文件上传漏洞 — ::$DATA绕过、点和空格绕过

最新推荐文章于 2024-03-18 23:38:33 发布
最新推荐文章于 2024-03-18 23:38:33 发布
阅读量1w 收藏 17
点赞数 4
分类专栏: 渗透测试 文章标签: 安全 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liguangyao213/article/details/123192889
版权

web渗透测试最全实战课程--渗透测试视频教程-信息安全-CSDN程序员研修院

文件上传漏洞的相关讲解基于upload-labs靶场,搭建教程见文件上传漏洞靶机搭建教程

::$DATA绕过

补充知识

  • Windows本地文件系统中的文件流(File Streams):

  • 当从 Windows shell 命令行指定创建文件时,流的完整名称为 "filename:stream name:stream type",如示例中所示: "myfile.txt:stream1:$DATA"

流类型

下面是 NTFS 流类型(也称为属性类型代码)的列表。 某些NTFS 内部的流类型 ,格式未记录。

流类型说明
::$ATTRIBUTE_LIST包含组成文件的所有属性的列表,并标识每个属性的位置。
::$BITMAP索引用于管理目录的B-Tree空间的位图。B-Tree以4 kB块管理(无论群集大小),此用于管理这些块的分配。每个目录都存在此流类型。
::$DATA数据流。 默认数据流没有名称。 可以使用 FindFirstStreamWFindNextStreamW 函数枚举数据流。
::$EA包含扩展的属性数据。
::$EA_INFORMATION包含有关扩展属性的支持信息。
::$FILE_NAME文件的名称,采用 Unicode 字符。 这包括文件的短名称以及任何硬链接。
::$INDEX_ALLOCATION目录的流类型。用于实现大目录的文件名分配。这个流表示目录本身,并包含目录的所有数据。对这种类型流的更改将被记录到NTFS更改日志中。$INDEX_ALLOCATION流类型的默认流名是$I30,所以“DirName”、“DirName::$INDEX_ALLOCATION”和“DirName:$I30:$INDEX_ALLOCATION”都是等价的。
::$INDEX_ROOT该流表示索引的B-Tree的根。每个目录都存在此流类型。
::$LOGGED_UTILITY_STREAM类似于::$DATA,但是操作被记录到NTFS更改日志中。用于EFS和Transactional NTFS (TxF)。":StreamName:$StreamType"对EFS是":$EFS:$LOGGED_UTILITY_STREAM",对TxF是":$TXF_DATA:$LOGGED_UTILITY_STREAM"。
::$OBJECT_ID用于标识链接跟踪服务的文件的16字节 ID。
::$REPARSE_POINT重新 分析点 数据。

  • 对NTFS格式下的一个文件而言,至少包含一个流,即data流(其stream type为$DATA),data流是文件的主流,默认的data流其stream name为空。默认一个文件如果被指定了流,而该流没有stream type的话会在存储时自动添加$DATA。例如上面看到的例子myfile.txt:stream1:$DATA在存储时实际上是为myfile.txt:stream1,但在查询结果中需要去除:$DATA,否则会出现参数错误,这个是notepad不能很好的支持流所导致的。

  • 对文件夹而言,没有data流,其主流是directory流(stream type为$INDEX_ALLOCATION),directory流默认的stream name是$I30。尽管文件夹默认没有data流,但用户可为其指派data流。

浏览器访问http://127.0.0.1/Pass-09/index.php进入靶机pass09环境练习页面:

本pass一样禁止了所有的可解析的脚本上传,同时利用空格绕过、点绕过都不好使,在源代码中对这些绕过方式都做了相关的限制。

通过上面对Windows文件流的学习,发现Windows shell 命令行指定创建文件时特性,对文件名进行操作进行绕过

解决方法

  1. 在页面选择上传一个webshell,并将Burp拦截功能打开。

  2. 上传文件后,在Burp中将文件名称.php后面加上 ::$DATA,将数据包forward

  3. 发现文件被成功的上传到服务器,且名称后缀为.php::$data,但是由于Windows的特性在磁盘中会忽略::$data并将文件新建。

  1. 在浏览器中拼接文件路径并去掉::$data后访问,可以看到文件内容成功被执行。

点和空格绕过

浏览器访问http://127.0.0.1/Pass-10/index.php进入靶机pass10环境练习页面:

本pass和pass07pass08一样有点类似,但是利用点绕过以及空格绕过技巧是都不能正常进行上传,网站后端对这两种方式都做了策略,那么我们就可以结合这两种绕过技巧绕过进行文件上传。

