文件上传漏洞 — .user.ini绕过、后缀大小写绕过

最新推荐文章于 2024-05-14 10:30:00 发布
最新推荐文章于 2024-05-14 10:30:00 发布
阅读量3.4k 收藏 7
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liguangyao213/article/details/122968293
版权

web渗透测试最全实战课程--渗透测试视频教程-信息安全-CSDN程序员研修院实战化课程,学完就挖SRC 学会更多实战技巧-https://edu.csdn.net/course/detail/32713

文件上传漏洞的相关讲解基于upload-labs靶场,搭建教程见文件上传漏洞靶机搭建教程

.user.ini绕过

浏览器访问http://127.0.0.1/Pass-05/index.php进入靶机pass05环境练习页面:

(注意:该pass要求php版本大于等于5.3.0版本)

通过查看提示和文件源码发现,本pass将.php,.php5,.php4,.php3,.php2,.html,.htm,.phtml,.pht,.pHp,.pHp5,.pHp4,.pHp3,.pHp2,.Html,.Htm,.pHtml,.jsp,.jspa,.jspx,.jsw,.jsv,.jspf,.jtml,.jSp,.jSpx,.jSpa,.jSw,.jSv,.jSpf,.jHtml,.asp,.aspx,.asa,.asax,.ascx,.ashx,.asmx,.cer,.aSp,.aSpx,.aSa,.aSax,.aScx,.aShx,.aSmx,.cEr,.sWf,.swf以及.htaccess都过滤了,此处不能和pass04一样的技巧进行上传.htaccess文件进行绕过。

解决方法

补充知识:

  • 配置文件 :php.ini

  • 配置文件(php.ini)在 PHP 启动时被读取。对于服务器模块版本的 PHP,仅在 web 服务器启动时读取一次。对于 CGI 和 CLI 版本,每次调用都会读取。(PHP: 配置文件 - Manual)

php.ini 的搜索路径如下(按顺序):

  • SAPI 模块所指定的位置(Apache 2 中的 PHPIniDir 指令,CGI 和 CLI 中的 -c 命令行选项)。

  • PHPRC 环境变量。

  • 可以为不同版本的 PHP 指定不同的 php.ini 文件位置。注册表目录所在的位置取决于你的系统是 32 位还是 64 位。32-bit 的 PHP 运行在 32-bit 的系统或 64-bit 的 PHP 运行在 64-bit 系统时使用 [(HKEY_LOCAL_MACHINE\SOFTWARE\PHP] 32-bit 的 PHP 运行在 64-bit 的系统上时,则使用 [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\PHP]] 替代。 系统版本跟 PHP 版本架构一致时,会按以下顺序依次进行检查: [HKEY_LOCAL_MACHINE\SOFTWARE\PHP\x.y.z][HKEY_LOCAL_MACHINE\SOFTWARE\PHP\x.y][HKEY_LOCAL_MACHINE\SOFTWARE\PHP\x],其中的 x,y 和 z 指的是 PHP 主版本号,次版本号和发行批次。 对于 32 bit 版本的 PHP 运行在 64 bit 系统上的情况,则会按以下顺序依次进行检查: [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6421Node\PHP\x.y.z][HKEY_LOCAL_MACHINE\SOFTWARE\WOW6421Node\PHP\x.y][HKEY_LOCAL_MACHINE\SOFTWARE\WOW6421Node\PHP\x],其中的 x,y 和 z 指的是 PHP 主版本号,次版本号和发行批次。如果在其中任何目录下的 IniFilePath 有键值,则第一个值将被用作 php.ini 的位置(仅适用于 Windows)。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\PHP]IniFilePath 的值(Windows 注册表位置)。

  • 当前工作目录(对于 CLI)。

  • web 服务器目录(对于 SAPI 模块)或 PHP 所在目录(Windows 下其它情况)。

  • Windows 目录(C:\windows 或 C:\winnt),或 --with-config-file-path 编译时选项指定的位置。

如果存在 php-SAPI.ini(SAPI 是当前所用的 SAPI 名称,因此实际文件名为 php-cli.ini 或 php-apache.ini 等),则会用它替代 php.ini。SAPI 的名称可以用 php_sapi_name() 来测定。

除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。

自php5.3.0起,PHP支持基于每个目录的.htaccess风格的INI文件。此类文件仅被CGI/Fastcgi sapi处理。

两个新的 INI 指令, user_ini.filenameuser_ini.cache_ttl 控制着用户 INI 文件的使用。

user_ini.filename 设定了 PHP 会在每个目录下搜寻的文件名;如果设定为空字符串则 PHP 不会搜寻。默认值是 .user.ini

user_ini.cache_ttl 控制着重新读取用户 INI 文件的间隔时间。默认是 300 秒(5 分钟)。

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIRPHP_INI_USER 模式的 INI 设置可被识别。

