收集整理了一份《2024年最新物联网嵌入式全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升的朋友。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人
都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
- 还可以链接数据库
- 前提: 你需要知道数据库的账号和密码
- 还有一个拓展功能,插件市场。
- 插件市场里面可以选择安装一些常见的插件。比如说存活扫描之类的等等。
1.6 拓展思考
- 我们上面讲了这么多,这个时候有些同学可能就会有疑问了。
1.6.1 思考一:
- 如果去掉一句话木马中的错误运算符
@会产生怎样的效果呢? - 那我们现在就来尝试一下:
- 可以看到会出现报错信息。
1.6.2 思考二:
- 大马跟小马有什么区别呢?
- 小马的代码量小,但是运行的时候需要环境。功能单一且操作复杂。
- 大马的功能强大,但是限制多(比如说会有很多限制函数),代码量大。也不是很好用。
二、文件上传漏洞概述
2.1 随处可见的文件上传功能
- 大部分站点都具有
文件上传功能,例如头像更改,文章编辑,附件上传等等。
2.2 文件上传功能背后的业务逻辑是什么?
- 文件上传的这个功能是如何实现的呢?
- 文件上传功能的作用是将
本地文件上传至服务器上进行保存。 - 当我们找到上传的入口,上传文件之后。
- 可能会回显文件上传的路径,如果回显了文件上传路径,那么我们就可以根据回显的文件上传路径进行访问,那么我们就可以在浏览器中访问到服务器上的这个文件。
可以尝试用pickchu靶场进行复现。- PikaChu_不安全的文件上传漏洞
- 这里的复现过程,我就不一一赘述了。感兴趣的大家可以访问上面的链接。
2.3 任意文件上传的安全风险
- 假设文件上传功能没有对上传的文件进行限制,可能会引发哪些安全风险?
- 如果是对方是LAMP架构,是否能上传PHP的WebShell到服务端上,然后通过访问上传后的文件地址,从而执行WebShell中的代码。达到控制对方服务器的目的。
- 实验演示:
- 让我们
禁用JS来跳过验证来上传一句话木马
- 上传成功之后,尝试访问木马,访问成功之后来验证一下,尝试返回
phpinfo的信息。返回信息成功之后,让我们挂上蚁剑。
- 来我们尝试来链接上蚁剑,链接上之后就能就能干我们想要的操作了。
2.4 什么是文件上传漏洞
- 文件上传漏洞是指文件上传功能
没有对上传的文件做合理严谨的过滤,导致用户可以利用此功能,上传能被服务端解析执行的文件,并通过此文件获得执行服务端命令的能力。
三、文件上传漏洞绕过
3.1 文件上传的验证机制有哪些
- 客户端JavaScript验证
- 服务端MIME类型验证
- 服务端文件扩展名验证( 黑名单、 白名单 )
- 服务器文件内容验证 ( 文件头(文件幻数) 、文件加载检测 )
3.1.1 客户端JavaScript验证
- 目的: 对上传文件的文件格式进行一个验证
- 客户端JavaScript验证验证的机制
打开upload-labs 靶场第一题 - JS检查- 源码分析
<?php
include '../config.php';
include '../head.php';
include '../menu.php';
$is\_upload = false;
$msg = null;
if (isset($\_POST['submit'])) {
if (file\_exists(UPLOAD\_PATH)) {
$temp\_file = $\_FILES['upload\_file']['tmp\_name'];
//取出文件上传后临时存储的文件名
$img\_path = UPLOAD\_PATH . '/' . $\_FILES['upload\_file']['name'];
//生成一个新的文件存储路径,文件名保持文件上传前的文件名
if (move\_uploaded\_file($temp\_file, $img\_path)){
//move\_uploaded\_file函数把上传的文件移动到新的位置,成功则返回true,失败则返回false
$is\_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = UPLOAD\_PATH . '文件夹不存在,请手工创建!';
}
}
?>
- 这里先是包含几个文件,然后出现了一些新的函数
file_exists函数检查文件或目录是否存在。如果指定的文件或目录存在则返回 TRUE,否则返回 FALSE。- 而
UPLOAD_PATH这个常量在config.php文件中,有这么一段代码define("UPLOAD_PATH", "../upload");,进行了设置。 - 那这个
$_FILES['upload_file']['tmp_name']又是哪儿冒出来的呢,upload_file就是文件上传的表单的名字,如下图
- 这里是
$_FILES中的那些参数:
$\_FILES这个变量用与上传的文件参数设置,是一个多维数组
数组的用法就是 $\_FILES['key']['key2'];
$\_FILES['upfile']是你表单上传的文件信息数组,upfile是文件上传字段,在上传时由服务器根据上传字段设定。
