upload-labs靶场的第12关过关报告

原创 于 2025-03-22 22:57:15 发布 · 955 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#upload-labs #burpsuite #phpstudy

所用工具:phpstudy,upload-lab,win10 x64,burpsuite

首先进行分析:因为(源代码第八行)对文件名进行了拼接的,所以可以用(get)%00截断绕过。原理:%00是一个url的编码,代码中move_uploaded_file()函数遇见0x00(0x表示16进制,后面跟着的是两个16进制的0)就会截断,而url把%00解码就是0x00。
1、这一关需要的版本要小于5.3.4,我用的是PHP-5.2.17,在phpStudy2018版本中进行版本修改,如下图所示:
2、同时需要关闭magic_quotes_gpc,这个选项是用来防止sql注入的,会对$_REQUEST、$_POST、$_GRT、$_COOKIE、$_SESSION等函数里的内容进行过滤,如:对内容中的单引号、双引号、<>这样的尖括号、NULL这样的字符等等都会加上转义字符。
操作如下图所示,依次进行选择:“其他选项菜单”-> “PHP扩展及设置”-> “参数开关设置”-> “magic_quotes_gpc”,取消选择即可。
3、此时该利用Burpsuite进行抓包了。但我遇到了一个问题,当我尝试使用Burp suite抓取本地测试环境的“http://127.0.0.1/upload-labs-master”数据包时,发现抓不到包,且尝试任何带有惠环地址127.0.0.1的网址数据都不能被捕获。经过不断尝试,我发现了两个可行方案,如下:
方法一:将127.0.0.1改为本机IP地址;
方法二:修改火狐浏览器相关配置。
我选择使用方法二,因为我发现当我使用本机IP地址(192.168.15.137)时搜索速度会变得很慢,因为相较于回环地址不用出本机,使用192.168.15.137时浏览器会将该地址层层转发到到目标服务器,浪费一些时间。
在方法二中,操作步骤如下:
(1)火狐浏览器中地址栏输入abhout:config,在跳转的界面中鼠标点击接受分析并继续。
(2)搜索框中搜索字符串localhost,点击network.proxy.allow_hijacking_locallhost,确认其状态由false转为true,效果如下图所示:

4、接着我准备了一个test.php文件,文件内容如下:

5、如果不做任何抓包后的修改操作,直接上传test.php文件,会显示提示信息,如下图所示,表明没有上传成功。
6、于是需要进行抓包并修改部分内容,流程如下图所示,先选择test.php文件,让后打开BurpSuite,在Proxy -> Intercept下面选择“Intercept on”,打开拦截。最后,再点击“上传”按钮。

  7、在第6步中成功抓到了数据包,内容如下图所示,此时需要在“save_path=../upload/”后面添加“init.php%00”,实现利用%00进行文件名的截断。同时需要将“filename”字段的文件名改为“test.jpg”,修改后结果如下:

  8、修改完后选择“Intercept off”,取消拦截,浏览器会将修改后的数据拿去给程序校验,从而顺利通过验证。结果如下图所示,可以看到没有任何提示信息,说明上传成功。
9、为了进一步验证test.php文件是否上传成功,我右键复制了上图中图片的链接地址,然后打开了蚁剑,进行添加数据,URL地址和连接密码如下图所示,随后点击了“测试连接”弹出来右下角的信息,表明连接成功,效果如下图所示:

 10、双击打开第9步中连接成功的URL地址,结果如下图所示,可以看到之前的test.php文件经过上传后成功变为了init.php文件,上传成功,顺利通过第12关

