首页 > 其他分享 >upload-labs

upload-labs

时间:2024-11-08 14:45:40浏览次数:3  
标签:文件 00 12 upload labs pass php 上传

upload-labs1-13

upload-labs1-13

pass-01

首先我们新建文件a.php并用一句话木马<?php @eval($_POST['cmd']); ?>

然后我们上传1.php发现弹窗给出了白名单类型为jpg.png.gif

并且burp抓包无法获取数据包我们就可以猜测是前端验证

我们禁用前端js再尝试上传

发现上传成功在这里插入图片描述

然后我们访问图片通过hackbar构造post传参返回php界面即成功

在这里插入图片描述

pass-02

上传1.php并用burp抓包将数据发送至repeater模块发现提示文件类型不正确

分析数据包我们可以猜测是Content-Type类型有限制

在这里插入图片描述

我们修改Content-Type:image/jpeg或其他白名单重新发送数据包即可

pass-03

再次上传1.php 弹出黑名单不允许asp,aspx,php,jsp

在某些特定环境中某些特殊后缀仍会被当作php文件解析 php、php2、php3、php4、php5、php6、php7、pht、phtm、phtml

我们通过尝试改成.ptml发现直接上传成功

pass-04

在尝试了前3关的方式均绕过失败通过提示发现有一个文件没有绕过

即.htaccess文件

在这里插入图片描述

我们就可以先上传.htaccess再上传php文件

pass-05

上传5.php、.htaccess、5.phtml等文件发现都被禁用

由提示知上传目录有readme.php

由百度可知在这里插入图片描述

我们本地创建.user.ini文件和并改.php后缀.png上传
auto_prepend_file =

pass-06

通过提示可以发现文件大小写过滤不严谨

我们通过修改.php为.PHP即可上传成功

pass-07

通过查看源码发现没有对上传文件做去空格处理 trim()

在这里插入图片描述

利用burp抓包修改对应的文件名来添加空格

在这里插入图片描述

然后成功上传

pass-08

同理这次源码当中没有对文件后缀名做去点.的操作 strrchr($file_name, ‘.’)

在这里插入图片描述

Windows系统下,文件后缀名最后一个点会被自动去除。上传 8.php.

pass-09

这次是未对上传的文件后缀名做去::$DATA处理

Windows系统下,如果上传的文件名为9.php::$DATA会在服务器上生成一个9.php的文件,其内容和所上传文件内容相同并被解析。

pass-10

这次没有缺失操作

可以用.php. .绕过

代码运行最后得到的后缀为"." 不在黑名单中 然而又用原来的10.php. .来保存文件 由于windows在文件命名中会自动删除.和空格 所以最终得到的是10.php 因此绕过了黑名单限制

pass-11

在这里插入图片描述

我们上传php时发现文件的后缀名消失了
在这里插入图片描述

我们可以尝试双鞋.phpphp即可成功

pass-12

PS:需要php的版本号低于5.3.29,且magic_quotes_gpc为关闭状态(需要自己关闭)

设置上传路径为upload/12.php%00 ,添加12.php%00内容为了控制路径,上传文件后缀为白名单即可 例:12.png,保存后为/upload/12.php%00*****.png,但服务端读取到%00时会自动结束,将文件内容保存至12.php中

在这里插入图片描述

在这里插入图片描述

然后即可

pass-13

第13题与12题思路一样使用白名单限制上传文件类型,但上传文件的存放路径可控,
但因为是POST型,需要对%00进行解码或在16进制中修改,POST不会像GET那样对%00进行自动解码。

所以只要在burp里面输入%00 然后进行url解码即可 得到就是0x00
在这里插入图片描述

,需要对%00进行解码或在16进制中修改,POST不会像GET那样对%00进行自动解码。

所以只要在burp里面输入%00 然后进行url解码即可 得到就是0x00

[外链图片转存中…(img-TNLsvXB6-1731048589384)]

