当前位置：首页 > news >正文

upload-labs关卡9(基于win特性data流绕过)通关思路

news 2025/12/15 2:19:47

文章目录

前言
一、靶场需要了解的知识
- 1::$data是什么
二、靶场第九关通关思路
- 1、看源码
- 2、bp抓包修改后缀名
- 3、检查是否成功上传
总结

前言

此文章只用于学习和反思巩固文件上传漏洞知识，禁止用于做非法攻击。注意靶场是可以练习的平台，不能随意去尚未授权的网站做渗透测试！！！

一、靶场需要了解的知识

1::$data是什么

从 Windows shell
命令行指定时，流的全名是“文件名:流名称:流类型”，如下例所示：“myfile.dat:stream1:$DATA”。

对于文件名合法的任何字符对于流名称也是合法的，包括空格。有关详细信息，请参阅命名文件。流类型（也称为属性类型代码）在 NTFS
文件系统内部。因此，用户无法创建新的流类型，但可以打开现有的 NTFS 文件系统类型。流类型说明符值始终以美元符号 ($) 开头。
有关流类型的列表，请参阅下文。

默认情况下，默认数据流未命名。要完全指定默认数据流，请使用“filename::$DATA”，其中 $D A T A 是流类型。这等效于 “ f i l e nam e ” 。你可以使用文件命名约定在文件中创建命名流。请注意， “$ DATA”是合法的流名称。
例如，名为“sample”的文件中名为“ $D A T A ” 的流的全名将是 “ s am pl e :$ DATA: $D A T A ” 。如果在同一个文件上创建了一个名为 “ ba r ” 的流，它的全名将是 “ s am pl e : ba r :$ DATA”。

在创建和处理文件名为单字符的文件时，请在文件名前加上句点和反斜杠 (.)，或者使用完全限定的路径名。这样做的原因是 Windows
会将单字符文件名视为驱动器号。当使用相对路径指定驱动器号时，驱动器号与路径之间用冒号分隔。
如果单字符名称是驱动器号还是文件名存在歧义，则如果冒号后面的字符串是有效路径，则 Windows 会假定它是驱动器号，即使驱动器号无效。

总得来说就是我们可以给文件后缀名加上::$data，像1.php::$data这样就能绕过黑名单，而且上传到win服务器时它会解析成1.php

二、靶场第九关通关思路

1、看源码
2、bp抓包修改后缀名
3、检查是否成功上传

1、看源码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {if (file_exists(UPLOAD_PATH)) {$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");$file_name = trim($_FILES['upload_file']['name']);$file_name = deldot($file_name);//删除文件名末尾的点$file_ext = strrchr($file_name, '.');$file_ext = strtolower($file_ext); //转换为小写$file_ext = trim($file_ext); //首尾去空if (!in_array($file_ext, $deny_ext)) {$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;if (move_uploaded_file($temp_file, $img_path)) {$is_upload = true;} else {$msg = '上传出错！';}} else {$msg = '此文件类型不允许上传！';}} else {$msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';}
}

看源码发现，与上一关不同的是，这关有了删除末尾的点，没有了去除字符串::$data的验证。所以我们通过抓包修改后缀名加上::$data就行了

2、bp抓包修改后缀名

这里我上传123.php文件，然后抓包修改为123.php::$data(如图所示)
在这里插入图片描述

3、检查是否成功上传

发现成功上传(如图所示)
在这里插入图片描述

在这里插入图片描述
注意访问文件地址得删掉::$data，因为win处理文件把它去掉了。
如果上传的是一句话木马就能连接菜刀了。

总结

这一关其实也是利用window特性，由于文件上传没有对data流验证，导致可以上传::$data的后缀名进行绕过黑名单。此文章是小白自己为了巩固文件上传漏洞而写的，大佬路过请多指教！

upload-labs关卡9(基于win特性data流绕过)通关思路

文章目录前言一、靶场需要了解的知识1::$data是什么二、靶场第九关通关思路1、看源码2、bp抓包修改后缀名3、检查是否成功上传总结前言此文章只用于学习和反思巩固文件上传漏洞知识，禁止用于做非法攻击。注意靶场是可以练习的平台，不能随意去尚未授…...

编程日记 2023/11/19 16:01:51

C++过河卒问题

#include <iostream> #include <cstring> using namespace std;int board[20][20]; // 棋盘 int dp[20][20][20][20]; // 动态规划数组int main() {int x0, y0, x1, y1;cin >> x0 >> y0 >> x1 >> y1; // 输入卒的起点和终点memset(board,…...

