做交网站,企业招聘网,可以做行程的网站,WordPress怎么添加语言本文章提供的工具、教程、学习路线等均为原创或互联网收集#xff0c;旨在提高网络安全技术水平为目的#xff0c;只做技术研究#xff0c;谨遵守国家相关法律法规#xff0c;请勿用于违法用途#xff0c;如有侵权请联系小编处理。
环境准备#xff1a;
1.靶场搭建
下…本文章提供的工具、教程、学习路线等均为原创或互联网收集旨在提高网络安全技术水平为目的只做技术研究谨遵守国家相关法律法规请勿用于违法用途如有侵权请联系小编处理。
环境准备
1.靶场搭建
下载地址GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场
下载完成后将zip包复制进phpstudy的软件目录下/—D:\phpstudy_pro\WWW 在进行解压
解压安装完成后在该文件夹内新建一个upload的空文件 用来后续靶场上传文件使用 2.一句话木马
# 1.php → 一句话木马
?php eval($_POST[cmd]); ?# 666.php → 测试所用的phpinfo
?php phpinfo(); ?————————————————————分割线————————————————————
Pass-01
选择一个php文件发现无法上传。然后抓包发现是抓不到 说明数据没有进入后端 说明是前端验证拦截 然后我们将一句话木马1.php文件改成1.jpg格式后缀的上传然后进行抓包 然后回显页面有这个图像就说明成功上传了 去upload文件下也能看到我们上传的木马文件 Pass-02
上传一个1.php 抓包发现限制了 上传类型 Content-Type: application/octet-stream 所以我们更改其验证类型为 image/jpeg、image/png、image/gif 其中任意一种就可以 成功上传 Pass-03
提示不让上传 所以我们改一下文件后缀名成功上传
某些特定环境中某些特殊后缀仍会被当作php文件解析 php、php2、php3、php4、php5、php6、php7、pht、phtm、phtml Pass-04
这关提示中后缀名黑名单有很多 所以我们换一种方式.htaccess文件上传 .htaccess文件或者分布式配置文件全称是Hypertext Access超文本入口。提供了针对目录改变配置的方法 即在一个特定的文档目录中放置一个包含一个或多个指令的文件 以作用于此目录及其所有子目录。 首先创建一个.htaccess文件文件名就为.htaccess内容如下
AddType application/x-httpd-php .png通常用于配置 Apache Web 服务器。这条命令会让服务器将 .png 图片文件识别为 PHP 脚本并尝试使用 PHP 引擎来执行这些文件。 Pass-05
查看源码和第四关对比发现这关没有转换大小写的代码 这样我们就可以上传大小写混合的后缀名来进行绕过。上传一个phpinfo.Php文件直接上传成功。
Pass-06 老样子 看一下源码 发现 少了一行尾部去空 所以我们只需要抓包的时候在尾部加一个空格即可 Pass-07
通过源码发现本关并未对结尾点进行检测。那么这里就可以通过在后缀加上点进行绕过其实点绕过和空格绕过是一样的都是利用操作系统的特性来进行解析绕过 Pass-08
过源码发现并未对::$DATA进行检测。可以在后面添加::$DATA进行绕过 在window的时候如果文件名::$DATA会把::$DATA之后的数据当成文件流处理,不会检测后缀名且保持::$DATA之前的文件名他的目的就是不检查后缀名
Pass-09
通过源码发现本关之前所有的绕过思路都被过滤了但是通过源码发现所有的过滤都是一次的并未对其进行循环过滤。也就是说源码中提到的删除空格删除点都是只删除一次那么可以在数据包中将php后缀添加. .形成.php. .由于只验证一次所以删除一个点和一个空格后就不在删除了。 Pass-10
过源码发现若上传的文件后缀在禁止的列中那么就将后缀替换为空而这里又是只过滤一次那么就可以通过双写进行绕过。在php中再写一个php 这样 即使删掉中间的php 外层php也会自动拼接成一个新的php
Pass-11
我们可以看到img_path是通过get传参传递的那么我们不妨在这块将路径改掉改为upload/web.php%00那么后面不管是什么东西都会被截断掉然后经过move_uploaded_file函数将临时文件重新复制给我们的截断之前的文件路径当然我们还是要上传jpg文件的使得我们可以进行下面程序的运行 Pass-12
本关接受值从get变成了post它两的区别就是get会自行解码而post不会解码所以需要对%00进行解码。所以在这一关我们就需要在web.php后面加一个占位符将其16进制改为00这样控制符就出现了最后在上传文件的时候就会触发\00截断
在BS抓包中选中%00右键选择URL其次选择网址解码。 Pass-13
因为网站根目录下存在include.php 文件(文件包含漏洞) 没有的可以自行添加一下 ?php
/*
本页面存在文件包含漏洞用于测试图片马是否能正常运行
*/
header(Content-Type:text/html;charsetutf-8);
$file $_GET[file];
if(isset($file)){include $file;
}else{show_source(__file__);
}
?
然后我们制作一个图片马 进行上传 然后我们去链接一下我们的图片马 注意语法格式 http://192.168.3.222/upload-labs/include.php?fileupload//8520240728175046.gif Pass-14
和13关一样直接上传图片马即可
Pass-15
和13关一样
Pass-16
这关存在imagecreatefromjpeg()函数将我们的图片打散进行二次渲染这就会导致我们的一句话木马消失所以我们就要想办法在他没有打散的对方将我们的一句话写进去 针对不同格式的图片马 有不同的对应方式
这里我找的现成的gif 中间存在一句话木马的地方不会被函数打散 所以就按照图片马 的思路去做 Pass-17
条件竞争
也就是说如果我们上传php文件他会删除我们上传的木马。
这么看来如果我们还是上传一个图片马的话网站依旧存在文件包含漏洞我们还是可以进行利用。但是如果没有文件包含漏洞的话我们就只能上传一个php木马来解析运行了。
先上传再删除在上传到删除之间这几十毫秒之内我们的文件还是在的我们就可以访问我们上传的文件。这种就就叫条件竞争漏洞(时间竞争漏洞)这道题干好符合条件我们就利用时间竞争来做
其实就是文件套娃 我们上传文件A 让文件A被检测删除之前 去运行生成一个木马文件B 木马文件B成功生成后 文件A也被检测到然后删除 此时只留下我们要用的木马文件B了
文件A内容 ?php file_put_contents(./web.php, ?php phpinfo(); ?); ? 这段代码的作用是创建或覆盖位于当前目录下的 web.php 文件并在其中写入了一个简单的 PHP 脚本该脚本将输出 PHP 的配置信息 我们抓到包后 发送到攻击模块 清除所有payload 我们要不断重复的去上传文件 然后去访问 因为要在系统删掉之前去访问到我们的web.php 让文件在当前目录下生成我们要的木马文件 Pass-18
跟图片马一个步骤
Pass-19
上传文件时候可以选择上传文件名称 我们只需要 将上传文件名称后缀名加一个点即可成功访问 前提是靶场环境是Windows