补充知识:

PHP_INI_* 模式的定义

模式含义
PHP_INI_USER可在用户脚本Windows 注册表以及.user.ini中设定
PHP_INI_PERDIR可在php.ini.htaccesshttpd.conf以及 .user.ini中设定
PHP_INI_SYSTEM可在 php.ini 或 httpd.conf 中设定
PHP_INI_ALL可在任何地方设定

实际上,除了PHP_INI_SYSTEM以外的模式都是可以通过.user.ini来设置的。而且,和php.ini不同的是,.user.ini是一个能被动态加载的ini文件。也就是说修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载。

这里就很清楚了,.user.ini实际上就是一个可以由用户”自定义“的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。

其中有两个配置,可以用来制造后门:

auto_append_file   ; 指定一个文件,自动包含在要执行的文件前。
auto_prepend_file  ; 指定一个文件,自动包含在要执行的文件后。

使用方法很简单,直接写在.user.ini中:

auto_prepend_file=test.txt

或者

auto_append_file=test.txt

  1. 新建一个文件名为.user.ini的文件,并将内容写为:

    • auto_prepend_file=test.txt

  2. .user.ini上传至服务器

  3. 新建一个文件名为test.txt的文件,并将内容写为:

    • <?php phpinfo();?>

      或者webshell

  4. test.txt上传至服务器

  5. 再访问上传目录下的readme.php,即可将test.txt内的内容脚本正常执行。

后缀大小写绕过

浏览器访问http://127.0.0.1/Pass-06/index.php进入靶机pass06环境练习页面:

通过查看提示和文件源码发现,本pass将.php,.php5,.php4,.php3,.php2,.html,.htm,.phtml,.pht,.pHp,.pHp5,.pHp4,.pHp3,.pHp2,.Html,.Htm,.pHtml,.jsp,.jspa,.jspx,.jsw,.jsv,.jspf,.jtml,.jSp,.jSpx,.jSpa,.jSw,.jSv,.jSpf,.jHtml,.asp,.aspx,.asa,.asax,.ascx,.ashx,.asmx,.cer,.aSp,.aSpx,.aSa,.aSax,.aScx,.aShx,.aSmx,.cEr,.sWf,.swf以及.htaccess,INI都过滤了,但是仔细观察发现本pass并未对后缀名进行统一转换小写操作,那么就可以考虑进行后缀名大小写进行绕过。

解决方法

  1. 新建一个后缀名不在上述黑名单中的php文件,例如:shell.PHP或者shell.Php

  2. 将新建的文件上传至服务器,发现上传成功。

  3. 访问被上传的文件发现文件被解析并执行

     

