文件上传啊

最新推荐文章于 2023-08-11 17:23:57 发布
最新推荐文章于 2023-08-11 17:23:57 发布
阅读量290 收藏
点赞数 1
分类专栏: ctfhub 文章标签: 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63166189/article/details/125404630
版权

一句话木马

<?php @eval($_POST['cmd'])?>

其中’cmd‘是可以自行更改

这只是其中一种一句话木马,其余详见csdn-ctf-php一句话木马集合

无验证

直接将一句话木马文件上传,在使用中国蚁剑即可

Js前端验证

function checkfilesuffix()
{
    var file=document.getElementsByName('file')[0]['value'];
    if(file==""||file==null)
    {
        alert("请添加上传文件");
        return false;
    }
    else
    {
        var whitelist=new Array(".jpg",".png",".gif");
        var file_suffix=file.substring(file.lastIndexOf("."));
        if(whitelist.indexOf(file_suffix) == -1)
        {
            alert("该文件不允许上传");
            return false;
        }
    }
}

显然此处只允许上传jpg、png、gif后缀文件

那么就将所写的一句话木马文件后缀改为以上三种之一,如jpg,此处需搭配burpsuite,在上传的时候使用burpsuite进行抓包,注意所抓包为前端向后端请求的包,

 

从而更改所上传的文件后缀改为php,后续就使用蚁剑即可

ps:此处因为是前端验证所以所上传文件只要通过前端验证即可

MIME绕过

首先理解何为MIME?

MIME: 服务器端上传检测文件时,在HTTP中MIME类型被定义在Content-Type header中。此处便是我们进行绕过检测成功上传的核心。

当上传一个jpg文件是用burp抓包

 

 

注意此时Content-Type: image/jpeg-->这是对应的文件格式

在上传一个php文件,并使用burp抓包

此时的Content-Type: application/octet-stream

所谓MIME绕过便就是通过更改content-type对应的文件格式

所以只需把上传php文件的content-type改为image/jpeg

 

在发送数据包即可,此时便可成功上传,后续蚁剑

00截断

00截断的原理

是操作系统层的漏洞,操作系统是c语言或汇编语言编写的,在定义字符串时,都是以‘ \0 ’(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0时,便以为读取结束。因此通过修改数据包,插入\0字符的形式,达到字符串截断的目的

截断发生条件

php 版本小于 5.3.4 才有可能存在此漏洞

magic_quotes_gpc为off状态

<?php
  if (!empty($_POST['submit'])) {
    $name = basename($_FILES['file']['name']);
    $info = pathinfo($name);
    $ext = $info['extension'];
    $whitelist = array("jpg", "png", "gif");
    if (in_array($ext, $whitelist)) {
        $des = $_GET['road'] . "/" . rand(10, 99) . date("YmdHis") . "." . $ext;
        if (move_uploaded_file($_FILES['file']['tmp_name'], $des)) {
            echo "<script>alert('上传成功')</script>";
        } else {
            echo "<script>alert('上传失败')</script>";
        }
    } else {
        echo "文件类型不匹配";
    }
}
?>

<?php
  if (!empty($_POST['submit'])) {
    $name = basename($_FILES['file']['name']);
    $info = pathinfo($name);
    $ext = $info['extension'];
    $whitelist = array("jpg", "png", "gif");
    if (in_array($ext, $whitelist)) {
        $des = $_GET['road'] . "/" . rand(10, 99) . date("YmdHis") . "." . $ext;
        if (move_uploaded_file($_FILES['file']['tmp_name'], $des)) {
            echo "<script>alert('上传成功')</script>";
        } else {
            echo "<script>alert('上传失败')</script>";
        }
    } else {
        echo "文件类型不匹配";
    }
}
?>

同样由于白名单,把马子后缀改为1.php.jpg(jpg才是真正的后缀,但php是我们想要的后缀),进行上传并用burp抓包

 

move_uploaded_file($_FILES['file']['tmp_name'], $des)

在读取$des时读到%00发生截断,导致存入路径就到%00之前,从而实现绕过白名单

此时我们的文件后缀为jpg,我们想要的时PHP,因此在第一行upload/后 + 1.php%00(php后跟%00,那么读取文件名时只会读取到.php,而不是.jpg,因此马子就会被当成一个php文件来执行)

 

此时在放包就可以成功上传;后续一样

双写绕过

$name = basename($_FILES['file']['name']);
$blacklist = array("php", "php5", "php4", "php3", "phtml", "pht", "jsp", "jspa", "jspx", "jsw", "jsv", "jspf", "jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer", "swf", "htaccess", "ini");
$name = str_ireplace($blacklist, "", $name);

str_ireplace($blacklist, "", $name) 该函数意思便就是在name中查找是否有数组blacklist中的字符串,若有在则将该字符串替换为空白

上传马子1.php

 

显然所上传文件后缀php被过滤

单单只是文件名被过滤,所以此处考虑双写绕过,但注意此处双写不是简单的把后缀名写两次,而是在php中套一个php,即pphphp;如果只是简单的双写php.php那么两个php后缀名都会被识别并被过滤;

 

后续使用蚁剑即可

 .htaccess

何为htaccess文件

htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能

..