$\_FILES['upfile']包含了以下内容:
$\_FILES['upfile']['name'] 客户端文件的原名称。
$\_FILES['upfile']['type'] 文件的 MIME 类型,需要浏览器提供该信息的支持,例如"image/gif"。
$\_FILES['upfile']['size'] 已上传文件的大小,单位为字节。
$\_FILES['upfile']['tmp\_name'] 文件被上传后在服务端储存的临时文件名。
$\_FILES['upfile']['error'] 和该文件上传相关的错误代码。
- 下面这段js代码定义了检查上传文件的函数
<script type="text/javascript">
function checkFile() {
var file = document.getElementsByName('upload\_file')[0].value;
//获取到文件名
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
var allow_ext = ".jpg|.png|.gif";
//定义允许上传的文件类型
var ext_name = file.substring(file.lastIndexOf("."));
//提取上传文件的类型。
//通过lastIndexOf取到“.”的索引,再使用substring函数截取 .后缀名
if (allow_ext.indexOf(ext_name) == -1) {
//如果 allow\_ext 中没有 ext\_name字符串,则返回-1
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
//判断上传文件类型是否允许上传
}
</script>
- 推荐两个关于JS的浏览器插件
- 关于禁用JS的两个浏览器插件,
个人倾向性于第一个,我觉得可以选择禁用JS简单快捷高效,第二个的话功能比较多一些,但是也会禁用掉正常页面的JS
3.1.1.1 绕过客户端JavaScript验证的方法
- 方法一: 修改JavaScript去修改其中关键的检测函数,或者直接通过插件禁用JavaScript。
- 方法二: 直接发送请求包,通过Burp抓到正常上传的请求报文后,修改报文的内容,在直接通过Burp发送,便跳过了网页中JS的验证过程。
- 修改一句话木马文件,将文件格式改成允许上传的文件格式。
- 进行上传文件,使用BP拦截数据包。
- 将抓取到的数据包中的文件格式修改回
php、再进行发送,从而实现文件上传
- 后续的验证操作,跟上面木马利用一样。
- 主要就是介绍了一下前端的验证,以及文件上传可以干个啥事。这一关希望大家记住一句话
“所有前端的验证机制都是不安全的”,因为前端的东西是用户可控制的。
3.2 服务端MIME类型验证
- MIME类型是描述消息
内容类型的因特网标准。
- 利用Burp抓包,将报文中的Content-Type改成允许的类型
- Content-Type: image/gif
- Content-Type: image/jpg
- Content-Type: image/png
打开upload-labs 靶场第二题 - JS检查- 源码分析
$is\_upload = false;
$msg = null;
if (isset($\_POST['submit'])) {
if (file\_exists(UPLOAD\_PATH)) {
if (($\_FILES['upload\_file']['type'] == 'image/jpeg') || ($\_FILES['upload\_file']['type'] == 'image/png') || ($\_FILES['upload\_file']['type'] == 'image/gif')) {
$temp\_file = $\_FILES['upload\_file']['tmp\_name'];
$img\_path = UPLOAD\_PATH . '/' . $\_FILES['upload\_file']['name'];
if (move\_uploaded\_file($temp\_file, $img\_path)) {
$is\_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = UPLOAD\_PATH.'文件夹不存在,请手工创建!';
}
}
- 可以看到,其实并没有什么特别之处,就是使用了
$_FILES['upload_file']['type']获取到Content-Type字段,并进行比较,如果是那三种类型就继续向下执行,否则进行提示。
可以尝试用pickchu靶场进行复现。- PikaChu_不安全的文件上传漏洞
- 这里的复现过程,我就不一一赘述了。感兴趣的大家可以访问上面的链接。
3.3 服务器文件内容验证-文件头
- 图片格式往往不是根据文件后缀名去做判断的。文件头是文件开头的一段二进制,不同的图片类型,文件头是不同的。文件头又称文件幻数。
- 常见文件幻数
JPG: FF D8 FF EO 00 10 4A 46 49 46.GIF:47 49 46 3839 61(GIF89a).PNG:89 50 4E 47
