upload-labs关卡记录12

直接上传一句话木马,发现提示:

很明显这是一个白名单,而且不是前端的js检查,而是服务端的检查,因此我们使用bp抓包,改一下文件类型试试:

找到包之后,我们对content-type进行一个更改,改为png类型。然后放包试试:

发现依旧提示只允许上传这些类型的文件,可见我们这种绕过失败了。

于是就进行%00截断绕过,原理就是:%00是一个url编码,url发送到服务器后就被服务器解码,这时还没有传到验证函数,也就是说验证函数里接收到的不是%00字符,而是%00解码后的内容,即解码成了0x00。在url中%00表示ascll码中的0 ,而ascii中0作为特殊字符保留,表示字符串结束,所以当url中出现%00时就会认为读取已结束。

我们使用bp抓包,然后对url这里进行更改:

注意我们要先改shell.php为shell.png这样才能正确执行我们save_path里面的更改

然后放包:

我们看到,已经成功进行了绕过:

复制图像链接打开后就发现,会出现这样一堆东西,这个时候我们需要将%00也就是php后面的东西全部去掉即可:

复制代码
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext

这时源代码中关于上传图片保存路径的代码:

实际就是:../upload. /随机数 时间戳 .文件后缀

我们使用了截断后: upload/a.php%EF%BF%BD/xxxxxx.png

这里的%EF%BF%BD就是我们之前更改url传入的%00的编码

补充一下:这里使用这个%00截断的时候,php:php < 5.3.29且在php的配置中要设置:magic_quotes_gpc=off

相关推荐
IpdataCloud2 小时前
跨区服玩家延迟高怎么办?用IP离线库自动分配到最近服务器
数据库·tcp/ip·github·php·ip
辣椒思密达3 小时前
AI出海产品本地化测试:住宅IP在模拟海外用户环境中的实践价值
网络协议·tcp/ip·安全·php·苹果vision pro
bitbrowser4 小时前
Claude 账号频繁被封?转向国内可直接使用的 AI 工具
开发语言·php
2501_912784084 小时前
Laravel 多渠道代购订单聚合队列踩坑实战,解决跨平台漏单与同步
php·laravel·taocarts
2401_854151554 小时前
嵌入式 Bootloader 与 OTA 固件升级深度解析——从 Flash 分区到安全回滚
开发语言·stm32·单片机·嵌入式硬件·安全·php
数据知道6 小时前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划
Gyr07 小时前
关于证书站捡洞这一档事
安全·web安全
网安蟹佬霸8 小时前
我国网络安全人才缺口现状、成因与对策研究
安全·web安全
云水一下9 小时前
零基础玩转bWAPP靶场(一):从起源到环境搭建,开启Web安全实战之旅
web安全·靶场·bwapp
HackTwoHub10 小时前
AntiDebug Mcp、AI逆向绕过前端,Hook 加密接口,抓取 Vue 路由漏洞,接入 MCP 让 AI 自动化挖掘前端漏洞
前端·vue.js·人工智能·安全·web安全·网络安全·系统安全