upload-labs第十二教程
Estera的博客
06-14 1227
在PHP中作用是判断解析用户提示的数据,包括post/get/cookie过来的数据增加转义字符"\",以确保这些数据不会引起程序出现致命错误。在magic_quotes_gpc=on的情况下,如果输入数据有单引号/双引号/反斜线/null字符等,都会被加上反斜线。
upload-labs(第12-第13
qq_73985955的博客
07-28 925
于php的版本问题,由于我这之前使用的是phpstudy_pro搭建的靶场,不知道是不是软件的原因,导致我不能下载php的5.2.17版本,我又不想删了重新配置,感觉很麻烦,所以我就又下了个phpstudy2018的版本,如果有人也是这样的问题,并且删了重新下也不行,大家可以看这篇文件下载phpstudy2018试试。如果你的phpstudy_pro能下载php的5.2.17版本,那你可以这样闭魔术引号。然后找到参数开设置,我们就可以看到魔术引号了,如果勾选了,就点击它一次,取消勾选。
Upload-Labs-Pass-12
龙狼刺的博客
04-23 2146
目录 一、相知识 1、POST型00截断原理: 二、环境搭配 三、文件上传 1、创建webshell 2、修改文件名 3、设置代理 4、文件上传 四、Weevely连接 一、相知识 1、POST型00截断原理: 在POST请求中,%00不会被自动解码,需要在16禁止中进行修改00。 二、环境搭配 攻击机: kali IP: 192.168.0.112 靶机: Windows2008 IP: 192.168.0.130:9006 .
upload-labs 12-17 详解
qq_53409748的博客
03-01 748
upload-labs 12-17 详解
upload-labs攻略教程二【12-18
m0_55854679的博客
06-05 1778
upload-labs攻略教程一(01-11) Pass-12-(白名单验证,get型00截断) 查看题目源码 白名单判断,只允许三中文件类型。strrpos(string,find,start)函数查找字符串中最后一次出现的位置,这里是将后缀名提取赋值给file_exit.但$img_path是直接拼接,我们可以通过抓包修改get参数,然后通过file_ext无效,这样就可以上传php文件因此可以利用%00截断绕过。 %00截断的概念和原理: 在url中%00表示ASCll码中的0,而0作为特殊
文件上传漏洞:upload-labs靶场
qq_68163788的博客
02-16 4904
upload-labs是一个专注于Web安全的在线靶场,旨在帮助安全研究人员和学习者提升对Web安全的理解和技能。该靶场提供了丰富的漏洞场景和挑战,涵盖了常见的Web安全漏洞类型,包括但不限于SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、文件上传漏洞等。 通过upload-labs,用户可以在真实的环境中进行漏洞挖掘和漏洞利用的实践,学习并掌握各种常见的Web安全攻防技术。靶场提供了丰富的学习资源和提示,帮助用户理解漏洞的原理和挖掘漏洞的方法,同时还提供了实时的漏洞利用演示,帮助用户更好地理解漏洞
upload-labs 1-19过关思路
qq_51534701的博客
08-14 2316
upload.test Pass-01 删除check方法return checkFile() 如果浏览器不允许修改前端代码,就使用抓包工具修改 然后上传一句话木马 Pass-02 后端校验content-type 把typege更改成image/jpeg Pass-03 php::DATA相当于1.php2.php:a.jpg会生成2.php但内容是在我们2.php:a.jpg中(不用这个)双写::DATA 相当于1.php 2.php:a.jpg 会生成2.php 但内容是在我们2.php:
upload-labs】1-21随文经验总结
helin2020的博客
11-25 2040
这里很明显,就是查后缀,如果在白名单里就重命名文件,所以无法使用双后缀绕过,也没有可控路径来给我们%00截断,而如果不在白名单之内,就会删除我们上传的文件,unlink就是删除文件的函数.这里重点就是它是先上传到临时目录,再判断类型,最后再进行的文件删除,那么这里就是我们的突破口了。对于过滤为空白符,最经典的就是双写绕过了.非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
【web靶场】之upload-labs专项训练(基于BUUCTF平台)
最新发布
China_I_LOVE的博客
01-11 1665
靶场,是通过平台中的靶场进行的,基于linux搭建的当然若是想要该靶场,可以采用github上的醒目,点击后面文字即可访问或者本人分享在网盘中,可通过链接下载其中的。
upload-labs详细教程
热门推荐
shayebudon的博客
11-09 1万+
第一 js检查 查看源码 由源代码可知,允许上传的文件为.jpg|.png|.gif 我们上传一个.jpg文件 利用burp suite进行抓包 将jpg改为php后,放包 上传成功。 第二Content-Type 查看源码 有源码可知,发现只判断Content-Type类型,所以我们只需修改Content-Type进行绕过即可 首先上传php文件,抓上传包 将箭头所指的内容改为image/jpeg或image/png或image/gif后...
文件上传upload-labs靶场指南
javaEE_zero的博客
12-13 2516
upload-labs、文件上传
upload-labs12(基于白名单的%00截断绕过)通思路
