改后缀加点 空格 点(即文件名为rabb9t.php. .)

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

pass-10

本题会去除脚本后缀,源码中将可以当成php解析的后缀都替换成空

在这里插入图片描述

所以我们的方法使用双写进行绕过

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

pass-11

这一关我们看代码,可以得知是一个白名单,只允许上传’jpg’,‘png’,'gif’格式的文件。但是上传路径是可以控制的,可以使用%00进行截断
截断条件: php版本 小于5.3.4 大于此版本的修复了

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

pass-12

在这里插入图片描述

我们和上一关一样在php后打截断%00,但是我们上一个是写在get头中,这个是写在载荷里面所以我们要进行编码转码,我们敲好%00然后

在这里插入图片描述

编码之后发送

就可以用蚁剑进行连接了

pass-13

这一关是用图片+php代码,组成一个图片码进行上传,当然要想解析出来这个图片,还得有这个包含漏洞。我们看到,他已经说了,网站存在包含漏洞
我们可以cmd进行生成一个图片码,命令语句:copy 14.jpg /b + 14.php /a webshell.jpg 如图所示,我们在上传这个生成后的图片
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
因为上传图片马之后会被重命名图片所以下面的payload的图片名字可以在上传之后复制图片链接就可以了

构造的URL为include.php?file=upload/9720230725025046.jpg

然后用蚁剑连接

在这里插入图片描述
第二种方法制作一个图片码,可以直接用burp抓包在图片后面加一个php代码
刚刚我们通过把图片13和shell文件结合形成了新的rabb13t的图片码
这次我们直接用图片13上传并且抓包,在图片后加入一句话代码
在这里插入图片描述

在这里插入图片描述

和之前一样的payload,换成我们这次的图片
在这里插入图片描述
也可以成功

pass-14

(因为我这个靶场是用docker搭建的,存在着一些问题,于是我重新换了一个docker源重新搭建了一个靶场,这个版本的第15关就是原版的第14关)
我们来看这个 getimagesize函数,这个函数的意思是:会对目标文件的16进制去进行一个读取,去读取头几个字符串是不是符合图片的要求的

所以这关还是用和14关一样的方法,生成带有php代码的图片上传,配合包含漏洞拿下此关。
我们直接用上一关所生成的图片码,和上一关操作一样

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

我们再试一下上一关的第二种方法
请添加图片描述
请添加图片描述
请添加图片描述
也能成功

pass-15

第十五关和之前两关的操作一样上传包含代码的图片就好了

请添加图片描述
请添加图片描述

第二种方法也能用

pass-16

这一关对上传图片进行了判断了后缀名、content-type,以及利用imagecreatefromgif判断是否为gif图片,最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,添加一句话,通过文件包含漏洞执行一句话,使用蚁剑进行连接

二次渲染:后端重写文件内容
basename(path[,suffix]) ,没指定suffix则返回后缀名,有则不返回指定的后缀名
strrchr(string,char)函数查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。
imagecreatefromgif():创建一块画布,并从 GIF 文件或 URL 地址载入一副图像
imagecreatefromjpeg():创建一块画布,并从 JPEG 文件或 URL 地址载入一副图像
imagecreatefrompng():创建一块画布,并从 PNG 文件或 URL 地址载入一副图像

这里我不知道怎么去找不同的地方,但是我们可以多试图片中的几个位置来避开修改的位置
这里和前几关的第二种方法一样,我们尝试直接在图片最后加上一句话代码
这里好像只有gif能传,其他的传不上去
这里我们下载一个gif上传
请添加图片描述

请添加图片描述
在这里我尝试用蚁剑去连,但是显示为空,于是我去访问这个图片
请添加图片描述
打开源码查看一下啊,因为我们是加在最后一行了,但是现在这个代码没了,所以最后这部分应该是被二次渲染所修改了
我们再试一下把一句话木马加在第一段后
请添加图片描述
请添加图片描述

传上去之后我们打开图片看一下,发现一句话木马被写上去了,于是我们尝试用蚁剑进行连接
请添加图片描述
成功

pass-17

第17关我们需要看源码

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1); // 截取上传文件的后缀(不包括点)
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){ // 将上传的文件移动到新位置
        if(in_array($file_ext,$ext_arr)){ // 这里是进行文件后缀的判断
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file); // 删除文件
        }
    }else{
        $msg = '上传出错!';
    }
}

