今天继续给大家介绍渗透测试相关知识,本文主要内容是upload-labs靶场通关指南(20-21关)。
免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!
一、第20关
(一)代码分析
第20关关键代码及提示如下所示:
(二)通关思路
从上述代码以及提示可以看出,在本关中,我们上传的文件的文件名是通过采取post的方式上传save_name参数来决定的,并且采用了黑名单的方式来验证,尽管在本题中黑名单比较完善,但是由于对文件名中的点、空格等处理不到位,因此我们可以借助这一漏洞,上传一个名为exp.php.的文件,这样当该文件存入系统时,系统会自动删除文件最后的点,从而使得该文件的后缀名变化为php。
(三)通关实战
根据以上思路,我们上传一个名为exp.php.的文件,文件可以成功上传,上传后的文件如下所示:
我们可以访问我们上传后的文件,发现文件可以被作为PHP代码来解析,结果如下所示:
二、第21关
(一)代码分析
本关关键代码和提示如下所示:
(二)通关思路
在上述代码中,涉及到以下几个关键函数:
1、explode()
explode()函数会以一个字符串去分割另一个字符串,并将字符串分割后的结果存储成一个数组。在上述代码中,该函数的使用如下所示:
explode('.', strtolower($file))
上述命令的执行结果是将file变量变化为小写后,按照其中的点号分割成多个数组。
2、reset()
reset()函数会将数组中的指针指向数组中的第一个元素,并输出第一个元素的值。
3、count()
count()函数可以返回数组中元素的个数。
本关对上传文件的验证有两个单独的方面组成,第一个是验证上传文件的MIME参数,关于这一点,我们可以通过手动修改MIME参数的方式来进行绕过。第二点是对上传文件的文件名进行检查,本题中对文件名的处理逻辑过程如下:
首先,将文件名按照点号来进行分割,最终产生一个数组,然后将数组中第一个元素和最后一个元素提取出来,中间加点号,拼接后形成新的文件名。这样一来,我们就无法使用点号来构造异常的数据包,从而绕过对文件后缀的检验了。
通过本关的思路,我们可以从数组入手,不依赖其本身的数组划分机制,而是我们本身上传的而save_name参数就是一个数组,这样就可以使得我们更加灵活的构造payload了。
(三)通关实战
本关的通关思路有两种,第一种是利用count()函数。count()函数有一个特性,即如果数组中存在空的项,那么在计算数组个数的时候,就不会把空的项计算在内。因此,我们就完全可以利用这一特性。借助空项,来使得在进行函数名拼接的时候,不拼接最后一项,而是拼接中间一项。
我们可以构造如下save_name数组,如:
save_name[0]=“exp”
save_name[1]为空
save_name[2]=“php”
save_name[3]=“jpg”
这样,由于count()函数的特性,最后被拼接的是第0项和第2项,这样文件的后缀名就为php了,这种拼接方式构造的数据包如下所示:
或者是如下方式构造:
save_name[0]=“exp.php”
save_name[1]为空
save_name[2]=“jpg”
可以简单分析得到,这样构造的数据包也最终拼接的是第0项和第1项,也可以达到预期的效果,这样的数据包构造如下所示:
第二种方式,则是%00截断。即我们利用%00截断的方式,在数组的第一个元素中,添加一个%00的字符,这样后面无论添加什么内容,都会被舍弃掉,我们就可以把我们想要的文件名和后缀名添加到%00字符的前面了。
这样构造的数据包如下所示:
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200