mingzhi61
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
网络安全最新【文件上传绕过总结_文件上传后缀绕过,【一步教学,一步到位
2401_84558406的博客
05-10 820
eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"pphphp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。eg:黑名单过滤中只有".php",没有".php "、“ .php”eg : a.JSP、a.Jsp 、a.jsP、a.jSP等等。eg:“a.php.”,黑名单没有对"php."过滤,则绕过。思路:已知过滤规则,假如都是过滤一次,则可尝试两次绕过。eg: a.php改为 a.php::$data。而php在传输中,可识别。
文件上传漏洞(全网最详细),阿里牛逼
2401_84138835的博客
04-09 323
再次上传后门文件,读取flag即可。
文件上传漏洞(全网最详细)
最新发布
m0_59598029的博客
05-14 870
自从学完文件上传后,寻思总结一下,但一直懒惰向后推迟,最近要准备面试了,就趁此机会写一下。文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。
文件上传漏洞总结
qq_51582652的博客
03-22 483
文件上传漏洞总结前端验证头部验证MIME验证黑名单验证Phtml绕过Htaccess绕过大小写绕过双写绕过特殊字符绕过构造后缀绕过白名单验证0x00截断(1)[^1]0x00截断(2)图片马[^2]二次渲染条件竞争Waf检测Waf头部绕过Waf内容绕过总结 前端验证 可以利用开发者工具删除掉与脚本的事件。然后在上传恶意的代码。 一句话木马内容 <?php @eval($_POST['123']);?> 上传一句话木马之后利用菜刀进行连接 头部验证 MIME验证 概述:MIME验证:使客户
wmm的学习日记(文件上传漏洞
swmmbswzy的博客
11-25 1304
关于CTF中web方向里的文件上传漏洞的简单介绍学习
网络安全进阶学习第五课——文件上传漏洞
p36273的博客
07-03 4557
黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。getimagesize()函数会读取目标文件的16进制,验证目标文件16进制的头几个字符串是否符合图片的要求,通过此函数判断文件类型。通常在一个请求中,同样名称的参数只会出现一次,函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。
校赛uploads用.user.ini绕过
..
11-15 906
先看源码: !DOCTYPEhtml> <htmllang="en"> <head> <metacharset="UTF-8"> <metaname="viewport"content="width=device-width,initial-scale=1.0"> <metahttp-equiv="X-UA-Compatible"content="ie=edge"> <title>...
文件上传漏洞——.user.ini与.htaccess
zhhhb1005的博客
07-18 909
htaccess文件(“分布式配置文件”)提供了针对目录改变配置的方法,即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令将受到限制。管理员可以通过Apache的AllowOverride指令来设置。概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现重新解析规则绕过黑名单。...
rdpwrap.ini 配置文件 ver.10.0.25*
07-29
**rdpwrap.ini配置文件详解** `rdpwrap.ini` 是一个重要的配置文件,用于RDP(Remote Desktop Protocol)Wrapper工具。RDP Wrapper允许你绕过Windows操作系统对远程桌面连接的默认限制,使得多用户可以同时通过RDP...
rdpwrap.ini 配置文件 ver.10.0.18.*
06-09
rdpwrap.ini文件的作用在于定义了哪些版本的RDP服务可以被RDPWrap支持并进行多会话绕过。当用户更新Windows系统或者遇到新的RDP服务版本时,可能需要更新这个配置文件以保持兼容性。这些"autogenerated"文件名表明...
C# 读/写.ini配置文件的通用操作类,参数可以分组,具体看描述
06-24
var unitId = OperateIniFile.ReadIniData("Unit", "UnitId", "ini中没有值时,赋默认值xxx", "ShareInfo.ini路径xx"); 2、写 OperateIniFile.WriteIniData("Unit", "UnitId", "076a0a4d-c417-4fee-902f-245e...
j7ur8#WebBook#usr.ini绕过1
07-25
如:所以,我们可以借助.user.ini轻松让所有php文件都“自动”包含某个文件,而这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell
keil5中的TOOLS.INI文件,容易误删建议保存
03-12
在Keil5的配置和个性化设置中,`TOOLS.INI`文件起着至关重要的作用。这个文件存储了用户的工具链配置、编译器路径、调试器设置等关键信息,是用户工作环境个性化定制的核心。 标题所提及的"keil5中的TOOLS.INI文件...
文件上传漏洞user.ini留后门
weixin_53146913的博客
05-18 4351
一、什么是.user.ini? php.ini是php默认的配置文件。其中包含四种配置, 在PHP_INI_USER的配置项中,提到.user.ini。 这里作用解释如下: 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。 .user.ini 是PHP 支持基于每个目录的 I
file_append php,PHP中的auto_prepend_file和auto_append_file
weixin_32708653的博客
03-20 757
在开发PHP程序的时候,我们有时候会在每个PHP的脚本的开头和结尾编写相同的代码。比如,我们常常需要在每个PHP页面中打开和关闭session或者建立和关闭数据库连接。优秀的程序员通常会寻找一种简单的方式以避免编写相同的代码。在PHP的配置文件中,有两个配置项auto_prepend_file和auto_append_file,我们可以为这两个配置项指定两个不同的文件,让这两个文件中的代码在分别在...
