upload-labs游戏
upload-labs游戏
黑名单绕过方式
第1关:JavaScript前端验证
绕过方式:
1、BurpSuit抓包修改文件名后缀
2、在浏览器禁用JavaScript
第2关:MIME类型的验证
绕过方式:
BurpSuit抓包修改文件类型(Content-Type字段)
第3关:特殊后缀的黑名单验证
绕过方式:
1、等价扩展名绕过
这个等价扩展名绕过试了很多次一直没有成功,通过查资料知道了php版本有nts型和ts型,而nts型不能解析等价扩展名。我一直是用的phpstudy,里面php版本只有nts型。
这里是大佬的参考资料
https://www.cnblogs.com/Article-kelp/p/14927087.html
一开始我下载的PHP版本是php-8.2.4-ts,尝试了一下,apache运行报错,又折回下载了php-7.4.33-ts版本,成功。
2、看到网上有人说这里可以用.htaccess文件绕过+jpg文件绕过,但是我试了很久,一直不能绕过,原因是因为这里上传.htaccess文件时,文件前面会有一段时间戳,把.htaccess文件变成了202303212110057239.htaccess,导致无法正常解析。
第4关:.htaccess绕过
绕过方式:
php文件改成.jpg文件+.htaccess文件绕过
第5关:空格+点绕过
绕过方式:
利用BurpSuit抓包修改文件后缀名为“.php. .”,因为这里先过滤最后的点,然后过滤了空格,最后拿.php.与黑名单配对,.php.不在黑名单中。成功绕过。
第6关:大小写绕过(复现失败)
绕过方式:
没有全部转化成小写,这里可以用.PhP、.PHP、.Php等后缀绕过。(这里不知道什么原因,把.PHP文件上传以后一直访问不到,用浏览器访问报出500的错误,这里路径,文件名都是对的。然后我做了个小测试,把.PHP文件改成.php文件后就可以访问到了。目前还不知道啥原因。)
第7关:末尾加空格绕过
绕过方式:
末尾加空格
第8关:末尾加点绕过
绕过方式:
末尾加点
第9关:::$DATA绕过
绕过方式:
利用Windows特性::$DATA绕过
第10关:空格+点绕过
绕过方式:
利用BurpSuit抓包修改文件后缀名为“.php. .”,因为这里先过滤最后的点,然后过滤了空格,最后拿.php.与黑名单配对,.php.不在黑名单中。成功绕过。
第11关:双写绕过
绕过方式:
源码显示把php等后缀名都变为空了,所以这里双写以.pphphp后缀名上传。
白名单绕过方式
第12关:GET型%00截断绕过
绕过方式:
%00只能用于php版本低于5.3的。刚开始一直用的php5.3.29,一直不能绕过,查了后才知道php版本要低于5.3。
php各个版本网址:
https://windows.php.net/downloads/releases/archives/
下载后需要没有php.ini文件,把php.ini-dist文件改成php.ini文件就好了,然后修改一下magic_quotes_gpc为OFF就行了。
第13关:POST型%00截断绕过
绕过方式:
和GET型类似,就是%00需要用url解码
上传图片马+文件包含漏洞
第14关:图片+文件包含漏洞
制作图片马:
copy 1.jpg /b + 2.php /a 3.jpg
这里需要注意的就是1.jpg/b需要放前面,这样可以把2.php中的内容放在最后。这里对图片可能也有点要求,我第一次使用的图片有点大,不知道怎么回事报错了,后来用了一张小一点的图片,成功解析。
上传成功后用文件包含漏洞以php语言解析出来
大概格式:upload-labs/include.php?file=upload/1120230322182510.jpg
第15关:getimagesize()
getimagesize — 取得图像大小
可以用图片马+文件包含漏洞。
第16关:exif_imagetype()
exif_imagetype — 判断一个图像的类型
可以用图片马+文件包含漏洞。
第17关:二次渲染(复现失败)
imagecreatefromjpeg — 由文件或 URL 创建一个新图象。
逻辑漏洞
第18关:条件竞争
只要访问到php_playload.php,就会生成一个一句话木马。
<?php
fputs(fopen('yyy.php','w'),
'<?php @eval($_POST[yyy])?>')
?>
python脚本去访问,也可以自己去访问
import requests
url = "xxx.xxx"
while True:
html = requests.get(url)
if html.status_code == 200:
print("OK")
break
第19关:条件竞争+Apache的解析漏洞(复现失败)
Apache解析漏洞:当文件名为1.php.xxx时,会把文件当做1.php执行
第20关:move_uploaded_file()
move_uploaded_file() 函数将上传的文件移动到新位置。
绕过方式:
1、可以用%00截断,但是php版本需要低于5.3,而且需要magic_quotes_gpc=OFF
2、move_uploaded_file()有这么一个特性,会忽略掉文件末尾的 /.
