文件上传绕过总结

最新推荐文章于 2024-05-13 21:19:30 发布
最新推荐文章于 2024-05-13 21:19:30 发布
阅读量1.1k 收藏 7
点赞数 1
分类专栏: CheatSheet 文章标签: 文件上传
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cynthrial/article/details/89359570
版权

文件上传绕过总结

前言

最近也是在学习文件上传漏洞的相关知识,简单记录总结一下自己学习成果,个人水平有限,难免有遗漏和不足,学习的也是比较浅显的基础知识,也是希望在以后的实战中继续学习进步

参考

upload-labs文件上传靶场
文件上传漏洞(绕过姿势)

客户端JS验证

一般是JS校验后缀名,校验通过之后才会发送请求
绕过方法:
1.禁用js
2. 改文件后缀为合法后缀绕过JS客户端之后BURP抓包改包

服务端校验

检查后缀

黑名单

判断是不是黑名单可以通过修改任意文件后缀看能否
Windows server特性

1.点绕过
windows解析文件名最后的.会自动去掉

2.空格绕过
windows解析文件名最后的【空格】也会自动去掉

3.ADS流
ads流是ntfs文件系统的特性,常常被用来做木马的隐藏之类的,例如: 1.txt::$DATA
这样的寄生文件有时候也是可以绕过文件后缀黑名单的检查的

黑名单不全

绕过方法:
(1)找黑名单扩展名的漏网之鱼 - 比如 asa 和 cer 之类
(2)可能存在大小写绕过漏洞 - 比如 aSp 和 pHp 之类
能被解析的文件扩展名列表:
jsp jspx jspf
asp asa cer aspx
php php php3 php4
exe exee

双写绕过

有时候在服务端接收文件之后会对特定的文件后缀做删除或者替换处理,这个时候可能就存在双写绕过例如服务端如果是删除php字段的话,可以构造文件名phphpp 后缀的文件,这样匹配替换掉一个php之后文件后缀就是php了。

白名单

content-type字段校验:

这个是校验mime类型的,如image/gif就是gif格式,绕过方法也很简单,修改http报头的content-type字段就可以很容易的绕过去了。

解析漏洞导致的上传

可以参考:https://thief.one/2016/09/21/服务器解析漏洞/

  1. 空字节截断目录路径
    例: 原上传路径为/upload, 只允许上传图片jpg格式
    绕过方法:
    step1: php一句话木马伪装成jpg格式(改后缀名为jpg)上传,burp拦截
    step2: 修改报头上传的路径地址为/upload/1.php .jpg(注意php后面是个空格)
    step3: 修改hex数据里面的空格(hex值为20)为00,放行拦截
    step4: 访问这个一句话木马,由于00截断,00之后都不读取了,所以访问一句话木马只要访问1.php即可,后面的内容就不需要带了

  2. IIS6.0目录路径检测解析
    跟1差不多的是这里修改上传路径为/upload/1.php/
    检测到/系统截断

  3. IIS6.0解析缺陷
    IIS6.0目录路径检测解析,文件的名字为“*.php;xxx.jpg”,也同样会被 IIS 当作 PHP 文件来解析并执行,首先我们请求 /aaa.php;xxx.jpg,从头部查找查找 .号,获得 .php;xxx.jpg。查找`;,,如果有则内存截断,所以/aaa.php;xxx.jpg会当做/aaa.php进行解析

  4. Appache 解析缺陷
    例如:7z格式是一种压缩文件的格式,但Apache不识别7z后缀,Apache解析文件时,如果后缀名不认识,则会继续向前解析,会解析到php,这就是Apache的解析漏洞.
    绕过这种上传就是构造.php.7z的文件上传即可。

内容检查

文件头检查

可以通过自己写正则匹配,判断文件头内容是否符合要求,这里举几个常见的文件头对应关系:
(1) .JPEG;.JPE;.JPG,”JPGGraphic File”
(2) .gif,”GIF 89A”
(3) .zip,”Zip Compressed”
(4) .doc;.xls;.xlt;.ppt;.apr,”MS Compound Document v1 or Lotus Approach APRfil

当然也可以直接上传图片,在图片的最后加上一句话木马的内容

getimagesize()的绕过

array getimagesize ( string KaTeX parse error: Expected 'EOF', got '&' at position 19: …ename [, array &̲imageinfo ] )
getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通 HTML 文件中 IMG 标记中的 height/width 文本字符串。

