upload-labs关卡记录12

直接上传一句话木马,发现提示:

很明显这是一个白名单,而且不是前端的js检查,而是服务端的检查,因此我们使用bp抓包,改一下文件类型试试:

找到包之后,我们对content-type进行一个更改,改为png类型。然后放包试试:

发现依旧提示只允许上传这些类型的文件,可见我们这种绕过失败了。

于是就进行%00截断绕过,原理就是:%00是一个url编码,url发送到服务器后就被服务器解码,这时还没有传到验证函数,也就是说验证函数里接收到的不是%00字符,而是%00解码后的内容,即解码成了0x00。在url中%00表示ascll码中的0 ,而ascii中0作为特殊字符保留,表示字符串结束,所以当url中出现%00时就会认为读取已结束。

我们使用bp抓包,然后对url这里进行更改:

注意我们要先改shell.php为shell.png这样才能正确执行我们save_path里面的更改

然后放包:

我们看到,已经成功进行了绕过:

复制图像链接打开后就发现,会出现这样一堆东西,这个时候我们需要将%00也就是php后面的东西全部去掉即可:

复制代码
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext

这时源代码中关于上传图片保存路径的代码:

实际就是:../upload. /随机数 时间戳 .文件后缀

我们使用了截断后: upload/a.php%EF%BF%BD/xxxxxx.png

这里的%EF%BF%BD就是我们之前更改url传入的%00的编码

补充一下:这里使用这个%00截断的时候,php:php < 5.3.29且在php的配置中要设置:magic_quotes_gpc=off

相关推荐
前端世界1 天前
Python 正则表达式实战:用 Match 对象轻松解析拼接数据流
python·正则表达式·php
久绊A1 天前
如何在Kali Linux官网下载历史版本
安全·web安全
李白你好1 天前
功能强大的多线程端口扫描工具,支持批量 IP 扫描、多种端口格式输入、扫描结果美化导出,适用于网络安全检测与端口监控场景
web安全
苏琢玉1 天前
用 PHP 玩向量数据库:一个从小说网站开始的小尝试
php·composer
wuk9981 天前
ThinkPHP 6框架常见错误:htmlentities()函数参数类型问题解决
php
万岳软件开发小城1 天前
开源与定制化对比:哪种在线教育系统源码更适合教育培训APP开发?
开源·php·软件开发·在线教育系统源码·教育小程序·教育app开发
lskblog1 天前
Composer安装教程及国内镜像设置(含腾讯云、阿里云镜像)
阿里云·php·腾讯云·laravel·composer
筑梦之月2 天前
3分钟解决ZAP打开浏览器闪退问题
web安全
m0_738120722 天前
CTFshow系列——PHP特性Web93-96
开发语言·安全·web安全·php·ctfshow
@CLoudbays_Martin112 天前
为什么动态视频业务内容不可以被CDN静态缓存?
java·运维·服务器·javascript·网络·python·php