文件上传漏洞(三)

已于 2022-02-27 14:39:33 修改
阅读量3.3k 收藏 6
点赞数 1
文章标签: 安全 服务器 web安全
于 2022-02-19 17:08:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guanjian_ci/article/details/123018671
版权

第一部分:文件上传基本概述

1、文件上传漏洞简介


文件上传漏洞就是指攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。

2、文件上传漏洞产生的原因


文件上传漏洞是由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。

########################        产生原因        #######################
(1)服务器配置不当(iis6.0 put 直接写文件)
(2)本地文件上传限制被绕过(javascript验证)
(3)服务端过滤不严格被绕过 ()
(4)文件路径截断 (0x00)
(5)文件解析漏洞导致文件执行(iis,apache,nginx)
(6)开源编辑器上传漏洞(fckeditor 自定义文件名,文件夹结合iis6.0解析漏洞,杀伤力*****ewebeditor :可以登录后台,配置允许上传的文件类型.asp)

3、漏洞危害


网站被控制,对文件增删改查,执行命令,链接数据库
如果服务器长久未更新,可以利用exp提权,导致服务器沦陷
同服务器的其他网站沦陷

4、文件上传漏的防御


上传文件的存储目录不给执行权限
文件后缀白名单,注意0x00截断攻击(PHP更新到最新版本)
不能有本地文件包含漏洞(include dama.jpg)
及时更新web应用软件避免解析漏洞攻击

第二部分:文件上传基本操作

1.修改文件名后缀

正常图片文件后缀一般为jpg png gif等

首先上传一个图片码,然后通过抓包修改后缀为.php实现简单的绕过.

2.修改文件Content-Type类型(MIME)

正常图片类型为:image/gif image/png image/jpeg等

上传一个php文件,通过bp抓包将php的Content-Type修改为正常图片的类型实现绕过.

3.上传php3 php4 php5 phtml等文件后缀

如果对方黑名单只对php后缀进行过滤,未考虑php5这类,那么可以直接上传php3这类后缀的后门

4.上传 (.htaccess) 的文件,然后上传图片木马

5.大小写、末尾加空格和点、::$DATA绕过

当对方未对这四种的其中一种或者多种进行过滤的时候,使用bp抓包后修改实现绕过

6.叠加末尾的空格和点绕过、叠加php绕过

叠加末尾的空格和点绕过:当对方黑名单对空格和点的检测只有一次的时候,可以叠加绕过.

叠加php绕过:当对方黑名单会对php这类后缀去除掉并只去除一次的时候,可以叠加绕过.

第三部分:白名单绕过

1.%00截断(判断GET还是POST接受参数)

(1)如果是GET接受值、上传一个jpg图片,然后修改路径,如下图:

(2)如果是POST接受值、上传一个jpg图片,然后修改路径,再将%00进行URL编码:

2. 图片+php代码,组成一个图片码进行上传

前提:想解析出图片中的php代码,网站要存在包含漏洞。

首先制作一个图片码,可以直接用Notepad直接打开图片后面加一个php代码,但是需要16进制,要不然图片可能出错。也可以cmd进行生成,命令语句:copy 14.jpg /b + 14.php /a webshell.jpg 如图所示,我们在上传这个生成后的图片。

上传后进行访问

3. getimagesize()函数

原理:这个函数的意思是:会对目标文件的16进制去进行一个读取,去读取头几个字符串是不是符合图片的要求的

绕过:测试可不可以配合文件包含漏洞绕过。

4. exif_imagetype()函数

原理:读取一个图像的第一个字节并检查其签名。

绕过:测试可不可以配合文件包含漏洞绕过。

第二种:

5. move_uploaded_file()函数

第一种:

原理及其绕过:函数中的img_path是由post参数save_name控制的,可以在save_name利用%00截断(注意php版本低于5.3)。

第二种:

move_uploaded_file()有这么一个特性,会忽略掉文件末尾的 /.