如果不能访问 filename 指定的图像或者其不是有效的图像,getimagesize() 将返回 FALSE 并产生一条 E_WARNING 级的错误。

绕过方法:
图片马+文件包含漏洞

exif_imagetype()的绕过

同上

二次渲染的绕过

imagecreatefrom 系列函数用于从文件或 URL 载入一幅图像,成功返回图像资源,失败则返回一个空字符串。 该系列函数有: imagecreatefromgif():创建一块画布,并从 GIF 文件或 URL 地址载入一副图像
imagecreatefromjpeg():创建一块画布,并从 JPEG 文件或 URL 地址载入一副图像
imagecreatefrompng():创建一块画布,并从 PNG 文件或 URL 地址载入一副图像
imagecreatefromwbmp():创建一块画布,并从 WBMP 文件或 URL 地址载入一副图像
imagecreatefromstring():创建一块画布,并从字符串中的图像流新建一副图像

还是图片马???(我没试过)

代码逻辑

条件竞争。。。。。。。。。。。。。。。。。。。。。。。。。

cynthrial
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
00截断上传绕过_小谈截断上传漏洞
weixin_36058303的博客
01-12 659
0x00 前言小菜今天在测试网站的时候,发现存在上传点,于是尝试各种姿势,环境为iis7.5,于是乎来一个解析漏洞,发现并不可以,最终百度乎,发现上传有很多种利用方法,所以小菜就去学习了一下截断上传,搜集了很多资料,做一下总结,大牛完全可以飘过,基础文章。0x01 截断原理首先科普一下,网上说的介绍都有神马0x00,%00,/00之类的截断,看的小菜我晕乎乎的,其实看完才知道,原来都是一样的,只...
CTFHUB-文件上传之文件头绕过
ITgougou_的博客
12-15 527
在小马前添加文件头 bp抓包,Content-Type类型修改为image/gif 蚁键连接
文件上传绕过方法总结(入门必看)
最新发布
qq_65165505的博客
05-13 1912
常见文件上传绕过方法的总结
文件上传绕过
weixin_34375054的博客
03-04 109
  对于整个HTTP请求包来说,所有内容都是用户可控的,只是请求包中的几个点有可能是后台服务器的检测重点: 1 Content-Length  上传内容大小 2 MAX_FILE_SIZE   上传内容的最大长度 3 filename      上传文件名 4 Content-Type   上传文件类型 5 请求包中的乱码字段  上传文件的内容 6 有可能存在请求包中的可控点还有...
文件上传绕过
chenmaoyin1482的博客
08-09 466
一般防止上传漏洞手法 1、客户端检测:客户端使用JavaScript检测,在文件未上传时,就对文件进行验证 //任何客户端的验证都是不安全的,客户端验证目的是防止用户输入错误、减少 //服务器开销,而服务端验证才可以真正防御攻击者。 2、服务器端检测:服务端脚本一...
文件上传漏洞绕过技巧
abtgu的博客
03-31 1279
文章目录一、文件上传漏洞介绍二、验证方法与绕过1.1CONTENT-LENGTH验证1.2CONTENT-LENGTH绕过2.1客户端javascript 检测(通常为检测文件扩展名)2.1客户端javascript3. 服务端MIME 类型检测(检测Content-Type 内容)4.分析文件头内容来检查文件类型5.文件加载检测6.限制Web Server对于特定类型文件的行为三、反制 一、文件...
文件上传绕过思路总结 - 先知社区1
08-03
在网络安全领域,文件上传绕过是一种常见的攻击手段,通常用于突破Web应用防护系统(WAF)的限制,实现恶意文件的上传。以下是对文件上传绕过思路的详细说明: 1. **Accept-Encoding 改变编码类型**: WAF通常会...
文件上传验证绕过技术总结
07-24
文件上传验证绕过技术总结,可以学习一下啊,比较全面了
Jquery实现跨域异步上传文件总结
10-20
这个插件专门用于处理异步表单提交,使得文件上传变得更加方便。在使用前,需要确保已经正确地引入了jQuery库和jQuery.form插件的脚本。 例如,创建一个包含文件输入字段的表单: ```html ()"> ``` 然后,使用...
第九节 文件上传-绕过黑名单验证(路径拼接绕过)-01
09-15
文件上传-绕过黑名单验证(路径拼接绕过) 在 Web 应用程序中,文件上传是非常常见的功能,但是在实现文件上传时,需要注意安全问题,例如黑名单验证。黑名单验证是指在文件上传时,对上传的文件进行检查,如果...
第三节 文件上传-绕过黑名单验证-01
09-15
文件上传安全绕过黑名单验证 文件上传是 Web 应用程序中一个常见的功能,但如果不当地实现,可能会导致严重的安全问题。黑名单验证是文件上传安全的一种常见机制,本节内容将介绍基于文件后缀名验证、基于黑名单...
upload上传 内容绕过_upload-labs writeup
