upload-labs第11~12关 00截断

Bertha 。 2023-03-01 10:50 46阅读 0赞

## 前言 ##

![在这里插入图片描述][20200813110058235.png_pic_center]

0x：16进制表示  
00：表示0  
0x00：就是代表16进制的0，在ASCII码里代表null。

有的函数在处理这个字符时，会当做结束符

%00 和 00 是一样的，只是在get提交时，经过url编码后，00就成了%00

## 前提条件： ##

`php 版本 < 5.3.4且php的参数magic_quotes_gpc必须关闭`  
（但是在php7.x的部分高版本里面也有这个漏洞）

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center]

## 第十一关 ##

查看提示：  
![在这里插入图片描述][20200724155747358.png]  
可以用%00进行截断

因为上传的表单中有一个enctype的属性，并且需要enctype=“multipart/form-data” (不对表单中数据进行编码)，path大多数都是存放在表单中的，因此需要在数据包中进行urldecode操作使%00变成字符串结束符号。

通过Burp Suite将`save_path=../upload/ HTTP/1.1`使用%00进行截断-> `save_path=../upload/filename.php%00 HTTP/1.1`

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70]

## 第十二关 ##

同样利用%00进行截断

利用ASCII：American Standard Code Information Inexchange[美国标准信息码交换]

1、首先编辑一个.php文件，将其上传的同时修改后缀名为.jpg，文件类型修改为：image/jpeg  
2、 在这个位置加上`234.php+`变成 `../upload/234.php+`  
然后到到 十六进制 那一栏里找到`+`代表的`2b`，改成00  
![在这里插入图片描述][20200724164710547.png]  
![在这里插入图片描述][20200724164744966.png]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 1]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 2]

注意：此处请参见ASCII码对应的特殊符号的字符编码，比如此处使用+代表'2b'或者a代表空格。

## 第十三关 ##

## 第十四关 ##

## 第十五关 ##

## 第十六关 ##

## 第十七关 ##

[20200813110058235.png_pic_center]: /images/20230208/ead3ce87a71444c7ad391ddb975a8985.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center]: /images/20230208/df0f83ac63e34ce280832293f8289a2f.png
[20200724155747358.png]: /images/20230208/6f69a63ae51f4495b49f38a40936f6e7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70]: /images/20230208/4a4ac447f3384918b5bd27749ee39fe1.png
[20200724164710547.png]: /images/20230208/7d5e58546b8c4b2bbaab3a347bf75587.png
[20200724164744966.png]: /images/20230208/cdde36bf4be248c3b3699d08d94a5df5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20200724164114152.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/2020072416423175.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ==,size_16,color_FFFFFF,t_70