看到上面 第二个if和第三个if 的位置,先是将上传的文件移动到了新的位置之后再判断文件的是不是图片如果不是再删除移动的图片,逻辑上是不是有点不严谨了,说明这里就存在可以让我们绕过的地方,如果疯狂的上传和访问图片,就可能造成文件正在被访问不能删除,文件就可以暂时的保留了

所以我们首先随便上传一个webshell用burp进行抓包

pass-18

pass-19

pass-20

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/819991.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【LeetCode经典算法】链表反转

题目 题目:给定单链表头节点,将单链表的链接顺序反转过来 例: 输入:1->2->3->4->5 输出:5->4->3->2->1 要求:按照两种方式实现 解决办法 方式一: 思路 单链表的结…

DH算法、DHE算法、ECDHE算法演进

ECDHE 算法解决了 RSA 算法不具备前向安全的性质 和 DH 算法效率低下的问题。 ECDHE 算法具有前向安全。所以被广泛使用。 由什么演变而来 DH 算法 -- > DHE 算法 -- > ECDHE 算法 DH 算法是非对称加密算法,该算法的核心数学思想是离散对数。 核心数学思…

wms-3代货架标签(电池版本)接口文档

一、查询标签信息接口 接口类型:POST, 参数格式:json array 链接形式: http://localhost/wms/associate/getTagsMsg 代码形式: { url : http://localhost/wms/associate/getTagsMsg, requestMethed : GET, requestParamet…

亚马逊买家账号ip关联怎么处理

对于亚马逊买家账号,同样需要注意IP关联问题。在亚马逊的眼中,如果多个买家账号共享相同的IP地址,可能会被视为潜在的操纵、违规或滥用行为。这种情况可能导致账号受到限制或处罚。 处理亚马逊买家账号IP关联问题,建议采取以下步骤…

有哪些很奇PA,但又比较少人知道的病毒?

世界上有哪些很奇PA(或者说很搞笑),但又比较少人知道的病毒? ①温州皮鞋厂病毒 中毒迹象:播放出我们熟悉的《温州皮鞋厂倒闭了》bgm,并出现“捍卫版权,盗(到)此为止”…

DAY15_VUEElement综合案例

目录 1 VUE1.1 概述1.1.1 Vue js文件下载 1.2 快速入门1.3 Vue 指令1.3.1 v-bind & v-model 指令1.3.2 v-on 指令1.3.3 条件判断指令1.3.4 v-for 指令 1.4 生命周期1.5 案例1.5.1 需求1.5.2 查询所有功能1.5.3 添加功能 2 Element2.0 element-ui js和css和字体图标下载2.1 …

C++ 类和对象篇(二) this指针

目录 一、this指针概念 二、this指针的特性 三、this指针存在哪里? 四、this指针可以为空吗? 一、this指针概念 1.是什么? 它是类内非静态成员函数的隐含形参,this指针指向调用该函数的对象。 this指针是C编译器给每个“非静态…

适应于Linux系统的三种安装包格式 .tar.gz、.deb、rpm

deb、rpm、tar.gz三种Linux软件包的区别 rpm包-在红帽LINUX、SUSE、Fedora可以直接进行安装,但在Ubuntu中却无法识别; deb包-是Ubuntu的专利,在Ubuntu中双击deb包就可以进入自动安装进程; tar.gz包-在所有的Linux版本中都能使用…

【100天精通python】Day21:文件及目录操作_文件的权限处理和批量处理

目录 专栏导读 1. 文件的权限处理 1.1 查询文件权限 1.2 修改文件权限 2 文件的批量处理 2.1 使用os模块和os.listdir()函数 2.2 使用glob模块 2.3 使用shutil模块 2.3.1 批量复制文件 2.3.2 批量移动文件 2.3.3 批量删除文件 2.3.4 批量创建目录 专栏导读 专栏订阅…

