upload-labs Pass-5

阿新 • • 發佈：2022-04-07

Pass-5
觀察原始碼

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//刪除檔名末尾的點
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上傳出錯！';
            }
        } else {
            $msg = '此檔案型別不允許上傳！';
        }
    } else {
        $msg = UPLOAD_PATH . '資料夾不存在,請手工建立！';
    }
}

這裡將我們.htaccess也進行和黑名單，但是並沒有過濾.PHP .Php之類的字尾名，在Windows中,是不區分大小寫的，所以這裡我們上傳.Php檔案
上傳檔案

訪問測試

成功執行，但是這隻存在於Windows中
其實這裡還有另一個漏洞，

upload-labs pass-5-利用系統特性繞過

Windows利用系統本身的命名規則繞過: 先看一下利用Windows特性繞過大小寫繞過：針對對大小寫不敏感的系統如 windows 例如test.PhP

upload-labs Pass-5

Pass-5 觀察原始碼 $is_upload = false; $msg = null; if (isset($_POST[\'submit\'])) { if (file_exists(UPLOAD_PATH)) {

Upload-Labs-Pass-03

Upload-Labs-Pass-03 我們首先嚐試直接注入在此提示不允許上傳.asp,.aspx,.php,.jsp字尾檔案。通過提示我們可以得知在這裡我們需要使用檔案字尾繞過的方式來上傳。

Upload-Labs-Pass-02

Upload-Labs-Pass-02 首先我們還是嘗試直接上傳小馬在此提示檔案型別不正確在這裡需要使用檔案型別繞過的方法：在客戶端上傳檔案時，通過burp進行抓包，將資料包中的Content-Type修改為所上傳檔案對應的值

Upload-Labs-Pass-01

Upload-Labs-Pass-01 我們嘗試直接上傳小馬，建立一個木馬檔案進行上傳提示到該檔案不允許被上傳，在這裡我們可以知道這裡是利用了js檢測，此時上傳檔案的資料包並沒有上傳到服務端，只是在客戶端瀏覽器使

Upload-Labs-Pass-04

Upload-Labs-Pass-04 我們依然是直接嘗試上傳php檔案提示顯示此檔案不允許被上傳

upload-labs Pass-16(二次渲染)

原始碼 $is_upload = false; $msg = null; if (isset($_POST[\'submit\'])){ // 獲得上傳檔案的基本資訊，檔名，型別，大小，臨時檔案路徑

檔案上傳 upload-labs Pass 11-1

Pass11 審計原始碼 $is_upload = false; $msg = null; if(isset($_POST[\'submit\'])){ $ext_arr = array(\'jpg\',\'png\',\'gif\');

檔案上傳 upload-labs Pass-17 二次渲染

Pass-17 審計原始碼 $is_upload = false; $msg = null; if (isset($_POST[\'submit\'])){ // 獲得上傳檔案的基本資訊，檔名，型別，大小，臨時檔案路徑

檔案上傳 upload-labs Pass-18 條件競爭

Pass-18 條件競爭審計原始碼 $is_upload = false; $msg = null; if(isset($_POST[\'submit\'])){ $ext_arr = array(\'jpg\',\'png\',\'gif\');

Upload-labs-11-20

0x11 pass-11 原始碼： $is_upload = false; $msg = null; if(isset($_POST[\'submit\'])){ $ext_arr = array(\'jpg\',\'png\',\'gif\');

upload - labs (上)

Pass - 01： 1.嘗試上傳一個php檔案：aaa.php，發現只允許上傳某些圖片型別，用bp抓包，發現http請求都沒通過burp就彈出了不允許上傳的提示框，這表明驗證點在前端，而不在服務端

upload - labs (下)

Pass - 11： 1.檢視原始碼，發現進行了一次對字尾名替換成空格，因此考慮雙寫繞過，

Upload-labs-master筆記

Upload-labs-master筆記防禦方法：白名單限制Content-type 黑名單限制少部分上傳的字尾

檔案上傳漏洞：upload-labs（二）

Pass-11 原始碼 $is_upload = false; $msg = null; if(isset($_POST[\'submit\'])){ $ext_arr = array(\'jpg\',\'png\',\'gif\');

upload-labs學習記錄

upload-labs 第一關前端JS校驗第二關 content-type校驗第三關黑名單.php3 第四關黑名單.htaccess繞過

upload-labs

less-1(前端js繞過) 建立一個一句話木馬上傳在前端有checkfile()函式，就是檢測上傳的檔案是否是jpg png gif格式，在前端刪掉即可上傳成功

upload-labs 1-21關通關記錄

0x01: 檢查原始碼，發現JS前端驗證，關閉JS即可連線，或者手動新增.php，或者上傳1.jpg，再抓包修改為php

Upload-labs 檔案上傳靶場通關攻略(下)

Upload-Labs靶場攻略(下) Pass-11 GET型傳參，上傳目錄可設定，考慮00截斷，在/upload/後新增1.php%00，即可上傳

upload-labs(6-10)

前面自己配的靶場各種問題,整的頭大找個線上靶場也是一堆問題,清理檔案把上傳目錄給刪了,我直接迷惑