<小迪安全>21-文件上传漏洞之后端黑白名单绕过

于 2023-03-20 11:39:29 发布
阅读量161 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackerXxxt/article/details/129657646
版权

文件上传常见验证:

后缀名,类型,文件头等

后缀名:黑名单,白名单

文件内容:MIME信息

        content-type:image/gif

文件头:文件头信息

黑名单:明确不让上传的格式后缀

asp php jsp aspx cgi war

当黑名单后缀名不完整,可以通过其他后缀名达到相同的效果        

php5,Phtml

        

白名单:明确可以上传的格式后缀

jpg png zip rar gif....

upload-labs关卡分析

查看源代码,源于快速学习

less-2

        MIME信息验证-在burpsuite里面抓包更改content-type的值,再放出去即可看到文件上传成功

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}

less-3(黑名单绕过)--可以通过更改php为php5,php3上传

        trim函数-移除字符串两侧的空白组赴或其他预定义字符

        strrchr函数-相当于获得函数的真实后缀名

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

less-4(.htaccess解析)

编写一个.htaccess的文件上传到服务器,再上传文件名为shana的jpg文件

此时.htaccess会将文件名带shana的文件执行成php文件

<FileMatch "shana">
SetHandler application/x-httped-php
</FileMatch>

less-5(大小写绕过)

less-6--少了一个收尾去空,加上空格即可

        在windows中,后缀名加空格会被清除,在数据包里面,可以明确加上空格,绕过限制

less-7--少删除文件末尾的点

        在数据包后缀名中加上点,上传到服务器时自动将点去掉,以达到绕过

less-8--::$DATA绕过(windows环境)

        文件名+::$DATA会把::$DATA之后的数据当成文件流处理不会检测后缀名且保持::$DATA之前的文件名

less-9--循环过滤/递归过滤

less-10--双写绕过

        .pphphp

less-11--白名单

        %00截断

         查看save_path参数--phpstudy版本<5.3

less-12--post提交

        get会自动解码 %00--URL编码,而post不会,所以需要提前编码

hackerXxxt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值