标签:文件,00,12,upload,labs,pass,php,上传
From: https://blog.csdn.net/2401_87235125/article/details/143626487

相关文章

  • 【漏洞复现】灵当CRM multipleUpload.php 任意文件上传漏洞
    免责声明:        本文旨在提供有关特定漏洞的信息,以帮助用户了解潜在风险。发布此信息旨在促进网络安全意识和技术进步,并非出于恶意。读者应理解,利用本文提到的漏洞或进行相关测试可能违反法律或服务协议。未经授权访问系统、网络或应用程序可能导致法律责任或严......
  • xss-labs题解
    xss—labsxss—labslevel1(GET型)level2(闭合)level3(htmlspecialchars绕过)level4(左右尖括号过滤)level5(a标签法)level6(大小写绕过)level7(双写绕过)level8(利用href自动Unicode解码特性)level9(注释绕过后端判断)xss—labs题目链接BUUCTF在线评测题目源码xss-lab/lev......
  • SQLI LABS | Less-27 GET-Error Based-All Your UNION & SELECT Belong To Us-String-
    关注这个靶场的其它相关笔记:SQLILABS——靶场笔记合集-CSDN博客0x01:过关流程输入下面的链接进入靶场(如果你的地址和我不一样,按照你本地的环境来): http://localhost/sqli-labs/Less-27/本关考察的是SQL注入的绕过姿势,至于发现注入点,相信强大如你已经很容易测出来了,......
  • [ACTF2020 新生赛]Upload
    题目链接:https://buuoj.cn/challenges#[ACTF2020新生赛]Upload打开环境后如下所示。指向灯泡,可以发现存在一个上传功能。尝试先上传".php"后缀文件,响应包如下。题目提示"nonono~Badfile!",此处笔者直接修改后缀为".phtml"后,发现可以成功上传,并且网页告知了上传的文件......
  • [极客大挑战 2019]Upload
    题目链接:https://buuoj.cn/challenges#[极客大挑战2019]Upload。打开环境,如下所示。通过页面源代码可以发现,该网站系PHP架构,因此尝试直接上传一句话木马。发现提示"NOT!php!",因此尝试fuzzing一下后缀名。发现网站可以通过了"phtml"的后缀名,但是提示文件内容存在字符......
  • upload-labs靶场Pass-21
    upload-labs靶场Pass-21本关上传方法众多,但是应该考察的是数组后缀绕过,所以我的上传围绕此展开1.分析源码$is_upload=false;//初始化上传状态为false$msg=null;//初始化消息变量为null//检查是否有文件上传if(!empty($_FILES['upload_file'])){//定义......
  • ElevenLabs Voice Design:文本生成个性化语音;科学家用 AI 解读猪叫声背后情绪和压力丨R
       开发者朋友们大家好: 这里是「RTE开发者日报」,每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享RTE(Real-TimeEngagement)领域内「有话题的新闻」、「有态度的观点」、「有意思的数据」、「有思考的文章」、「有看点的会议」,但内容仅代表编......
  • CTF学习(1):WEB(upload)
    1.进入网站(文件上传题?)--->CTRL+U查看源码(无果)--->导入带有一句话木马的.php文件(无法上传非图片文件)2.使用JavascriptSwitch插件关闭网页的js设置后再次上传图片(成功)--->将文件上传后的路径添加进蚁剑(密码为先前上传的.php文件中POST['']内的字符)3.连入服务器后在......
  • 【漏洞复现】时空智友ERP系统uploadStudioFile任意文件上传漏洞
    免责声明请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。一、简介时空智友ERP系统是一款基于云计算和大数据的企业资源计划管理系统,旨在......
  • Upload-labs靶场Pass-18
    Upload-labs靶场Pass-181、分析源码//初始化上传状态为false,并且消息为空$is_upload=false;$msg=null;//检查是否通过POST请求提交了表单if(isset($_POST['submit'])){//定义允许上传的文件扩展名数组$ext_arr=array('jpg','png','gif');......