upload-labs游戏

目录

黑名单绕过方式

第1关:JavaScript前端验证

绕过方式:

1、BurpSuit抓包修改文件名后缀

2、在浏览器禁用JavaScript

第2关:MIME类型的验证

绕过方式:

BurpSuit抓包修改文件类型(Content-Type字段)

第3关:特殊后缀的黑名单验证

绕过方式:

1、等价扩展名绕过

这个等价扩展名绕过试了很多次一直没有成功,通过查资料知道了php版本有nts型和ts型,而nts型不能解析等价扩展名。我一直是用的phpstudy,里面php版本只有nts型。

这里是大佬的参考资料

https://www.cnblogs.com/Article-kelp/p/14927087.html

一开始我下载的PHP版本是php-8.2.4-ts,尝试了一下,apache运行报错,又折回下载了php-7.4.33-ts版本,成功。

2、看到网上有人说这里可以用.htaccess文件绕过+jpg文件绕过,但是我试了很久,一直不能绕过,原因是因为这里上传.htaccess文件时,文件前面会有一段时间戳,把.htaccess文件变成了202303212110057239.htaccess,导致无法正常解析。

第4关:.htaccess绕过

绕过方式:

php文件改成.jpg文件+.htaccess文件绕过

第5关:空格+点绕过

绕过方式:

利用BurpSuit抓包修改文件后缀名为“.php. .”,因为这里先过滤最后的点,然后过滤了空格,最后拿.php.与黑名单配对,.php.不在黑名单中。成功绕过。

第6关:大小写绕过(复现失败)

绕过方式:

没有全部转化成小写,这里可以用.PhP、.PHP、.Php等后缀绕过。(这里不知道什么原因,把.PHP文件上传以后一直访问不到,用浏览器访问报出500的错误,这里路径,文件名都是对的。然后我做了个小测试,把.PHP文件改成.php文件后就可以访问到了。目前还不知道啥原因。)

第7关:末尾加空格绕过

绕过方式:

末尾加空格

第8关:末尾加点绕过

绕过方式:

末尾加点

第9关:::$DATA绕过

绕过方式:

利用Windows特性::$DATA绕过

第10关:空格+点绕过

绕过方式:

利用BurpSuit抓包修改文件后缀名为“.php. .”,因为这里先过滤最后的点,然后过滤了空格,最后拿.php.与黑名单配对,.php.不在黑名单中。成功绕过。

第11关:双写绕过

绕过方式:

源码显示把php等后缀名都变为空了,所以这里双写以.pphphp后缀名上传。

白名单绕过方式

第12关:GET型%00截断绕过

绕过方式:

%00只能用于php版本低于5.3的。刚开始一直用的php5.3.29,一直不能绕过,查了后才知道php版本要低于5.3。

php各个版本网址:

https://windows.php.net/downloads/releases/archives/

下载后需要没有php.ini文件,把php.ini-dist文件改成php.ini文件就好了,然后修改一下magic_quotes_gpc为OFF就行了。

第13关:POST型%00截断绕过

绕过方式:

和GET型类似,就是%00需要用url解码

上传图片马+文件包含漏洞

第14关:图片+文件包含漏洞

制作图片马:

copy 1.jpg /b + 2.php /a 3.jpg

这里需要注意的就是1.jpg/b需要放前面,这样可以把2.php中的内容放在最后。这里对图片可能也有点要求,我第一次使用的图片有点大,不知道怎么回事报错了,后来用了一张小一点的图片,成功解析。

上传成功后用文件包含漏洞以php语言解析出来

大概格式:upload-labs/include.php?file=upload/1120230322182510.jpg

第15关:getimagesize()

getimagesize — 取得图像大小

可以用图片马+文件包含漏洞。

第16关:exif_imagetype()

exif_imagetype — 判断一个图像的类型

可以用图片马+文件包含漏洞。

第17关:二次渲染(复现失败)

imagecreatefromjpeg — 由文件或 URL 创建一个新图象。

逻辑漏洞

第18关:条件竞争

只要访问到php_playload.php,就会生成一个一句话木马。

<?php
fputs(fopen('yyy.php','w'),
'<?php @eval($_POST[yyy])?>')
?>

python脚本去访问,也可以自己去访问

import requests
url = "xxx.xxx"
while True:
html = requests.get(url)
if html.status_code == 200:
print("OK")
break
第19关:条件竞争+Apache的解析漏洞(复现失败)

Apache解析漏洞:当文件名为1.php.xxx时,会把文件当做1.php执行

第20关:move_uploaded_file()

move_uploaded_file() 函数将上传的文件移动到新位置。

绕过方式:

1、可以用%00截断,但是php版本需要低于5.3,而且需要magic_quotes_gpc=OFF

2、move_uploaded_file()有这么一个特性,会忽略掉文件末尾的 /.