6.二次渲染

绕过imagecreatefromjpeg()函数

按照原来的方法进行上传,我们可以发现还是可以上传的,但是配合包含漏洞却无法解析,这时我们把上传的图片复制下来用Notepad打开,发现我们原来写的php代码没有了,这就是二次渲染把我们里面的php代码删掉了。

我们把原图和他修改过的图片进行比较,看看哪个部分没有被修改。将php代码放到没有被更改的部分,配合包含漏洞,就可以了。使用HxD Hex Editor进行比较:

具体实现需要自己编写Python程序,人工尝试基本是不可能构造出能绕过渲染函数的图片webshell的,知道怎么解就可以了

注意:如果人家二次渲染先验证在进行上传那就没有办法了。

7.条件竞争

原理:我们看代码他是先将图片上传上去,才开始进行判断后缀名、二次渲染。如果我们在上传上去的一瞬间访问这个文件,那他就不能对这个文件删除、二次渲染。这就相当于我们打开了一个文件,然后再去删除这个文件,就会提示这个文件在另一程序中打开无法删除

8.数组绕过

Upload_labs解答链接:https://www.cnblogs.com/-an-/p/12666933.html

9.配合解析漏洞绕过

(1)IIS 6.0解析漏洞

(2)Apache解析漏洞

(3)Nginx解析漏洞

(4)Windows文件命名

文章部分参考,原文链接:https://blog.csdn.net/weixin_39190897/article/details/85334893

关键_词
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件上传漏洞-(下)
wobushini的博客
03-21 365
Pass-10:双后缀名绕过 效果如下: 尝试双写后缀名绕过: Pass-11:%00截断 使用了白名单方式: 先上传php文件试试看看: url里多了一个“save_path”变量,我们使用%00来绕过: 咦,并没有上传成功呢?原来php.ini文件中有个配置项: magic_quotes_gpc=On 它的作用是将单引号、双引号、反斜杠与NULL等进行转义。 我们先将On改为Off,重启服务...
文件上传漏洞
weixin_44127339的博客
07-06 220
文件上传漏洞闯关 每次打开的时候总是会忘记怎么打开,先记下来,以防过很久之后就彻底忘了该怎么动了。 先交代一下前期准备的工作吧。联网是肯定的,无网寸步难行嘛,之后将xampp里的环境全部关闭,主要是前两个,一定要关闭,要不然apache的端口会和phpstudy里apache的端口冲突,所以要关闭前一个,打开后一个。再在firefox(我一般是用火狐)里输入127.0.0.1就能打开关卡了,之后就...
漏洞靶场】文件上传后端检测exif_imagetype()函数绕过--upload-labs
m0_46344990的博客
05-03 2310
一、漏洞描述 在upload-labs第十六关,服务器exit_imagetype()函数检测上传图片类型是否为白名单图片格式来验证上传文件合法性。可以通过制作图片马绕过,再配合文件包含漏洞解析文件来获取服务器配置信息。 二、漏洞发现 先在本地写php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php。但是在这里不能用php文件直接上传,需要制作图片马来绕过服务器检测文件二进制头信息。 有两种方法,但都是一个意思,将写入图片里面 方法一:准备z.p
java之文件上传代码审计
最新发布
weixin_45653478的博客
06-21 845
大部分文件上传漏洞的产生是因为Web应用程序未对。
【后端检测-绕过】突破getmagesize()、exif_imagetype()绕过
07-03 847
【后端检测绕过-突破函数限制】
获取图像的类型
weixin_33921089的博客
10-27 729
1、使用函数exif_imagetype获取图像的类型   语法:exif_imagetype(string filename)   参数说明:   filename——图像文件的名称   返回值:对应图像的常量,如果该函数在读取到的第一个字节里没有找到图像的签名,返回FALSE。   exif_imagetype()返回值对应的图像类型常量 值 常量 1 I...
php内置函数获取图片类型-exif_imagetype
BeamRpoe的博客
07-31 7390
PHP 图片上传,只是使用$_FILES["file"]["type"] 简单校验一下,随便一个文件如 rar,zip,php,java等文件改个文件名,改个后缀就能以图片形式上传到服务器,这样肯定是不好的。下面介绍使用exif_imagetype()方法校验图片真实格式的方法。 1、配置文件:(如果没有安装exif扩展需要安装扩展) extension=php_mbstring.dll ex...
文件上传漏洞的思维导图
04-19
11. **利用思路**:攻击者可能通过扫描、会员中心、后台系统、CMS漏洞、代码审计、第方应用等多种途径寻找和利用文件上传漏洞。 总之,防止文件上传漏洞需要全面的安全策略,包括前端与后端的双重验证、合理的...