查看源代码之后很明显禁止了许多文件名的访问

于是便想到利用.htaccess文件来使得我们所上传的文件可以成功上传并执行,也就是我们自己写一个新的.htaccess文件去代替网站本身的.htaccess文件

 .htaccess文件内容为

 

ps:

  1. SetHandler application/x-http-php的意思是设置当前目录所有文件都使用php解 析,那么无论上传任何文件,只要符合php语言代码规范,就会被当做PHP执行。不符合规则则报错。
  2. 该文件意为把所有带‘txt’的文件当为php文件来解析

此时便可上传一个不在黑名单的后缀名文件,如1.txt-->马子改后缀

后续蚁剑

文件头检测

原理?

每个文件都有自己的标识符,在文件传输时会进行检测

其利用的是:每一个特定的类型文件都会有不太一样的开头或者标志位来表明它们的文件类型,也就是文件幻数。文件幻数:可以用来标记文件或者协议的格式,很多文件都有幻数标致来表明该文件格式,,,如:

做法

 

用自带的画图软件做一个最最最简单图片,再将其转化为txt文件,在文件最后加一句话木马,再改为原格式,上传并用burp抓包,将文件后缀改为php,放包,蚁剑;

文件后缀绕过

原理

在Apache解析顺序中,是从右到左开始解析文件后缀,如果最右侧后缀名不可识别,就继续往左判断,直到遇到可以解析的文件后缀为止,所以如果上传的文件名类似1.php.xxx,因为xxx不可解析,所以向左解析php

.

<?php
  $info = pathinfo($_FILES["fiel"]["name"]);//获取文件名
  $ext = $info['extension']; //获取文件扩展名
  if(strtolower($ext) == "php")
  {
    exit("不允许的后缀名");
  }

显然此段代码不允许php后缀名,因此此时上传一个1.php.phtml,那么ext=phtml,便可通过函数,但由于Apache解析原因,phtml不可解析,所以会解析php。从而实现绕过

竞争条件攻击

原理

一些网站上传文件的逻辑是先允许上传任意文件,然后检查上传文件是否包含脚本(如:一句话木马),如果包含则删除该文件。但是在文件上传成功到删除之间存在一个短的时间差(执行检查和删除操作需要时间),于是便可利用该时间差完成上传漏洞攻击.....