weixin_39629352的博客
11-21 439
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。github地址:https://github.com/c0ny1/upload-labs靶机包含漏洞类型分类: 如何判断上传漏洞类型: 以下是我做题的过程,建议首先黑盒测试,做不出的题再看源码。pass-01 前...
文件上传绕过总结(附upload-labs 21关通关教程)
一期一会的博客
02-11 3649
0x01 前端绕过(Less-1) 数据上传后为提交到服务器,而是由于网站页面的js对其进行过滤,确认是否可以上传,删除限制上传js规则即可。 0x02 后端绕过 1.黑名单绕过 1) 上传特殊可解析后缀 (Less-3) 按照往常改后缀为php发现不允许上传.asp,.aspx,.php,.jsp后缀文件!黑名单 尝试php2、php3、php4等特殊后缀 2) 上传.htaccess (Less-4) $deny_ext=array黑名单中没有限制.htaccess后缀的文件,因此使用.htacc
文件上传漏洞的利用与绕过技巧
qq_37019068的博客
10-12 2925
前言 文件上传漏洞大多出现在可以进行文件上传的地方,如用户头像上传,文档上传处等。该漏洞是一个危害十分大的漏洞,通过文件上传,攻击者可以上传webshell并进行getshell操作,从而获得系统shell,可执行任意命令。也为后续大型木马的上传,特权提升提供了一个良好的基础。 文件上传漏洞的一些场景 接下来针对文件上传漏洞的一些waf过滤的场景进行说明并进行绕过和利用。 场景一:前端js代码白名单判断.jpg|.png|.gif后缀 在该场景下,防御的姿势是通过js代码对上传的文件后缀进行判断,如果不是.
上传验证绕过——服务端内容检查绕过
Williamanddog的博客
01-29 495
二次渲染:就是根据用户上传的图片,新生成一个图片,将原始图片删除,将新图片添加到数据库中。头,题目检查的也就是这个,可以在bp里直接加,也可以通过图片马直接上传然后getshell。随便打开两张PNG的图片看下,在文件的头部都会有其专有的字符。将源文件和二次渲染过的文件进行比较,找出源文件中没有被修改的那段区域,在那段区域写入php代。然后将图片下载下来,可以看到下载下来的文件名已经变化,所以这是经过二次渲染的图片。(1)先上传一个内容为木马的txt后缀文件,因为后缀名的关系没有检验内容;
【漏洞靶场】文件上传后端检测exif_imagetype()函数绕过--upload-labs
m0_46344990的博客
05-03 2306
一、漏洞描述 在upload-labs第十六关,服务器exit_imagetype()函数检测上传图片类型是否为白名单图片格式来验证上传文件合法性。可以通过制作图片马绕过,再配合文件包含漏洞解析文件来获取服务器配置信息。 二、漏洞发现 先在本地写php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php。但是在这里不能用php文件直接上传,需要制作图片马来绕过服务器检测文件二进制头信息。 有两种方法,但都是一个意思,将写入图片里面 方法一:准备z.p
文件上传漏洞靶场upload-labs学习(pass16-pass21)
AFCC_的博客(Web_Dog)
03-19 4018
Upload-Labs关卡0x00 Pass16(exif_imagetype函数绕过)环境准备exif_imagetype函数0x01 Pass17(二次渲染绕过)move_uploaded_file函数imagecreatefromjpeg、imagecreatefrompng、imagecreatefromgif函数imagejpeg、imagepng、imagegif函数过关思路GIF文件插入payloadpng、jpg文件插入payload0x02 Pass18(条件竞争绕过)抓取上传数据包抓取访
upload-lab-17 -二次渲染绕过
xlvbys的博客
09-06 296
用010Editor编辑器进行对比两个GIF图片内容,找到相同的地方(指的是上传前和上传后,两张图片的部分Hex仍然保持不变的位置)并插入PHP一句话,为了方便大家测试,这里提供一张网上某个大佬提供的GIF图片,当时我也找了很久,大家可以保存一下https://wwe.lanzoui.com/iFS。最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,get传参0=assert 加上 post传参1=phpinfo();上传正常的GIF图片下载回显的图片,
upload-labs靶场通关攻略:PHP文件上传漏洞利用
总结来说,这些关卡涵盖了文件上传漏洞绕过的常见技巧,包括利用前端验证漏洞、修改Content-Type、利用文件系统特性和配置、以及理解服务器对文件名处理的方式。这些技能对于网络安全专业人士来说至关重要,因为他们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值