文件上传漏洞
m0_70683009的博客
05-21 1172
如果对方中间件是apache属于低版本,我们可以利用文件上传,上传一个不识别的文件后缀,利用解析漏洞规则成功解析文件,其中的后门代码被执行。,可以被当作php文件进行解析,从最后一个.mmm开始,apache不认识,就往前走,一直到.php,这样即绕过了验证,有可以进行解析。⑤:不删除末尾的点,在后缀名加点(需要在抓到的数据包中加点,直接在文件后缀名加点会命名不成功,它会自动删除点)(2) 当上传文件.asp;上传可以上传的文件,在文件地址后加上/x.php,可以让文件以php代码去执行。
文件上传漏洞常用绕过方式
热门推荐
qq_62078839的博客
04-07 1万+
目录 文件上传漏洞原理 常用防御方式和常用防御方式的绕过 一、前端JS检测 二、MIME检测 三、白名单检测 %00截断 0x00截断 四、黑名单绕过 文件拓展名绕过 .htaccess文件绕过 .user.ini.绕过 apache解析漏洞 IIS解析漏洞 Nginx解析漏洞 widows系统文件命名规则的特殊利用 五、文件内容检测 ①文件头检测 ②shell检测 六、条件竞争 靶场实战 文件上传漏洞原理 由于网站在对文件的上传功能中没...
Web安全文件上传漏洞测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
05-21 2510
现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型. 此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文件后缀)到服务器上,并将恶意文件传递给网站脚本语言去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作.
php append,php.ini配置php auto_prepend_file和auto_append_file参数
weixin_32518317的博客
03-12 779
在 php.ini 中有两个配置参数,auto_prepend_file 和 auto_append_file,其作用相当于php代码 require 或 include,使用这两个指令包含的文件如果该文件不存在,将产生一个警告。auto_prepend_file 表示在php程序加载应用程序前加载指定的php文件auto_append_file 表示在php代码执行完毕后加载指定的php文件在某...
文件上传.user.ini使用
09-10
### 回答1: `user.ini` 是一个 PHP 配置文件,用于自定义 PHP 环境的设置。它可以用来覆盖 php.ini 中的设置。在使用文件上传时,你可以使用 `user.ini` 文件来设置上传文件大小限制等参数。 以下是在 `user.ini` 中设置文件上传大小限制的示例: ``` upload_max_filesize = 20M post_max_size = 20M ``` 这会将上传文件的最大大小限制设置为 20MB。请注意,`upload_max_filesize` 和 `post_max_size` 必须设置为相同的值,以确保文件上传正常工作。 你需要将 `user.ini` 文件放置在需要自定义 PHP 环境的目录中。例如,如果你希望更改在 `/var/www/html` 目录中运行的应用程序的 PHP 环境设置,则可以将 `user.ini` 文件放置在 `/var/www/html` 目录中。 请注意,如果使用的是共享主机,你的主机可能不允许使用 `user.ini` 文件来自定义 PHP 环境设置。在这种情况下,请联系你的主机提供商以获取更多信息。 ### 回答2: 文件上传Web开发中非常常见,用户可以通过网页将自己的文件上传到服务器上。然而,有时我们需要对上传的文件进行一些限制和配置,这就可以通过使用"user.ini"文件来实现。 "user.ini"是一个用于配置PHP的ini文件,它可以用来限制文件上传的大小、类型等。它的用法非常简单,只需要在PHP代码的同一目录中创建一个名为"user.ini"的文件即可。 在"user.ini"文件中,我们可以使用几个指令来配置文件上传的规则。例如,可以使用"upload_max_filesize"指令来限制上传文件的最大大小;使用"max_file_uploads"指令来限制一次上传的最大文件数量;使用"post_max_size"指令来限制POST请求的最大数据量。 通过修改这些指令的值,我们可以根据实际需求来控制文件上传的限制。例如,可以将"upload_max_filesize"设置为"2M",表示最大上传文件大小为2MB;将"max_file_uploads"设置为"5",表示一次最多上传5个文件。 另外,还可以使用"file_uploads"指令来开启或禁用文件上传功能。将其设置为"Off"可以禁用文件上传,而将其设置为"On"则可以启用文件上传。 总之,使用"user.ini"文件可以对文件上传进行一些基本的配置和限制。通过修改这个文件中的指令值,我们可以灵活地控制文件上传的行为,从而更好地满足我们的需求。 ### 回答3: 文件上传.user.ini 是一个 PHP 配置文件,用于配置 PHP 在上传文件时的一些相关设置。它是用于限制或允许上传文件的大小、类型以及其他相关的安全设置。 在使用文件上传.user.ini 之前,首先要确保你的服务器支持 PHP,并且你有合适的权限来编辑服务器上的 PHP 配置文件。 文件上传.user.ini 的使用分为三个步骤: 1. 打开文件上传.user.ini:通过一个文本编辑器,可以打开这个文件进行编辑。请注意,如果不存在该文件,你可以创建一个新文件,并将其命名为文件上传.user.ini。 2. 设置文件上传的配置:在文件上传.user.ini 中,你可以设置一些上传文件的相关参数。例如,你可以设置最大允许上传的文件大小、允许上传的文件类型等。这些配置将会影响到你的 PHP 程序在上传文件时的行为。 3. 保存配置文件:在你完成配置后,记得保存文件上传.user.ini 文件。然后将它放置在你的 Web 服务器的根目录下,以确保 PHP 程序能读取到这个配置文件。 需要注意的是,文件上传.user.ini 文件的配置只会对当前目录以及其子目录下的 PHP 程序起作用。这意味着你可以在不同的目录下使用不同的文件上传配置。 总而言之,文件上传.user.ini 可以方便地配置 PHP 在文件上传时的一些限制和安全设置。通过合理对其进行配置,可以提高服务器的安全性,并防止恶意用户上传不安全的文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mingzhi61

你的打赏,是我创造最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值