编程日记 2023/11/19 16:00:50

【机器学习12】集成学习

1 集成学习分类 1.1 Boosting 训练基分类器时采用串行的方式， 各个基分类器之间有依赖。每一层在训练的时候， 对前一层基分类器分错的样本， 给予更高的权重。测试时， 根据各层分类器的结果的加权得到最终结果。 1.2 Bagging …...

编程日记 2023/11/19 15:59:49

nodeJs基础笔记

title: nodeJs基础笔记 date: 2023-11-18 22:33:54 tags: 1. Buffer 1. 概念 Buffer 是一个类似于数组的对象 ，用于表示固定长度的字节序列。 Buffer 本质是一段内存空间，专门用来处理二进制数据。 2. 特点 Buffer 大小固定且无法调整Buffer 性能…...

编程日记 2023/11/19 15:58:48

Skywalking流程分析_9(JDK类库中增强流程)

前言之前的文章详细介绍了关于非JDK类库的静态方法、构造方法、实例方法的增强拦截流程，本文会详细分析JDK类库中的类是如何被增强拦截的回到最开始的SkyWalkingAgent#premain try {/** 里面有个重点逻辑把一些类注入到Boostrap类加载器中为了解决Bootstrap类…...

编程日记 2023/11/19 15:57:47

矩阵的QR分解

矩阵的QR分解 GramSchmidt 设存在 B { x 1 , x 2 , … , x n } \mathcal{B}\left\{\mathbf{x}_{1},\mathbf{x}_{2},\ldots,\mathbf{x}_{n}\right\} B{x1,x2,…,xn}在施密特正交化过程中 q 1 x 1 ∣ ∣ x 1 ∣ ∣ q_1\frac{x_1}{||x_1||} q1∣∣x1∣∣x1 q k …...

编程日记 2023/11/19 15:56:45

STL总结

STL vector 头文件<vector> 初始化,定义,定义长度，定义长度并且赋值，从数组中获取数据返回元素个数size()判断是否为空empty()返回第一个元素front()返回最后一个数back()删除最后一个数pop_back()插入push_back(x)清空clear()begin()end()使用s…...

编程日记 2023/11/19 15:53:42

资深测试总结，现在软件测试有未来吗？“你“的底气在哪里？

目录：导读前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结（尾部小惊喜） 前言 1、为什么会有 “…...

编程日记 2023/11/19 15:52:42

Scalable Exact Inference in Multi-Output Gaussian Processes

Orthogonal Instantaneous Linear Mixing Model TY are m-dimensional summaries，ILMM means ‘Instantaneous Linear Mixing Model’，OILMM means ‘Orthogonal Instantaneous Linear Mixing Model’ 辅助信息作者未提供代码...

编程日记 2023/11/19 15:51:41

sqli-labs(Less-3)

1. 通过构造id1’ 和id1’) 和id1’)–确定存在注入可知原始url为 id(‘1’) 2.使用order by 语句猜字段数 http://127.0.0.1/sqlilabs/Less-3/?id1) order by 4 -- http://127.0.0.1/sqlilabs/Less-3/?id1) order by 3 --3. 使用联合查询union select http://127.0.0.1…...

编程日记 2023/11/19 15:50:40

集合框架面试题

一、集合容器的概述 1. 什么是集合集合框架：用于存储数据的容器。集合框架是为表示和操作集合而规定的一种统一的标准的体系结构。任何集合框架都包含三大块内容： 对外的接口、接口的实现和对集合运算的算法。接口：表示集合的抽象数据…...

编程日记 2023/11/19 15:49:39

【LeetCode刷题日志】225.用队列实现栈

🎈个人主页：库库的里昂 🎐C/C领域新星创作者 🎉欢迎 👍点赞✍评论⭐收藏✨收录专栏：LeetCode 刷题日志🤝希望作者的文章能对你有所帮助，有不足的地方请在评论区留言指正，…...

编程日记 2023/11/19 15:48:38

【JavaScript】fetch 处理流式数据，实现类 chatgpt 对话

本文只包含最基础的请求后端大佬给得对话接口，大部分模型的传参是差不多的，核心还是如何处理 fetch 获取的流数据 import { defineStore } from pinia; import { ElMessage } from element-plus;type Role system | user | assistant; export interfac…...

编程日记 2023/11/19 15:47:37

收发电子邮件

电子邮件是Internet提供的又一个重要服务项目。早在1987年9月20日，中国首封电子邮件就是从北京经意大利向前联邦德国卡尔斯鲁厄大学发出的，在中国首次实现了与Internet的连接，使中国成为国际互联网大家庭中的一员。现在随着Internet的迅速发展…...