3.3.1 绕过服务器文件内容验证-文件头
打开upload-labs 靶场第十三题 - 图片马绕过- 源码分析
function getReailFileType($filename){
$file = fopen($filename, "rb");
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("C2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch($typeCode){
case 255216:
$fileType = 'jpg';
break;
case 13780:
$fileType = 'png';
break;
case 7173:
$fileType = 'gif';
break;
default:
$fileType = 'unknown';
}
return $fileType;
}
$is\_upload = false;
$msg = null;
if(isset($\_POST['submit'])){
$temp\_file = $\_FILES['upload\_file']['tmp\_name'];
$file\_type = getReailFileType($temp\_file);
if($file\_type == 'unknown'){
$msg = "文件未知,上传失败!";
}else{
$img\_path = UPLOAD\_PATH."/".rand(10, 99).date("YmdHis").".".$file\_type;
if(move\_uploaded\_file($temp\_file,$img\_path)){
$is\_upload = true;
} else {
$msg = "上传出错!";
}
}
}
- 方法一: 伪造文件头绕过方法
- 方法二: 利用服务器将木马文件解析成了图片文件,因此向其发送执行该文件的请求时,服务器只会返回这个“图片”文件,并不会执行相应命令。
- 利用 文件包含漏洞 可以将图片格式的文件当做php文件来解析执行:
http://127.0.0.1/pikachu/vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/2021/03/20/9439796055e7a8d1a39396276569.jpg&submit=提交查询 - 模板:
http://127.0.0.1/pikachu/vul/fileinclude/fi_local.php?filename=../../unsafeupload/上传文件的回显路径&submit=提交查询
3.3.2 如何生成图片木马:
- 在路径下准备好一句话木马.php和一张图片 .png (或者 .jpg )
- 输入系统指令:
copy 一张图片.png/b+一句话木马.php/a 生成图片名称.png- 这样图片木马就合成好了
3.4 服务器文件扩展名验证-黑名单
- 服务器文件扩展名验证-黑名单的原理
3.4.1 后缀名大小写绕过
- 后缀名大小写绕过原理:
服务端没有将后缀名转换为统一格式进行比对,导致可以上传后缀为pHp的文件,又因为Windows操作系统大小写不敏感,所以.pHp扔回被当成PHP文件解析。
$is\_upload = false;
$msg = null;
if (isset($\_POST['submit'])) {
if (file\_exists(UPLOAD\_PATH)) {
$deny\_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file\_name = trim($\_FILES['upload\_file']['name']);
$file\_name = deldot($file\_name);//删除文件名末尾的点
$file\_ext = strrchr($file\_name, '.');
$file\_ext = str\_ireplace('::$DATA', '', $file\_ext);//去除字符串::$DATA
$file\_ext = trim($file\_ext); //首尾去空
if (!in\_array($file\_ext, $deny\_ext)) {
$temp\_file = $\_FILES['upload\_file']['tmp\_name'];
$img\_path = UPLOAD\_PATH.'/'.date("YmdHis").rand(1000,9999).$file\_ext;
if (move\_uploaded\_file($temp\_file, $img\_path)) {
$is\_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD\_PATH . '文件夹不存在,请手工创建!';
}
}
- 通过源代码我们可以发现,黑名单里虽然过滤的很全面,但是在下面的后缀名处理之中却出现了纰漏,没有将后缀名转换为小写。
$file\_ext = strtolower($file\_ext); //转换为小写
- 这样的话,我们就可以进行大小写绕过了。首先来说,直接上传后缀名为
.pHP的文件成功。
3.4.2 修改后缀名绕过?