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞的危害 WebShell 文件上传漏洞的危害非常严重,可以导致以下几种情况: 1. 服务器控制权丧失:攻击者可以通过上传恶意文件获取服务器的控制权,进而控制服务器的行为。 2. 数据泄露:...
文件上传漏洞常见绕过方法
05-26
1、前端js检测文件格式 2、上传的文件时加入了“Content-Type”验证 3、文件后缀验证 4、文件后缀黑名单 5、文件头验证 6、文件内容初级验证 7、文件上传+文件包含
web网站文件上传漏洞和攻击-运维安全详细笔记
06-30
文件上传漏洞防御方法 1. 验证用户上传的文件类型和内容,禁止上传恶意文件。 2. 使用文件类型白名单,仅允许上传指定类型的文件。 3. 对上传的文件进行病毒扫描和沙箱检测。 4. 限制用户上传文件的大小和数量...
php 图片类型exif_imagetype,php内置函数获取图片类型-exif_imagetype
weixin_39945178的博客
03-10 424
在PHP获取图片类型可以使用PHP内置函数中的exif_imagetype预定义常量定义有以下常量,并代表了 exif_imagetype() 可能的返回值:图像类型常量 值 常量1 IMAGETYPE_GIF2 IMAGETYPE_JPEG3 IMAGETYPE_PNG4 IMAGETYPE_SWF5 IMAGETYPE_PSD6 IMAGETYPE_BMP7 IMAGETYPE_TIFF_I...
使用PHP获取图像文件的EXIF信息
硬核项目经理
07-26 2427
使用PHP获取图像文件的EXIF信息在我们拍的照片以及各类图像文件中,其实还保存着一些信息是无法直观看到的,比如手机拍照时会有的位置信息,图片的类型、大小等,这些信息就称为 EXIF 信息...
exif_imagetype() 函数在linux下的php中不存在
weixin_33739523的博客
03-29 598
1.问题,项目中上传文件使用插件时,windows上支持函数exif_imagetype(),而在linux上不支持。 2.PHP exif_imagetype的本质 PHP exif_imagetype note #1 Windows users: If you get the fatal error "Fatal error: Call to undefined function exif...
php----exif_imagetype函数在linux的替代函数
linux-0.11调试教程
11-29 264
if ( ! function_exists( 'exif_imagetype' ) ) { function exif_imagetype ($filename ) { if ( (list($width, $height, $type, $attr) = getimagesize( $filename ) ) !== false ) { return $type; } return false; } } $type=@exif...
php Call to undefined function exif_imagetype()解决方法
u011042325的博客
08-23 1349
Fatal error: Call to undefined function exif_imagetype() in xxx.phpon line45 上传图片时,出现以上问题,查找后,是使用php的exif_imagetype函数出了一点小问题,抛出错误Call to undefined function exif_imagetype(),在网上查阅了以下资料才解决掉,现在和大家分享一下解决方法。 原因是我们没有在php.ini中开启扩展,具体做法如下: 在php.ini中搜索extensio..
php 图片类型exif_imagetype,ThinkPHP做文字水印时提示call an undefined function exif_imagetype()解决方法...
weixin_39859128的博客
03-10 389
本文实例讲述了ThinkPHP做文字水印时提示call an undefined function exif_imagetype()解决方法。分享给大家供大家参考。具体如下:一、问题描述:ThinkPHP做文字水印 ,今天做一个电子请帖,就把祝福语贴到图片上面,发现一直报错是取不到图片类型,比如gif,jpg等,并提示call an undefined function exif_imagetyp...
文件上传漏洞详解:安全与对策
"File in the hole - 文件上传漏洞详解与安全防护" 本文档主要探讨的是“File in the hole”——一种文件上传漏洞,该漏洞通常发生在Web应用程序中,允许攻击者通过上传恶意文件来获取对服务器的非法访问权限,甚至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值