解决方法

pass07pass08操作一样,需要注意的是与pass07不一样的是将文件名后缀加上. .(两个点中间有一个空格)

  1. 在页面选择上传一个webshell,并将Burp拦截功能打开。

  2. 上传文件后,在Burp中将文件名称.php后面加上 . .,将数据包forward

  1. 访问http://127.0.0.1/upload/shell.php文件成功被解析执行

mingzhi61
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第八节 文件上传-绕过黑名单验证($DATA绕过)-01
09-15
第八节 文件上传-绕过黑名单验证($DATA绕过)-01
文件上传绕过】八、::$DATA上传绕过
热门推荐
ssrf
10-10 1万+
文章目录一、利用Windows特性二、源码三、使用burpsuite抓包在文件后缀加::$DATA绕过 一、利用Windows特性 在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名 例如:"phpinfo.php::$DATA"Windows会自动去掉末尾的::$DATA变成"phpinfo.php" 二、源码 源码中未过滤::$DATA $is_upload = false; $ms
upload靶场第九关 ::$DATA绕过方式
2301_79650865的博客
02-03 389
upload靶场第九关 ::$DATA详细绕过方式,补充::$DATA知识
CTF萌新日记——绕过
qq_45427131的博客
07-19 1001
CTF萌新日记——绕过
渗透测试-文件上传之双写文件名和::$DATA绕过(四)
lza20001103的博客
04-17 3516
渗透测试-文件上传之双写文件名和::$DATA绕过
文件上传绕过总结
weixin_55205599的博客
07-02 2896
hp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。eg:允许上传.jpg,不允许上传.php,如何绕过传.php一句话木马呢?eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"p。eg:黑名单过滤中只有".php",没有".php "、“ .php”eg : a.JSP、a.Jsp 、a.jsP、a.jSP等等。eg:"a.php.",黑名单没有对"php."过滤,则绕过。eg: a.php改为 a.php::$data
Data:绕过FRP所有apk文件在这里
05-23
Github教程 #### 1。 #### 2。 将?raw = true附加到Github上的任何文件URL以获得直接链接。
信息安全技术:绕过文件内容检测上传.pptx
11-01
总之,绕过文件内容检测上传是一种高级的攻击手段,它利用了系统安全防护的漏洞。为了防止这类攻击,系统管理员应实施更全面的安全策略,包括但不限于深度内容检测、多层防御、严格的文件类型检查和动态行为分析。...
使用cookie绕过验证码登录的实现代码
08-29
在网络安全Web开发中,利用Cookie来绕过验证码登录是一种常见的安全漏洞,它允许攻击者在没有正确验证的情况下获得授权。以下将详细解释这个过程,以及如何通过Python的`requests`库来模拟这一行为。 首先,理解...
data:原始的过氧化物含量和图像
04-02
发布文件发布文件应至少包含两个部分:元数据和至少一个内容部分。文件名推断帖子文件的文件名也可以包含有关帖子的数据。 这为添加和编辑数据提供了一种便捷的简便方法。 帖子文件名的格式应为[date]-[post type]-...
27-5 文件上传漏洞 -大小写、空格、下划线等绕过
最新发布
weixin_43263566的博客
03-18 147
通过查看源码靶场的第5关是黑名单过滤,而且只是过滤了 php 这些,代码中没有转换大小写所以可以使用大小写写绕过,但是windows系统大小写不敏感,所以我们需要使用bp抓包然后将文件后缀名改成大小写。因为在实际情况中我们一般是那不到对方的源码的,一个个的手动测试太浪费时间,成功率也低,这种情况就可以使用bp绕过。之前我有写过几篇文章详细介绍过bp工具的使用,这里我就直接介绍当前用到的操作其他的就不多说了。设置要爆破的变量为文件后缀名,其他的都清除。
php的正则绕过
Hammers_12的博客
09-07 1469
一、空格正则绕过: ${IFS} 但不能写作 $IFS $IFS$9 %09 <> < 二、 在PHP中,在正则绕过时可以利用\包裹住被过滤的函数,以此达到绕过的目的。例如: cat 进黑名单,用 c\a\t 绕过 空格进黑名单,用 ${IFS} 或者 %09 绕过 ✳ 和 flag 都被过滤,用和 ✳ 差不多的 ? 绕过,即 ???,获取四位的 flag ...
文件上传漏洞的利用与绕过技巧
qq_37019068的博客