- 源码分析
$is\_upload = false;
$msg = null;
if (isset($\_POST['submit'])) {
if (file\_exists(UPLOAD\_PATH)) {
$deny\_ext = array('.asp','.aspx','.php','.jsp');
$file\_name = trim($\_FILES['upload\_file']['name']);
$file\_name = deldot($file\_name);//删除文件名末尾的点
$file\_ext = strrchr($file\_name, '.');
$file\_ext = strtolower($file\_ext); //转换为小写
$file\_ext = str\_ireplace('::$DATA', '', $file\_ext);//去除字符串::$DATA
$file\_ext = trim($file\_ext); //收尾去空
if(!in\_array($file\_ext, $deny\_ext)) {
$temp\_file = $\_FILES['upload\_file']['tmp\_name'];
$img\_path = UPLOAD\_PATH.'/'.date("YmdHis").rand(1000,9999).$file\_ext;
if (move\_uploaded\_file($temp\_file,$img\_path)) {
$is\_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD\_PATH . '文件夹不存在,请手工创建!';
}
}
- 用黑名单不允许上传
.asp,.aspx,.php,.jsp后缀的文件 - 但可以上传
.phtml .phps .php5 .pht - 前提是apache的httpd.conf中有如下配置代码
AddType application/x-httpd-php .php .phtml .phps .php5 .pht
- 当我们修改文件后缀名之后,可以发现到文件正常上传成功。
- 我们从
RAW包中可以查找到文件上传的位置。
- 我们可以在浏览器中进行构建URL(就是构建一下访问地址)进行访问。
- 构建的URL:
http://127.0.0.1/upload/upload/202105181219104196.php5 - URL模板:
http://127.0.0.1/upload/文件上传路径 该URL模板只适用该案例
3.4.3 重写绕过
- 服务端将
黑名单的后缀名替换为空,但仅进行一次。上传.phphpp后缀,替换php一次为空,则后缀
$is\_upload = false;
$msg = null;
if (isset($\_POST['submit'])) {
if (file\_exists(UPLOAD\_PATH)) {
$deny\_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file\_name = trim($\_FILES['upload\_file']['name']);
$file\_name = str\_ireplace($deny\_ext,"", $file\_name);
$temp\_file = $\_FILES['upload\_file']['tmp\_name'];
$img\_path = UPLOAD\_PATH.'/'.$file\_name;
if (move\_uploaded\_file($temp\_file, $img\_path)) {
$is\_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = UPLOAD\_PATH . '文件夹不存在,请手工创建!';
}
}
3.4.4 特殊可解析后缀绕过
黑名单规则不严谨,在某些特定环境中某些特殊后缀名仍会被当做PHP文件解析。phplphp2/php3/php4lphp5/php6lphp7/phtlphtm/phtml- 基于debian和ubuntu的apt-get安装apache,默认对于文件的解析规则如下。
3.4.5 .htaccess绕过
- 在apache里,这个文件作为一个配置文件,可以用来控制所在目录的访问权限以及解析设置。即是,
可以通过设置可以将该目录下的所有文件作为php文件来解析 .htaccess可以写入apache配置信息,改变当前目录以及子目录的Apache配置信息。- 前提条件: 配置上允许.htaccess生效
Apache开启rewrite模块
.apache配置文件为AllowOverride All(默认为None)
- 方法一: 所有jpg后祭都会背当做PHP解析
- AddType application/x-httpd-php.jpg
- 方法二: 带有jpg关键字会被当岗PHP解析
<FilesMatch "sec.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
3.4.6 利用操作系统特性-windos
- 利用
window对于文件和文件名的限制,以下字符放在结尾时,不符合操作系统的命名规范,在最后生成文件时,字符会被自动去除。
- 源码分析:
- 第一种:
对应upland第6题
$is\_upload = false;
$msg = null;
if (isset($\_POST['submit'])) {
if (file\_exists(UPLOAD\_PATH)) {
$deny\_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file\_name = $\_FILES['upload\_file']['name'];
$file\_name = deldot($file\_name);//删除文件名末尾的点
$file\_ext = strrchr($file\_name, '.');
$file\_ext = strtolower($file\_ext); //转换为小写
$file\_ext = str\_ireplace('::$DATA', '', $file\_ext);//去除字符串::$DATA
if (!in\_array($file\_ext, $deny\_ext)) {
$temp\_file = $\_FILES['upload\_file']['tmp\_name'];
$img\_path = UPLOAD\_PATH.'/'.date("YmdHis").rand(1000,9999).$file\_ext;
if (move\_uploaded\_file($temp\_file,$img\_path)) {
$is\_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件不允许上传';
}
} else {
$msg = UPLOAD\_PATH . '文件夹不存在,请手工创建!';
}
}
- 这题没有对后缀名进行去空,因此可以在后缀名加空格绕过
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上物联网嵌入式知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、电子书籍、讲解视频,并且后续会持续更新
e {
$msg = ‘上传出错!’;
}
} else {
$msg = ‘此文件不允许上传’;
}
} else {
$msg = UPLOAD_PATH . ‘文件夹不存在,请手工创建!’;
}
}
* **这题没有对后缀名进行去空,因此可以在后缀名加空格绕过**
[外链图片转存中...(img-gDwKUVhq-1715645222392)]
[外链图片转存中...(img-M1rLQDvy-1715645222395)]
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上物联网嵌入式知识点,真正体系化!**
**由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、电子书籍、讲解视频,并且后续会持续更新**
**[如果你需要这些资料,可以戳这里获取](https://bbs.csdn.net/topics/618679757)**
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