第21关:利用数组绕过验证
upload-labs游戏的更多相关文章
- SUCTF 2019 Upload labs 2 踩坑记录
SUCTF 2019 Upload labs 2 踩坑记录 题目地址 : https://github.com/team-su/SUCTF-2019/tree/master/Web/Upload La ...
- Upload - Labs (下)
Pass - 11: 1.查看源代码,发现进行了一次对后缀名替换成空格,因此考虑双写绕过, 2.上传成功, 关键代码: $is_upload = false; $msg = null; if (iss ...
- Upload - Labs (上)
Pass - 01: 1.尝试上传一个php文件:aaa.php,发现只允许上传某些图片类型,用bp抓包,发现http请求都没通过burp就弹出了不允许上传的提示框,这表明验证点在前端,而不在服务端 ...
- [web安全原理分析]-文件上传漏洞基础
简介 前端JS过滤绕过 待更新... 文件名过滤绕过 待更新 Content-type过滤绕过 Content-Type用于定义网络文件的类型和网页编码,用来告诉文件接收方以什么形式.什么编码读取这个 ...
- [原题复现+审计][SUCTF 2019] WEB CheckIn(上传绕过、.user.ini)
简介 原题复现:https://github.com/team-su/SUCTF-2019/tree/master/Web/checkIn 考察知识点:上传绕过..user.ini 线上平台:h ...
- buu学习记录(上)
前言:菜鸡误入buu,差点被打吐.不过学到了好多东西. 题目名称: (1)随便注 (2)高明的黑客 (3)CheckIn (4)Hack World (5)SSRF Me (6)piapiapia ( ...
- Upload-labs通关指南(上) 1-10
Upload-labs 所有文章和随笔(随笔将不于csdn更新)将于我的个人博客(移动端暂未适配)第一时间更新. 一些网站存在文件上传接口,一旦存在这个接口就有可能存在漏洞. 文件上传漏洞的逻辑是将一 ...
- upload上传通关游戏
第一关:后缀名限制,抓包改一下后缀. 前端脚本检测文件扩展名.当客户端选择文件点击上传的时候,客户端还没有向服务器发送任何消 息,前端的 js 脚本就对文件的扩展名进行检测来判断是否是可以上传的类型 ...
- Bzoj1455 罗马游戏
Time Limit: 5 Sec Memory Limit: 64 MBSubmit: 1622 Solved: 679 Description 罗马皇帝很喜欢玩杀人游戏. 他的军队里面有n个人 ...
- 第1部分: 游戏引擎介绍, 渲染和构造3D世界
原文作者:Jake Simpson译者: 向海Email:GameWorldChina@myway.com ---------------------------------------------- ...
随机推荐
- 使用SonarQube对Unity项目进行代码分析的问题记录
1.这里不仔细描述每个步骤,只记录一些关键问题,到官网下载解压最新版的SonarQube(我用的是8.9.1). 2.下载安装jdk,这里要注意官网的说明,我一开始下的jdk16,启动Sonar后报错 ...
- 记录jupyter lab 多个kernel混乱的问题
问题描述 在Anaconda下我有多个虚拟环境,其中一个叫d2l,由于pytorch版本和cuda算力不匹配,重新create了一个环境:d2l_new.然后环境配置好了之后激活环境,启动jupyte ...
- IP协议数据包
Header Length:头部长度固定20字节,永远为5(4bit为单位) Total Length:头部+包, 抓包结果 Identification.Fragment Flags.Fragmen ...
- 关闭Google自动更新
一.禁用任务计划 二.禁用更新服务 三.重命名更新程序 首先找到谷歌浏览器的安装位置
- Redis 集群模式的安装与配置【源码安装redis-7.0.5】
Redis最新版下载地址:http://download.redis.io/releases/redis-7.0.5.tar.gz 步骤如下: 1)wget http://download.redis ...
- re相关正则表达式(re.sub、re.I 、re.S、re.M)
re.I 表示忽略大小写 re.S 表示全文匹配 re.M 表示全文拼配行尾段位的字符或者数字,影响^和$ re.sub 表示替换 使用方法: re.sub(pattern, repl, string ...
- Mongodb可参考的查询
条件AND 1 db.csr_log_info.find({$and:[{enterTime :{$regex:/2021-08-31 18:01/}},{enterTime :{$ne:" ...
- FCC 中级算法题 Arguments Optional
Arguments Optional 创建一个计算两个参数之和的 function.如果只有一个参数,则返回一个 function,该 function 请求一个参数然后返回求和的结果. 例如,add ...
- Python机器学习/LogisticRegression(逻辑回归模型)(附源码)
LogisticRegression(逻辑回归) 逻辑回归虽然名称上带回归,但实际上它属于监督学习中的分类算法. 1.算法基础 LogisticRegression基本架构源自于Adline算法,只是 ...
- 精通Spring 4.x 企业应用开发实战- 1.6 新特性