编程日记 2023/11/19 15:46:36

sql13（Leetcode570至少有5名直接下属的经理）

代码： 脑子记不住语法全靠试.. # Write your MySQL query statement below select b.name from (select managerId,count(managerId) as numfrom Employeegroup by managerId ) a left join Employee b on a.managerIdb.id where a.num>5 and b.name is not N…...

编程日记 2023/11/19 15:45:34

15分钟，不，用模板做数据可视化只需5分钟

测试显示，一个对奥威BI软件不太熟悉的人来开发数据可视化报表，要15分钟，而当这个人去套用数据可视化模板做报表，只需5分钟！ 数据可视化模板是奥威BI上的一个特色功能板块。用户下载后更新数据源，立即就能获…...

编程日记 2023/11/19 15:44:33

C 语言字符串函数

C 语言字符串函数在本文中，您将学习使用诸如gets()，puts，strlen()等库函数在C中操作字符串。您将学习从用户那里获取字符串并对该字符串执行操作。您通常需要根据问题的需要来操作字符串。大多数字符串操作都可以自定义方法完成&#xff…...

编程日记 2023/11/19 15:43:32

nvm安装详细教程（卸载旧的nodejs，安装nvm、node、npm、cnpm、yarn及环境变量配置）

文章目录一、完全卸载旧的nodejs1、打开系统的控制面板，点击卸载程序，卸载nodejs（1）打开系统的控制面板，点击程序下的卸载程序（2）找到node.js，鼠标右击出现下拉框，点卸载…...

编程日记 2023/11/19 15:42:30

详细步骤记录：持续集成Jenkins自动化部署一个Maven项目

Jenkins自动化部署提示：本教程基于CentOS Linux 7系统下进行 Jenkins的安装 1. 下载安装jdk11 官网下载地址：https://www.oracle.com/cn/java/technologies/javase/jdk11-archive-downloads.html 本文档教程选择的是jdk-11.0.20_linux-x64_bin.tar.g…...

编程日记 2023/11/19 15:40:26

Python学习（一）基础语法

文章目录 1. 入门1.1 解释器的作用1.2 下载1.3 基础语法输入输出语法与引号注释：变量： 数据类型与四则运算数据类型四则运算数据类型的查看type()数据类型的转换int()、int()、float() 流程控制格式化输出循环与遍历逻辑运算符list遍历字典dict遍历跳出…...

编程日记 2023/11/19 15:38:23

后进先出（LIFO）详解

LIFO 是 Last In, First Out 的缩写，中文译为后进先出。这是一种数据结构的工作原则，类似于一摞盘子或一叠书本： 最后放进去的元素最先出来 -想象往筒状容器里放盘子： （1）你放进的最后一个盘子&#xff08…...

编程新知 2025/12/11 15:10:17

龙虎榜——20250610

上证指数放量收阴线，个股多数下跌，盘中受消息影响大幅波动。深证指数放量收阴线形成顶分型，指数短线有调整的需求，大概需要一两天。 2025年6月10日龙虎榜行业方向分析 1. 金融科技代表标的：御银股份、雄帝科技驱动…...

编程新知 2025/12/14 10:36:13

Java 语言特性(面试系列2)

一、SQL 基础 1. 复杂查询 （1）连接查询（JOIN） 内连接（INNER JOIN）：返回两表匹配的记录。 SELECT e.name, d.dept_name FROM employees e INNER JOIN departments d ON e.dept_id d.dept_id; 左…...

编程新知 2025/10/24 14:20:29

从零开始打造 OpenSTLinux 6.6 Yocto 系统（基于STM32CubeMX）（九）

设备树移植和uboot设备树修改的内容同步到kernel将设备树stm32mp157d-stm32mp157daa1-mx.dts复制到内核源码目录下源码修改及编译修改arch/arm/boot/dts/st/Makefile，新增设备树编译 stm32mp157f-ev1-m4-examples.dtb \stm32mp157d-stm32mp157daa1-mx.dtb修改…...

编程新知 2025/12/8 23:53:16

leetcodeSQL解题：3564. 季节性销售分析

leetcodeSQL解题：3564. 季节性销售分析题目： 表：sales ---------------------- | Column Name | Type | ---------------------- | sale_id | int | | product_id | int | | sale_date | date | | quantity | int | | price | decimal | -…...

编程新知 2025/10/5 19:58:27