文件上传题目练习

炸毛的飞鼠2024-07-31 21:51

之前学习文件上传的时候都是通过练习ctfhub上的题,知道有upload-labs这个靶场,但是还没尝试过,现在重新复习就打算打一下这个靶场

Pass-01

发现仅仅是弹出对话框,说明是前端验证

直接F12禁用js就可以了

上传成功

蚁剑测试连接,后面每题都验证太复杂了,就省了,其实只要能够访问一般都没什么问题,还要结合文件包含漏洞,在中间插入/include.php?file=upload即可

Pass-02

说明是后端服务器验证

查看源代码,发现只能上传这三种图片类型文件

上传一个.png的木马文件抓包修改后缀

上传成功

Pass-03

后端验证,并且有黑名单绕过,告诉了不能上传这几种后缀的文件

查看源代码发现不能用大小写

先尝试直接上传.png文件然后修改后缀为.php,发现不行,应该是过滤了,双写后缀为.pphphp后成功绕过,上传成功

ps:其他绕过方式也可以php2或者是phtml

Pass-04

搜了一下这个函数是黑名单,说明后面一串的后缀都是不允许的,下面那里提示转换为小写,说明不可以用大小写绕过,仔细检查过滤了哪些,发现.htaccess没在黑名单中,可以先上传.htaccess文件,后面再上传.jpg(看文件里是什么后缀)就可自动解析为php

上传一个.htaccess文件并抓包修改类型,再上传这个文件中对应的文件(这里指2.jpg)

上传成功

Pass-05

发现都过滤了,但是没有那个转换为小写了,说明能用大小写绕过

上传一个.png文件然后抓包更改后缀

上传成功

Pass-06

首先查看源代码,发现黑名单中的这些后缀以及大小写绕过都不可以使用,也不可以上传.htaccess文件,想到空格绕过

上传黑名单外的文件,抓包更改后缀并加上空格

上传成功

Pass-07

先查看源代码,发现禁用了很多后缀,: :$DATA不能用,大小写绕过也不可以,想尝试一下.绕过

上传后bp抓包修改后缀,在后面加上.

上传成功

Pass-08

查看源代码,发现与上一个比较多了.不能用,但是::$DATA可以用了

上传允许的后缀的文件,并抓包更改

上传成功

Pass-09

查看源代码,跟上一关一样,而且::$DATA不可以用了

这里发现跟前几关都不一样,之前都是ext,这里是name,所以就可以通过空格加点去绕过

上传后抓包并修改

上传成功

Pass-10

框起来的都是需要绕过的,黑名单里面的,还有不能用空格加点,大小写也不行

尝试双写绕过,抓包修改后缀

上传成功

Pass-11

白名单绕过,根据下面两行代码这里选择尝试%00截断

上传白名单允许的文件,抓包并修改,注意上传的木马文件是phpinfo的

上传成功

Pass-12

白名单绕过,POST类型的%00绕过

因为是POST传参,所以要进行decode编码

上传成功

Pass-13

要求传图片马,要检查2字节,直接上传即可(图片木马只用在图片最后加上一句话木马就可以了)

上传成功

Pass-14

只能上传图片马,而且不能太大

制作一个图片木马

上传成功

Pass-15

只能上传图片类型文件,并用函数exif_imagetype()检查(通过读取图像的第一个字节并检查其签名来确定图像的类型)还需要打开扩展

用小皮打开扩展,然后和上面一样上传图片木马就可以了

Pass-16

提示是二次渲染

就是把上传的图片,根据要求,只把图片中的图片信息提取出来,再生成一个新的图片,可以避免图片马。

二次渲染用到了imagecreatefromjpeg函数(由文件或 URL 创建一个新图象,返回一图像标识符,代表了从给定的文件名取得的图像(这时候图像对象还是一个空的)。然后判断是否是一个图片文件,如果不是的话执行unlink函数删除文件,否则,为新图片随机一个名称,执行imagejpeg函数把图象输出到新文件newfilename。再将之前用户上传的文件target_path删除掉。)

先制作一个gif的图片马

上传后将图片另存,接着用010打开进行对比

可以看到上传成功的图片中没有一句话木马了,被打乱了,另外发现绿色部分就是经过渲染的,可以在没有被渲染的部分添加一句话木马,也不能在头部,会破坏文件头导致无法上传

重新上传并抓包在前面未被渲染的部分添加一句话木马

再发包就可以了

Pass-17

这题打开后看见提示要代码审计

如果是jpg、png、gif中的一种,就将文件进行重命名。如果不符合的话,unlink()函数就会删除该文件

补充:

条件竞争漏洞:一种服务器端的漏洞,由于服务器在处理不同请求时时并发进行的,因此处理不当会或者相关操作顺序设计的不合理时,将导致漏洞产生。

所以文件是可以先上传的,然后再判断文件后缀名是否在白名单里,然后再删除,就可以上传1.php,只要在它被删除之前访问就行了,可以用bp的intruder模块不断上传,然后不断访问新地址即可

这样就可以了

Pass-18

这题依然是代码审计

跟上一题一样,还是条件竞争漏洞,但是是白名单,操作不变,也是用bp的intruder模块不断上传,然后不断访问新地址即可

这样就可以上传成功了

Pass-19

打开后对比发现比之前的题多了一个保存名称,没有对上传的文件做判断,只对用户输入的文件名做判断

先查看源码,发现这个函数,搜索其作用

在下面名称输入1.php/.就可以了

上传成功

相关推荐
Chef_Chen1 分钟前
从0开始学习机器学习--Day14--如何优化神经网络的代价函数
神经网络·学习·机器学习
芊寻(嵌入式)11 分钟前
C转C++学习笔记--基础知识摘录总结
开发语言·c++·笔记·学习
准橙考典39 分钟前
怎么能更好的通过驾考呢?
人工智能·笔记·自动驾驶·汽车·学习方法
hong1616881 小时前
跨模态对齐与跨领域学习
学习
阿伟来咯~1 小时前
记录学习react的一些内容
javascript·学习·react.js
Suckerbin2 小时前
Hms?: 1渗透测试
学习·安全·网络安全
水豚AI课代表2 小时前
分析报告、调研报告、工作方案等的提示词
大数据·人工智能·学习·chatgpt·aigc
聪明的墨菲特i2 小时前
Python爬虫学习
爬虫·python·学习
Diamond技术流2 小时前
从0开始学习Linux——网络配置
linux·运维·网络·学习·安全·centos
密码小丑2 小时前
11月4日(内网横向移动(一))
笔记
热门推荐
01【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总02(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明03组基轨迹建模 GBTM的介绍与实现(Stata 或 R)04【AIGC】重塑未来的科技巨轮05全面解析:构建基于深度学习的安全帽检测系统(UI界面+YOLO代码+数据集)06【经验分享】Ubuntu22.04安装微信(linux官方版)07基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测08Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO09RAG 实践- Ollama+RagFlow 部署本地知识库10【TC3xx芯片】TC3xx芯片电源管理系统PMS详解