zyh1588的博客
11-22 1841
小白回顾文件上传靶场12
【Try to Hack】upload-labs(暂时写到12)
开心星人的博客
06-12 1047
通常是在上传页面里含有专门检测文件上传的JavaScript代码,最常见的就是检测扩展名是否合法 判断该类检测的方法:选择一个禁止上传类型的文件上传,当点击确定按钮之后,浏览器立即弹窗提示禁止上传,一般就可以断定为客户端JavaScript检测绕过方法: 1、禁用前端js Google浏览器->设置->安全和隐私设置->网站设置->javascript 2、将需要上传的恶意代码文件类型改为允许上传的类型,比如将shell.php改为shell.jpg上传,配置Burp Suite代理进行抓包,然后再将文件名
Upload-labs12 - 21 通过笔记
weixin_45619494的博客
10-18 859
编码后,吧file_name 改成 jpg/png/gif 后缀。用burp不断上传,浏览器访问 upload/.php.7z。分析源码,发现他是上传文件到服务器后,再进行后缀名的判断。试试 include.php ,果然,服务器有这个文件。那么就不断上传php文件,然后浏览器不断访问文件链接,抓包,在sava_path 后面加上 .php%00。试试上传一个php文件,被保存名称解析成了jpg文件。意思就是,上传图片后,会有个缩略图,可以保存删除的。发现黑名单,试试保存名称改成 .phP,成功绕过。
UPLOAD LABS | PASS 12 - 白名单绕过(00 截断绕过 - GET 型)
Blue17 の 小窝
12-03 1304
在 PHP < 5.3.4 版本中,存储文件时处理文件名的函数会认为 0x00 是终止符。于是在存储文件的时候,当函数读到 0x00(%00)时,就会认为文件路径已经结束。那么,为了复现漏洞,首先,就是切换我们的 PHP 版本为小于 5.3.4 版本的环境:然后,我们还需要修改对应版本的 PHP 的配置文件(
upload-labs之第十二和十三
田田云逸的博客
10-28 3225
注意:在上一篇的最后有一个知识点没有提到的就是,于00截断的利用条件。 需满足 php 版本<5.3.4 php.ini中的magic_quotes_gpc是off状态的。(至于为什么下面会进行演示) Pass12 打开第十二老规矩先看提示 提示跟上一一样是上传路径可控???怎么回事,难道两考的考点是一样的吗?赶紧看看源码 $is_upload = false;$msg = null;if(isset($_POST['submit'])){ $ext_arr = .
Upload-labs靶场_第1~12总结
weixin_43264698的博客
02-01 1158
Upload-labs靶场_第1~12总结靶场介绍二级目录三级目录 靶场介绍 二级目录 三级目录
upload-labs-master 文件上传 第十一和十二
dd_c1d的博客
08-25 1955
继续! 第十一(pass-11) 上源码! 大家可以看到这里有个str_ireplace()函数,详情可以自行百度,简单来说就是把黑名单里的内容给置换为""。注意这里不是空格!就是空!!就是什么都没有。我们先上传测试一下,方便大家理解。 我们直接复制图片地址,当然也可以看一下上传目录来判断。 发现后缀没了,那是因为原本的.php被str_ireplace()函数变为空了。 这里我们发现他的防护规则写的的确生效了,但是有个致命的问题,和前面的卡一样,没有写循环!...
upload-labs第11~12 00截断
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-13 3591
第九 文件名后缀改为php,并在后面加上. .(点+空格+点) 第十 可以双写绕过,后缀改为pphphp 第十一 查看提示: 可以用%00进行截断 前提条件: php 版本 < 5.3.4且php的参数magic_quotes_gpc必须闭 因为上传的表单中有一个enctype的属性,并且需要enctype=“multipart/form-data” (不对表单中数据进行编码),path大多数都是存放在表单中的,因此需要在数据包中进行urldecode操作使%00变成字符串结束符号
upload-labs靶场9
01-04
### upload-labs 靶场第9分析 在upload-labs靶场的第九中,主要考察的是绕过基于文件扩展名过滤机制来实现任意文件上传的能力[^3]。 此卡中的源代码显示服务器端采用了白名单的方式验证上传文件的合法性。具体来说,在接收到客户端提交的数据包后会解析其中的`filename`字段并提取其后的扩展部分用于匹配预定义的安全列表;如果检测到非法类型的文档则拒绝保存至指定目录下。然而值得注意的是,尽管采取了严格的措施防止恶意脚本混入,但由于存在可利用的设计缺陷——即允许攻击者自定义目标存储位置(通过GET请求参数控制),这便成为了解题的键所在。 为了完成挑战,可以尝试构造特殊的URL地址访问该页面,并附带精心设计过的查询字符串以改变默认设定好的临时存放点为其他具有写权限的地方,比如Web根目录下的子文件夹内。接着再按照常规流程挑选本地计算机里的PHP木马样本递交上去即可达成目的。 ```bash http://localhost/upload-labs/php/index.php?dir=uploads/ ``` 上述命令行展示了如何修改HTTP GET请求中的`dir`变量指向新的相对路径,从而使得后续操作能够顺利进行下去而不受原有逻辑限制的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值