2. 程式人生 > 實用技巧 >upload-labs 1-21關通關記錄

upload-labs 1-21關通關記錄

阿新 發佈:2021-01-10


0x01:

檢查原始碼,發現JS前端驗證,關閉JS即可連線,或者手動新增.php,或者上傳1.jpg,再抓包修改為php

0X02:

if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) 
僅存在判斷connect-type,抓包修改為image/jpeg,image/png,image/gif,BP抓包,可上傳


0X03:

檢視原始碼,嘗試用php3,phtml繞過

0X04:

黑名單驗證:(包含了所有的黑名單檔案)
	$deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
.htaccess檔案,全稱為Hypertext(超文字入口),提供了針對目錄改編配置的方法,在一個特定的文件中放置一個包含一個或者多個指令的檔案,以作用於此目錄及其所有子目錄。作為使用者,所能使用的命令受限制,管理員可以通過Apache的AllowOverride來設定
	0上傳.htaccess檔案,寫入SetHandler application/x-httpd-php,所有檔案解析為PHP
然後上傳<?php phpinfo(); ?>     可以解析

0x05:

邏輯繞過和第十關一樣 加上一個空格

0x06:

$file_name = strtolower($file_ext) //轉換為小寫
原始碼沒有大小寫,轉為為2.PhP,可以上傳

0x07:

沒有$file_ext = trim($file_ext) 沒有首尾去空

0x08:

沒有進行.處理,利用windows特性,會自動去除字尾的.,字尾加.進行繞過

0X09:

沒有進行::DATA繞過,可在後綴名加::DATA繞過
::DATA會把這之後的資料當成文
 件流處理,且不會檢查字尾名,保持之前的::DATA之前的檔名
$file_ext = str_ireplace('::DATA','',file_ext);  上傳成功出現403頁面,不能正常解析

0x0A:

先進行去除最後的.操作,再進行首位去空操作
修改檔名為info.php. .   經過處理後稱為upload_path/info.php.

0X0B:

$fire_name = str_ireplace("deny_")(deny_ext,"",$file_name)     把帶有黑名單中的字尾變為空
例子:
	echo str_ireplace("world","shanghai","world world!")
	hello shanghai
上傳.pphphp
迴圈過濾還是遞迴過濾 

接下來為白名單繞過

0X0C:

00繞過。。。檔案系統讀到0X00時,會認為檔案已經結束。利用00截斷就是利用程式設計師在寫程式時對檔案的上傳路徑過濾不嚴格,產生0X00,%00上傳截斷。

因為php的底層基於C語言開發的,c語言的截斷就是%00截斷

抓包將info.php.jpg後面的一個.換為0x00,在上傳時,當系統檔案讀到0x00時,會認為檔案已經結束。從而將info.php.jpg的內容寫入到evil.php中,從而達到攻擊的目的。

0X0D:

GET型和POST型

0X0E,OXOF:

getimagesize() 函式將測定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 影象檔案的大小並返回影象的尺寸以及檔案型別和一個可以用於普通 HTML 檔案中 IMG 標記中的 height/width 文字字串。 如果不能訪問 filename 指定的影象或者其不是有效的影象,getimagesize() 將返回 FALSE 併產生一條 E_WARNING 級的錯誤。

0XA1:

圖片馬

0XA2:

。。。圖片渲染  winhex可改

0XA3:

條件競爭

0XA4:

圖片馬

0XA5:

空格

0XA6:

陣列

注:沒有詳細說明的靶場會在滲透測試體系化學習筆記會補充

相關推薦

upload-labs 1-21通關記錄

0x01: 檢查原始碼,發現JS前端驗證,關閉JS即可連線,或者手動新增.php,或者上傳1.jpg,再抓包修改為php

sql-ilabs闖11-20——通關記錄

sqli-labs11-20——通關記錄 Less-11 首先嚐試正常登入,based-String,使用admin登入

upload-labs靶場通關(20)