如上传一个1.php文件,文件作用是生成一个新的马子文件

<?php
  fputs(fopen('../2.php', 'w'), '<?php @eval($_POST[123];?>');
?>

当1.php上传成功后,客户端会立即访问1.php,那么1.php就会在服务端当前目录下自动生成2.php,利用时间差完成上传,达到效果

乐事.!
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
文件上传漏洞——Content-Type
qq_42777804的博客
08-03 8656
预备知识: Content-Type,内容类型,一般是指网页中存在的Content-Type,用于定义网络文件的类型和网页的编码,决定文件接收方将以什么形式、什么编码读取这个文件,这就是经常看到一些Asp网页点击的结果却是下载到的一个文件或一张图片的原因 实验目的 掌握通过修改数据包中Content-Type的值,进行文件上传。 实验工具 Burp Suite中国菜刀 实验环境 服务...
ruoyi实现大文件上传
最新发布
04-24
ruoyi实现大文件上传
渗透测试-文件上传之过滤绕过(二)
lza20001103的博客
04-16 3024
渗透测试文件上传之过滤绕过(二)
文件上传改变content-type
weixin_43802567的博客
08-11 159
文件上传改变content-type
不同的content-type请求头传参数方式,elementui上传文件
JHLIN的博客
07-09 4043
在这里插入代码片1、上传文件用到Content-Type:multipart/form-data1、默认的Content-Type:application/json二、elementui自定义上传文件
html表单提交文件改成浏览器,如何上传文件content-type的设置
weixin_35554226的博客
06-09 1169
前言在碎前整要们开自近事端个广的的带近事端个广使用 fetch / axios 时常常会涉及到文件上传,以及其他请求,其中包括一些 content-type ,被这些不同类型到 content-type 搞得头大,到底什么时候该用怎么样的类型呢,本文将会梳理这页求是解这如前总回随4泉标使幻近面的是,些小端结事机8水移用灯近面的是,些小端结事机8水移用灯近面的是,些小端结事机8水移用灯近面的是,些小...
PHP文件上传
09-16
为了简化这个过程,开发者通常会编写一个专门的文件上传类,以实现对上传过程的全面控制和错误处理。以下是对"PHP文件上传类"的详细解析: 1. **类的结构**: - 一个PHP文件上传类通常包含一系列的方法,如`upload...
JavaWeb文件上传开发实例
09-01
主要为大家详细介绍了JavaWeb文件上传开发实例,如何进行文件上传操作,感兴趣的小伙伴们可以参考一下
java图形化实现文件上传
09-25
利用java图形化界面和网络编程相结合实现的--文件上传。 运行步骤: (1)分别运行工程两个包中的两个.java文件(UploadClient.java和UploadServer.java)分别会弹出“上传客服端”和“上传服务器”两个窗口。 ...
uploadFile文件上传
08-23
"uploadFile文件上传" 描述的可能是一个专用于处理文件上传的插件或组件,它简化了开发人员在应用程序中集成文件上传功能的过程。下面,我们将深入探讨文件上传的相关知识点。 1. 文件上传原理:文件上传通常涉及到...
文件上传下载 Content-type 设置整理
热门推荐
spe294096580的专栏
08-05 3万+
一、Content-type基本概念 HTTP协议提供了Content-Type实体首部字段来描述报文实体的媒体格式,说明请求或返回的消息是用什么格式进行编码的,在request header和response header里都有存在。 用来向服务器或者浏览器说明传输的文件格式,以便服务器和浏览器按照正确的格式进行解析。在最初的的http post请求只支持application/x-www-form-urlencoded,参数是通过浏览器的url进行传递,但此种方法不支持文件上传,所以后...
实验室:通过扩展黑名单绕过 Web shell 上传
Loser5的博客
03-19 3517
实验室:通过扩展黑名单绕过 Web shell 上传
jmeter中关于content-type为multipart / form-data类型的设置(上传文件+boundary)
诗酒趁年华的博客
04-29 9782
一、几种情况 (1)如果单纯上传文件,直接勾选“对post使用multipart / form-data”,注意信息头中不要加content-type (2)如果上传文件,且有boundary,勾选“对post使用multipart / form-data”,文件上传的MIME类型为multipart / form-data (3)如果内容只有参数,且参数用boundary分隔,不需上传文件,不勾选“对post使用multipart / form-data”,参数的文件类型写为multipart / for
Http中Content-Type的详解
weixin_42340514的博客
05-27 461
在Http协议消息头中,使用Content-Type来表示具体请求中的媒体类型信息。 常见的媒体格式类型如下: text/html : HTML格式 text/plain :纯文本格式 text/xml : XML格式 image/gifgif图片格式 image/jpeg :jpg图片格式 image/png:png图片格式 以application开头的媒体格式类型: application/json...
python--判断文件后缀名
小吴同志
02-20 4051
while True: p=input('请选择文件:') y=input('请选择后缀名:') i=p.rfind('\\') f=p[i+1:] if f.endswith(y): break else: print('文件不符合') print('文件符合,允许上传') ...
php黑名单绕过,利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单
weixin_28681379的博客
03-11 215
我在代码审计知识星球里提到了Apache最新的一个解析漏洞(CVE-2017-15715):除了帖子中说到的利用方法,我们还可以利用这个漏洞来绕过上传黑名单限制。目标环境比如,目标存在一个上传的逻辑:if(isset($_FILES['file'])) {$name = basename($_POST['name']);$ext = pathinfo($name,PATHINFO_EXTENSIO...
upload类型题目总结
limenzzz的博客
04-20 1239
你传你🐎呢
【漏洞靶场】文件上传后端检测文件后缀黑名单绕过--upload-labs
m0_46344990的博客
04-24 1524
一、漏洞描述 服务器对上传文件的后缀做验证,不允许如.php的文件上传。这种检测方式是非常不安全的,只要变化未写在黑名单里面的文件后缀,即可绕过验证 二、漏洞发现 在upload-labs第三关中就是采用了黑名单验证文件后缀的方式做文件上传的限制,先在本地写php脚本若上传成功,且知道上传文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php 直接看源码,file_exists判断文件路径是否存在,array数组函数中就是服务器的黑名单, trim() 函数:移除字符串两侧
python编程之os.path.basename(filename)的用法解析
tian_jiangnan的博客
03-21 6578
我是学习python编程的小白,我已经工作了,因此不可能做事情是从python的基础开始学习,而是做一个项目,直接上手,不懂的再慢慢的去学习; 我很疑惑os.path.basename(filename)的用法是什么? 百度过后还是会不记得,难道是记性的问题,肯定不是的,是我们的思维混沌; 我们可以根据path与base的单词大致猜到,跟路径,跟基本名称有关系,我猜测返回的是文件的名称 ...
buuctf文件上传
03-10
buuctf文件上传是指在buuctf平台上进行文件上传的操作。buuctf是一个CTF(Capture The Flag)比赛平台,用于进行网络安全技术的竞赛和学习。文件上传是CTF比赛中的一种常见题型,通过上传恶意文件或者利用文件上传...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值