02.upload-labs靶场通关详解(11~17)

原创 已于 2026-05-16 19:52:57 修改 · 2.2k 阅读 · 42
标签
#android #web安全 #架构 #php
于 2024-08-05 10:53:11 首次发布

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

1、Pass11(白名单:get00截断)

在这里插入图片描述

源码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
   
   
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
   
   
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
   
   
            $is_upload = true;
        } else {
   
   
            $msg = '上传出错!';
        }
    } else{
   
   
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

解析

① 分析代码,这是以时间戳的方式对上传文件进行命名,使用上传路径名%00截断绕过,不过这需要对文件有足够的权限,比如说创建文件夹,上传的文件名写成1.jpg, save_path改成…/upload/1.php%00 (1.php%00.jpg经过url转码后会变为1.php\000.jpg),最后保存下来的文件就是1.php

注意: php版本要小于5.3.4,5.3.4及以上已经修复该问题;magic_quotes_gpc需要为OFF状态

在这里插入图片描述

② 放包后复制图片链接,用中国蚁剑连接,连接成功

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

2、Pass12(白名单:post00截断)

在这里插入图片描述

源码

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
   
   
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
   
   
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
   
   
            $is_upload = true;
        } else {
   
   
            $msg = "上传失败";
        }
    } else {
   
   
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

解析:

① 系统在对文件名进行读取时,如果遇到0x00,就会认为读取已经结束。但要注意是文件的十六进制内容里的00,而不是文件名中的00,所以我们要在1.php后面加一个任意的字,然后在Hex将这个字的16进制数变成00