第一:白名單驗證 上傳圖片馬進行抓包,修改後綴名為php即可   第二:可以用第一方法上傳,但是這是考修改MIME資訊,將MIME資訊改為白名單內容即可

upload-labs學習記錄

upload-labs 第一 前端JS校驗 第二 content-type校驗 第三 黑名單.php3 第四 黑名單.htaccess繞過

Upload-labs 檔案上傳靶場通關攻略(下)

Upload-Labs靶場攻略(下) Pass-11 GET型傳參,上傳目錄可設定,考慮00截斷,在/upload/後新增1.php%00,即可上傳

upload-labs通關日記

Pass-01JavaScript繞過 function checkFile() { var file = document.getElementsByName(\'upload_file\')[0].value;

upload-labs通關攻略(全)

upload-labs通關攻略(全) 作者打完靶場,想偷個懶 這裡扒的清茶先生 upload-labs是練習檔案上傳很好的一個靶場,建議把upload-labs關卡全部練習一遍

檔案上傳 upload-labs Pass 11-1

Pass11 審計原始碼 $is_upload = false; $msg = null; if(isset($_POST[\'submit\'])){ $ext_arr = array(\'jpg\',\'png\',\'gif\');

upload-labs(11~12)通關筆記

upload-labs(11~12)通關筆記 環境準備 1、php版本 < 5.3.4 2、magic_quotes_gpc = Off php我用的是upload-labs官方推薦的5.2.17,搭建平臺用的是phpStudy2018。

springboot 2.1.9 升級問題記錄

目標 將所有使用springboot1.5版本改為springboot2.1.9,springcloud版本為Greenwich.SR3,springboot與springcloud版本對應關係表:start.spring.io/actuator/in…

MySql5.7.21安裝要點記錄筆記

下載的是Zip解壓縮版,Windows系統,因為很久沒有在Windows上安裝過,這次安裝發現了幾處和以前安裝不一樣的地方,特記錄如下,供大家參考

sqlilabs 1-20 payload

1、聯合查詢注入:http://127.0.0.1/sqli/Less-1/?id=-1\' union select 1,user(),3 --+http://127.0.0.1/sqli/Less-1/?id=-1\' union select 1,(select table_name from information_schema.tables where table_sche

Upload-labs-11-20

0x11 pass-11 原始碼: $is_upload = false; $msg = null; if(isset($_POST[\'submit\'])){ $ext_arr = array(\'jpg\',\'png\',\'gif\');

upload - labs (上)

Pass - 01: 1.嘗試上傳一個php檔案:aaa.php,發現只允許上傳某些圖片型別,用bp抓包,發現http請求都沒通過burp就彈出了不允許上傳的提示框,這表明驗證點在前端,而不在服務端

upload - labs (下)

Pass - 11: 1.檢視原始碼,發現進行了一次對字尾名替換成空格,因此考慮雙寫繞過,

Sqli-labs 1-10

Less 1-4(基礎注入) 基礎知識: table_schema:資料庫的名稱 table_name:表的名稱 column_name:列的名稱

Upload-labs-master筆記

Upload-labs-master筆記 防禦方法: 白名單限制Content-type 黑名單限制少部分上傳的字尾

檔案上傳漏洞:upload-labs(二)

Pass-11 原始碼 $is_upload = false; $msg = null; if(isset($_POST[\'submit\'])){ $ext_arr = array(\'jpg\',\'png\',\'gif\');

Upload-Labs-Pass-03

Upload-Labs-Pass-03 我們首先嚐試直接注入在此提示不允許上傳.asp,.aspx,.php,.jsp字尾檔案。 通過提示我們可以得知在這裡我們需要使用檔案字尾繞過的方式來上傳。

Upload-Labs-Pass-02

Upload-Labs-Pass-02 首先我們還是嘗試直接上傳小馬在此提示檔案型別不正確 在這裡需要使用檔案型別繞過的方法:在客戶端上傳檔案時,通過burp進行抓包,將資料包中的Content-Type修改為所上傳檔案對應的值