第21关:利用数组绕过验证

upload-labs游戏的更多相关文章

  1. SUCTF 2019 Upload labs 2 踩坑记录

    SUCTF 2019 Upload labs 2 踩坑记录 题目地址 : https://github.com/team-su/SUCTF-2019/tree/master/Web/Upload La ...

  2. Upload - Labs (下)

    Pass - 11: 1.查看源代码,发现进行了一次对后缀名替换成空格,因此考虑双写绕过, 2.上传成功, 关键代码: $is_upload = false; $msg = null; if (iss ...

  3. Upload - Labs (上)

    Pass - 01: 1.尝试上传一个php文件:aaa.php,发现只允许上传某些图片类型,用bp抓包,发现http请求都没通过burp就弹出了不允许上传的提示框,这表明验证点在前端,而不在服务端 ...

  4. [web安全原理分析]-文件上传漏洞基础

    简介 前端JS过滤绕过 待更新... 文件名过滤绕过 待更新 Content-type过滤绕过 Content-Type用于定义网络文件的类型和网页编码,用来告诉文件接收方以什么形式.什么编码读取这个 ...

  5. [原题复现+审计][SUCTF 2019] WEB CheckIn(上传绕过、.user.ini)

    简介  原题复现:https://github.com/team-su/SUCTF-2019/tree/master/Web/checkIn  考察知识点:上传绕过..user.ini  线上平台:h ...

  6. buu学习记录(上)

    前言:菜鸡误入buu,差点被打吐.不过学到了好多东西. 题目名称: (1)随便注 (2)高明的黑客 (3)CheckIn (4)Hack World (5)SSRF Me (6)piapiapia ( ...

  7. Upload-labs通关指南(上) 1-10

    Upload-labs 所有文章和随笔(随笔将不于csdn更新)将于我的个人博客(移动端暂未适配)第一时间更新. 一些网站存在文件上传接口,一旦存在这个接口就有可能存在漏洞. 文件上传漏洞的逻辑是将一 ...

  8. upload上传通关游戏

    第一关:后缀名限制,抓包改一下后缀. 前端脚本检测文件扩展名.当客户端选择文件点击上传的时候,客户端还没有向服务器发送任何消 息,前端的 js 脚本就对文件的扩展名进行检测来判断是否是可以上传的类型 ...

  9. Bzoj1455 罗马游戏

    Time Limit: 5 Sec  Memory Limit: 64 MBSubmit: 1622  Solved: 679 Description 罗马皇帝很喜欢玩杀人游戏. 他的军队里面有n个人 ...

  10. 第1部分: 游戏引擎介绍, 渲染和构造3D世界

    原文作者:Jake Simpson译者: 向海Email:GameWorldChina@myway.com ---------------------------------------------- ...

随机推荐

  1. 使用SonarQube对Unity项目进行代码分析的问题记录

    1.这里不仔细描述每个步骤,只记录一些关键问题,到官网下载解压最新版的SonarQube(我用的是8.9.1). 2.下载安装jdk,这里要注意官网的说明,我一开始下的jdk16,启动Sonar后报错 ...

  2. 记录jupyter lab 多个kernel混乱的问题

    问题描述 在Anaconda下我有多个虚拟环境,其中一个叫d2l,由于pytorch版本和cuda算力不匹配,重新create了一个环境:d2l_new.然后环境配置好了之后激活环境,启动jupyte ...

  3. IP协议数据包

    Header Length:头部长度固定20字节,永远为5(4bit为单位) Total Length:头部+包, 抓包结果 Identification.Fragment Flags.Fragmen ...

  4. 关闭Google自动更新

    一.禁用任务计划 二.禁用更新服务 三.重命名更新程序 首先找到谷歌浏览器的安装位置

  5. Redis 集群模式的安装与配置【源码安装redis-7.0.5】

    Redis最新版下载地址:http://download.redis.io/releases/redis-7.0.5.tar.gz 步骤如下: 1)wget http://download.redis ...

  6. re相关正则表达式(re.sub、re.I 、re.S、re.M)

    re.I 表示忽略大小写 re.S 表示全文匹配 re.M 表示全文拼配行尾段位的字符或者数字,影响^和$ re.sub 表示替换 使用方法: re.sub(pattern, repl, string ...

  7. Mongodb可参考的查询

    条件AND 1 db.csr_log_info.find({$and:[{enterTime :{$regex:/2021-08-31 18:01/}},{enterTime :{$ne:" ...

  8. FCC 中级算法题 Arguments Optional

    Arguments Optional 创建一个计算两个参数之和的 function.如果只有一个参数,则返回一个 function,该 function 请求一个参数然后返回求和的结果. 例如,add ...

  9. Python机器学习/LogisticRegression(逻辑回归模型)(附源码)

    LogisticRegression(逻辑回归) 逻辑回归虽然名称上带回归,但实际上它属于监督学习中的分类算法. 1.算法基础 LogisticRegression基本架构源自于Adline算法,只是 ...

  10. 精通Spring 4.x 企业应用开发实战- 1.6 新特性