Python程序开发案例教程PDF,python程序开发案例教程

大家好,本文将围绕Python程序开发案例教程黑马程序员电子版书展开说明,Python程序开发案例教程黑马课后答案是一个很多人都想弄明白的事情,想搞清楚Python程序开发案例教程pdf黑马程序员需要先了解以下几个事情。 1、python软件开发的案例有哪…

多赛道出海案例,亚马逊云科技为企业提供全新解决方案实现高速增长

数字化浪潮之下,中国企业的全球化步伐明显提速。从“借帆出海”到“生而全球化”,中国企业实现了从低端制造出口,向技术创新和品牌先导的升级。为助力中国企业业务高效出海,亚马逊云科技于2023年6月9日在深圳大中华喜来登酒店举办…

使用阿里云DataX完成数据同步

DataX DataX 是阿里云 DataWorks 数据集成的开源版本,在阿里巴巴集团内被广泛使用的离线数据同步工具/平台。DataX 实现了包括 MySQL、Oracle、OceanBase、SqlServer、Postgre、HDFS、Hive、ADS、HBase、TableStore(OTS)、MaxCompute(ODPS)、Hologres、DRDS, datab…

Unity-缓存池

一、.基础缓存池实现 继承的Singleton脚本为 public class Singleton<T> where T : new() {private static T _instance;public static T GetIstance(){if (_instance null)_instance new T();return _instance;} } 1.PoolManager using System.Collections; using S…

mac安装nacos,M1芯片

第一步&#xff0c;官网下载 》nacos官网 去github中下载对应的版本&#xff0c;本人下载的是1.4.1版本 在这儿选择其他的版本&#xff0c;下面这里选择 tar.gz 压缩包 解压后放到一个非中文的目录下&#xff0c;我选择在 user目录下面创建一个other目录&#xff0c;将使用的环…

python-网络爬虫.Request

Request python中requests库使用方法详解&#xff1a; 一简介&#xff1a; Requests 是Python语言编写&#xff0c;基于urllib&#xff0c; 采用Apache2 Licensed开源协议的 HTTP 库。 与urllib相比&#xff0c;Requests更加方便&#xff0c;处理URL资源特别流畅。 可以节约我…

慕课网Go-4.package、单元测试、并发编程

package 1_1_User.go package usertype User struct {Name string }1_1_UserGet.go package userfunc GetCourse(c User) string {return c.Name }1_1_UserMain.go package mainimport ("fmt"Userch03 "goproj/IMOOC/ch03/user"//别名&#xff0c;防止同名…

HarmonyOS/OpenHarmony元服务开发-配置卡片的配置文件

卡片相关的配置文件主要包含FormExtensionAbility的配置和卡片的配置两部分&#xff1a; 1.卡片需要在module.json5配置文件中的extensionAbilities标签下&#xff0c;配置FormExtensionAbility相关信息。FormExtensionAbility需要填写metadata元信息标签&#xff0c;其中键名称…

论文解读|2020 CVPR:PointASNL:基于自适应采样的非局部神经网络点云鲁棒处理

原创 | 文 BFT机器人 01 背景 点云是由大量的点组成的三维数据集&#xff0c;通常由激光雷达或摄像机等传感器采集。点云数据处理是计算机视觉和机器学习领域的重要研究方向&#xff0c;应用广泛&#xff0c;例如自动驾驶、机器人导航、三维建模等。然而&#xff0c;点云数据通…

CCIA数安委等组织发起“个人信息保护影响评估专题工作”,合合信息首批入选试点

近期&#xff0c;“个人信息保护影响评估专题工作”&#xff08;简称“PIA专题工作”&#xff09;试点评估结果正式发布。PIA专题工作组由中国电子技术标准化研究院、中国信息通信院等单位的法律与技术专家组成&#xff0c;对试点申报单位开展PIA工作的过程是否符合评估依据提出…

bigemap工程行业应用

类似这种看布置&#xff0c;修温室大棚&#xff0c;再就是把影像添加到cad里。落坐标点 是因为觉得地图影像清晰&#xff0c;更新及时能直接用软件做等高线地形图进行投影转换配合cad来使用直接在线下载卫星图和高程节省测绘时间&#xff0c;以及手机端去做数据的采集&#xff…