最低0.47元/天 解锁文章
见星揽月
关注
PASS11.0 用户指导
03-12
PASS 11.0 用户指导手册;教你如何操作PASS
文件上传漏洞靶场upload-labs学习(pass11-pass15)
AFCC_的博客(Web_Dog)
03-13 4958
0x00 Pass11 Pass11主要考察str_ireplace函数 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv",
Upload-labs文件上传漏洞(上传路径可控)——Pass11
Zichel77的博客
07-28 1404
0×00 题目概述 0×01 源代码 $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); if(in_array($file_ext,$
网安学习笔记-1 文件上传
weixin_61143354的博客
06-28 612
学习笔记
upload-labs通关Pass-11~Pass-15)
箭雨镜屋
10-10 2927
Pass-11 什么鬼,我都做好了上传不成功的准备,结果sh.php居然上传成功了。 一看Response报文,果然事情没有这么简单,后端自动把文件名中的php去掉了,文件名变成sh.了 这样的话,盲猜可以用双写绕过。这关直接在repeater中试一下,就不劳intruder大驾了。 果然,双写php之后,服务器上保存的文件名是sh.php,成功绕过黑名单过滤。 代码分析: 本关代码在文件名中出现黑名单中的字符串时,用str_ireplace()函数替换为啥也没有,但是这个替换它不.
01.upload-labs靶场通关详解1~10)
m0_72760503的博客
08-04 2565
操作系统:推荐windows(除了Pass-19必须在linux下,其余Pass都可以在windows上运行)php版本:推荐5.2.17(其他版本可能会导致部分Pass无法突破)php组件:php_gd2,php_exif(部分Pass需要开启这两个组件)apache:以moudel方式连接。
文件上传漏洞:upload-labs靶场通关
qq_68163788的博客
02-16 5304
upload-labs是一个专注于Web安全的在线靶场,旨在帮助安全研究人员和学习者提升对Web安全的理解和技能。该靶场提供了丰富的漏洞场景和挑战,涵盖了常见的Web安全漏洞类型,包括但不限于SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、文件上传漏洞等。 通过upload-labs,用户可以在真实的环境中进行漏洞挖掘和漏洞利用的实践,学习并掌握各种常见的Web安全攻防技术。靶场提供了丰富的学习资源和提示,帮助用户理解漏洞的原理和挖掘漏洞的方法,同时还提供了实时的漏洞利用演示,帮助用户更好地理解漏洞
2025最新 upload-labs(1~21) 靶场通关,超详细保姆级
热门推荐
2301_76913435的博客
03-07 1万+
介绍文件上传漏洞的实际靶场演练,upload-labs通关最新最详细教程!!!
upload-labs靶场搭建+实战(纯小白向)
最新发布
A_fish_like_sing的博客
05-26 3579
先下载phpstudy,往下翻到立即下载,下载64位后解压(路径最好不要有中文)双击exe文件下载,下载成功后打开,套件启动apache和ftp就行,然后下载靶场文件压缩包​这里有说道,下载压缩包后解压到pupstudy_pro路径中WWW路径下,解压出来的名字可能是upload-labs-master的话,需要修改一下文件名,让访问网址中的文件名和WWW路径下的对照一致,否则的话就会404,这里我发一下我的​​。
upload-labs
m0_74289463的博客
06-28 107
查看代码, substr用于截取字符串,strrpos用于找寻字符最后一次出现的位置,整体即找寻最后一次出现的“.”的位置,+1往后一位,从这个字符串开始截取直至末尾,其直观作用就是截取文件后缀。注意,其中得修改文件名为符合白名单要求的后缀,让其通过后缀的检测,此处与11关不同的是此处的save_path用的是POST请求,需修改二进制中的路径将php后的.的二进制改为00。
【网络安全upload-labs Pass-12 解题详析
等风来
08-15 5952
00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。:定义允许上传的文件扩展名数组,只允许上传 jpg、png 和 gif 文件。因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。函数从最后一个点(.)之后截取字符串,即获取文件扩展名。:检查文件扩展名是否在允许上传的扩展名数组中。:从上传的文件名中提取文件扩展名。
buuctf之文件上传漏洞(Pass1~15)
yxzrw_TW的博客
10-21 1884
文件上传漏洞笔记
文件上传漏洞之白名单
qq_68233961的博客
09-17 4115
文件上传漏洞之白名单
upload-labs-master靶场 Pass11-15通关秘诀(详解)
鱼溯的博客
08-24 400
upload-labs-master靶场 Pass11-15通关秘诀(详解)
Upload-labs靶场通关
2403_90011488的博客
04-04 1447
之前搭好了靶场,今天开始通关并写详细流程。
upload-labs通关(Pass11-Pass15)
m0_46467017的博客
08-15 892
从下面这段代码的第3和第4行可知,文件名后缀白名单检测的位置是filename参数值,而从第6行可知,本关文件最后保存的路径是由url中save_path的值和一个随机数以及通过filename传入的文件名后缀组成的。本关用getimagesize()函数获取图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度,并将其取出的文件类型信息$info[2]与文件后缀白名单$types进行对比,判断上传的文件是否合法,并将$info[2]作为上传后的文件的后缀名。文件,说明本关是白名单过滤。...
upload-labs靶场(11---20)通关攻略
Cobra的博客
09-13 2272
Pass-11-get 00截断绕过 1、直接上传.php文件,提示:只允许上传.jpg|.png|.gif类型文件! 2、查看源码,发现是白名单判断,但$img_path是直接拼接,因此可以利用%00截断绕过。 $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext; 这里使用的是php5.2.17+Apache环境 截断条件:php版本小于5.3.4,php的magic_quotes_g.
【网络安全upload靶场pass11-17思路
Filotimo_的博客
01-01 2408
本文说明了upload靶场pass11-17思路。
UPLOAD LABS | PASS 11 - 黑名单绕过(双写绕过)
Blue17 の 小窝
12-02 544
但是它过滤的方式很一般,置空,它但凡置个其它值就都会让文件失效。后会自动将其置空,反而将我们上传文件的扩展名变成了。作为文件扩展名,其检测到。
upload-labs 11(00截断)
LuckySec
11-07 2404
题目 查看源码 从代码中可以发现红线处,对上传的文件名进行重新拼接 可以通过%00进行截断上传 小提示:%00截断的条件 (1php版本必须小于5.3.4 (2)打开php的配置文件php-ini,将magic_quotes_gpc设置为Off 验证 文件成功上传! ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值