WEBshell与文件上传漏洞

本文详细介绍了文件上传漏洞的原理,包括前端JS检测绕过、MIME类型检测绕过、黑名单过滤绕过等多种攻击手段,以及%00截断、.htaccess文件利用等高级技巧。同时,讨论了Apache、IIS和Nginx等服务器的解析漏洞。最后,提出了文件上传攻击的防护措施,如限制文件执行权限、使用文件后缀白名单等。
摘要由CSDN通过智能技术生成

目录

一、文件上传漏洞的原理

二、文件上传的原理

三、文件上传攻击

1.文件上传漏洞--绕过前端js检测

 2.文件上传-绕过MIME类型检测

3.文件绕过-过滤不严格绕过

4.文件绕过-绕过黑名单检测

4.1 使用大小写绕过

4.2 使用黑名单里面没有的后缀名:php1,php2,php3、php5、phtml、asp、aspx、ascx、 ashx、 cer、 asa、 jsp、 jspx 、cdx.

4.3 特别文件名绕过

4.4  %00绕过,在许多语言函数中,处理字符串的函数中0x00被认为是终止符

4.5 .htaccess文件攻击

5.服务器文件绕过

5.1 apache中间件解析漏洞

 5.2 iis中间件

 5.3nginx漏洞解析

6.文件上传之绕过文件内容

6.1 图片码绕过

 四、文件上传攻击防护


一、文件上传漏洞的原理

如果web应用程序对上传文件的安全性没有过滤和校验,攻击者可以通过上传webshell恶意文件对服务器进行攻击 。

二、文件上传的原理

1.有文件上传功能

2.上传文件的目录能解析脚本文件

3.能访问到上传的文件

三、文件上传攻击

文件上传防护和绕过手段

1.文件上传漏洞--绕过前端js检测

由于网站客户端对文件的上传类型做了限制,不允许我们上传.php文件,我们可以通过bp抓取发送数据包,然后将数据包做改变即可

上传发现前端js有过滤,可以选择修改上传数据包上传脚本文件。

首先我们将写有一句话木马的文件后缀改为.png格式

 

查看能不能连接到该文件,使用cknife

 2.文件上传-绕过MIME类型检测

多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。标准的文件上传组件中会自动上传文件的MIME类型,但是由于MIME类型是从客户端传递的,修改也不影响文件正常运行,因此通过BURP拦截和修改MIME类型可以轻易绕过此类检测。

使用bp抓包,修改content-type类型:image/jpeg (该类型为服务器接收的类型) 

3.文件绕过-过滤不严格绕过

网站的黑名单中会写将一些.php .jsp.asp.aspx等后缀名进行过滤,但是可能过滤不全,所以我们可以使用其他可执行的文件后缀到服务器上。

 常用的一些可执行的文件脚本后缀:

・ php , php2 , php3 , php5 , phtml

・ asp , cer , asa , cdx

・ aspx , ascx , ashx・ jsp , jspx

・py

直接将文件名修改为33.phtml 

查看文件是否能连接

4.文件绕过-绕过黑名单检测

4.1 使用大小写绕过

将文件名改为PhP. 

4.2 使用黑名单里面没有的后缀名:php1,php2,php3、php5、phtml、asp、aspx、ascx、 ashx、 cer、 asa、 jsp、 jspx 、cdx.

4.3 特别文件名绕过

修改数据包里的文件名改为test. php.或者test. php (有空格)由于这种命名格式在windows系统里是不允许的。所以在绕过上传之后windows系统 会自动去掉 点和空格。Unix/Linux系统没有这个特性。

4.4  %00绕过,在许多语言函数中,处理字符串的函数中0x00被认为是终止符

例如:xxx.php%00.txt,上传是txt是合法的,但是保存到文件里时会把%00当做终止符。只保存xxx.php.

首先上传文件名为xxx.php.png格式的文件,然后抓包。 

在hex模块下,修改值

 

4.5 .htaccess文件攻击

.htaccess函数:通过.htaccess文件调用php解释器去解析一个文件名中只要包含 “aa”这个字符串的任意文件,无论你文件名是什么样子,只要包 含”aa”这个字符串,都可以被以php的方式来解析。

.htaccess 文件内容:

<FilesMatch "ljh" >SetHandler application/x-httpd-php</FilesMatch>

 注意:格式一定要写对,不然会报出:Internal Server Error

5.服务器文件绕过

5.1 apache中间件解析漏洞

个文件名为test. php. aaa. bbb. ccc的文件,Apache会从ccc的位置往 php的位置开始尝试解析,如果ccc不属于Apache能解析的后缀名,那么 Apache就会尝试去解析bbb,这样一直往前尝试,直到遇到一个能解析的扩展名为止。

我们使用cknife 连接,看能不能连接到,成功连接。

 5.2 iis中间件

新建一个文件夹,名字为任意文件名.asp ; 那么在这个文件夹里的内容全部会被当场脚本取运行。

 新建一文件名字为:任意文件名.asp;任意文件名.jpg 此文件会当成脚本运行(1.asa;1.jpg,2.cdx;2.txt)

3:服务器配置错误(put 协议) 抓取请求包,发送到repeater模块 , 修改为PUT协议写入文件

3:服务器配置错误(put 协议) 利用MOVE协议把上一步的文件tys.txt 移动重命名为 tys.asp, 移动时增加 Destination:http://192.168.3.95/tys.asp 内容为移动后内容

IIS解析漏洞

#2 IIS7.0,7.5

正常路径:uploads/1.jpg 把php文件修改后缀为jpg进行上传

黑客思路:uploads/1.jpg/任意文件名.php 访问方式

这个文件就会被当成脚本去执行。

 5.3nginx漏洞解析

正常路径:uploads/1.jpg

黑客思路:uploads/1.jpg/任意文件名.php

首先上传88.png,然后访问时再后面加上aa.php即可 

#2 对低版本的Nginx可以在任意文件名后面添加%00.php进行解析攻击

payload:uploads/1.jpg%00.php 当做正常脚本执行

6.文件上传之绕过文件内容

6.1 图片码绕过

把代码文件和图片文件进行二进制编码合并形成新的图片,进行上传. 注意2.php代码最前面需要有一个空格

cmd下执行:建议使用小图片copy /b 1.jpg+2.php=3.jpg  (注意/b后边的空格)

 

查看图片码:

将合并文件上传连接即可

 四、文件上传攻击防护

1.上传文件的存储目录不给执行权限

2.隐藏上传文件访问路径

3.文件后缀白名单,注意0x00截断攻击(PHP更新到最新版本)

4.不能有本地文件包含漏洞(include dama. jpg)

5.及时更新web应用软件避免解析漏洞攻击

 

 

 

评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一句话木马

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值