10-12 2913
前言 文件上传漏洞大多出现在可以进行文件上传的地方,如用户头像上传,文档上传处等。该漏洞是一个危害十分大的漏洞,通过文件上传,攻击者可以上传webshell并进行getshell操作,从而获得系统shell,可执行任意命令。也为后续大型木马的上传,特权提升提供了一个良好的基础。 文件上传漏洞的一些场景 接下来针对文件上传漏洞的一些waf过滤的场景进行说明并进行绕过和利用。 场景一:前端js代码白名单判断.jpg|.png|.gif后缀 在该场景下,防御的姿势是通过js代码对上传的文件后缀进行判断,如果不是.
文件上传的各种绕过方式
qq_59357741的博客
08-11 7870
常见的文件上传的各种漏洞
文件上传漏洞——upload-labs 1-19 (详解)
m0_62879498的博客
02-19 6865
upload-labs-1 删除 js 进行绕过 上传图片,发现上传成功 上传 shell 发现: 发现是白名单,所以由前面我们知道,极有可能在前端存在过滤,我们检查一下: 发现 checkFile() 起到了检查过滤的效果,我们将其删去并提交 发现: 然后用中国以蚁剑 进行链接 发现成功 发现成功 同时我们发现仅仅在前端进行过滤是远远不够的,我们可以轻易的删去,所以除了前端,后端也必须进行校验 如果我们在使用蚁剑发现了返回值为空说明一句话木马语法错误,如果我们发现返回值是一串乱码 则是链接地址
文件上传漏洞黑名单绕过
qq_51331767的博客
02-27 877
NTFS储存数据流的一个属性,这样我们去访问的时候,我们请求的会被它认为是 phpinfo.php 本身的数据。有时会直接检测你上传的文件,如果你上传了上面规定的文件,他会把你的后缀名去掉,但是他只会过滤一次,这时我们可以用双写进行绕过,只要写两个php就行了,pphphp将php过滤后还剩下php,即可上传成功。然后我们就可以先上传一个.jpg的图片马,然后再上传.htaccess的文件,然后在有.htaccess的文件夹内.jpg就会被解析为.php的文件,然后上传的图片马就可以发挥作用了。
$.data()、$().data
GoodIdea
05-30 1534
两个方法很相似,但是有区别,简单说一下: $.data():jq的静态方法,也就是jQuery.data()直接调用 $().data():实例方法,先有实例,才能调用这个方法,例如:$("#id").data("name","zhangsan") 区别: 通过例子说下: var div1 = $("#d1"); var div2 = $("#d1"); $.data(div1, "name", "zhangsan"); $.data(div2, "name", "lisi"); document
PHP入门(7) 静态属性的访问
瞎捣鼓
07-16 499
类内部使用 self::字段 外部使用 类名::字段<?php class StaticTest{ public static $data =0; public function append() { //类内部访问静态方法或属性 使用self:: self::$data++; } }
文件上传漏洞常见绕过方法
07-28
回答: 文件上传漏洞的常见绕过方法主要包括前端JS检测、构造特殊的、畸形的数据包以干扰WAF对数据包的检测、利用文件内容的免杀和超大文件等方式进行突破、针对文件名过滤的WAF绕过突破思路等。\[1\]\[2\]\[3\]其中,前端JS检测是一种常用的防御方式,通过在前端对上传文件进行检测,限制文件类型和文件后缀,以防止恶意文件的上传。然而,攻击者可以通过构造特殊的、畸形的数据包来绕过WAF的检测,干扰WAF对数据包的解析,使其无法提取文件名称或将其误认为非文件上传的数据包,从而绕过WAF的防御。此外,攻击者还可以利用免杀和超大文件等方式来绕过WAF对文件内容的检测。针对文件名过滤的WAF绕过突破思路主要包括获取HTTP Request数据包包头中的boundary值、解析数据包获取上传文件的文件名,然后根据文件名进行黑名单或白名单的匹配。综上所述,文件上传漏洞绕过方法多种多样,需要综合使用多种防御措施来提高安全性。 #### 引用[.reference_title] - *1* [文件上传漏洞常用绕过方式](https://blog.csdn.net/qq_62078839/article/details/124026691)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [文件上传漏洞WAF绕过方法](https://blog.csdn.net/weixin_40228200/article/details/127200643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mingzhi61

你的打赏,是我创造最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值