目录
1 知识储备
概述:在ASCII码中,00代表的是空字符,在URL中表现为%00。在文件截断攻击中,就是采用空字符来误导服务器截断字符串,以达到绕过攻击的目的。
原理:服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置,该函数属于文件系统函数,底层是采用C语言实现的,在C语言中,判断字符串是否结束是以空字符为标志的。因此,当上传的文件名中含有%00符号时,服务器会认为字符串到此结束,从而达到绕过的目的。
截断条件: PHP版本小于5.3.4, PHP的magic_quotes _gpc为OFF状态。
move_uploaded_file()函数原型与介绍:
- 1)函数原型:move_uploaded_file(file,newloc);
- 2)file参数:必需参数,规定要移动的文件。
- 3)newloc参数:必需参数,规定文件的新位置。
- 4)工作过程:本函数检查并确保由 file 指定的文件是合法的上传文件(即通过 PHP 的 HTTP POST 上传机制所上传的)。如果文件合法,则将其移动为由 newloc 指定的文件。
- 5)注意:如果 file 不是合法的上传文件,不会出现任何操作,move_uploaded_file() 将返回 false。
- 6)注意:如果 file 是合法的上传文件,但出于某些原因无法移动,不会出现任何操作,move_uploaded_file() 将返回 false,此外还会发出一条警告。
- 7)注意:本函数仅用于通过 HTTP POST 上传的文件。
- 8)注意:如果目标文件已经存在,将会被覆盖。
2 实验简介
2.1 实验目的
掌握绕过MIME检测的方法,验证文件上传漏洞的存在。
2.2 实验环境
靶场:基于WAMP环境的upload-labs靶场,搭建过程可参考文章《【环境搭建-03】基于WAMP环境的upload-labs漏洞靶场的搭建》。注意,请务必将PHP版本设置为小于5.3.4版本,且PHP版本的配置文件magic_quotes _gpc为OFF状态。
。
攻击机:kali虚拟机,自带BurpSuite软件。
靶场与攻击机处于同一个局域网下。
2.3 前期准备
准备好一个文件,该文件可能是木马,也可能是其他任意文件,本实验以php探针作为测试文件,来验证是否存在文件上传漏洞以及绕过漏洞检测的方法。
文件名为:phpinfo.php,文件内容:<?php phpinfo();?>。
3 文件上传路径截断实例
3.1 实例一:upload-labs-12
测试过程:可以先测试前端JS绕过→MIME绕过→服务端后缀名绕过→文件内容绕过等。
(1)kali虚拟机打开BurpSuite,开启代理拦截功能.具体可参考《【Burp Suite工具-2】BurpSuite工作原理及菜单栏介绍》
(2)kali虚拟机上打开其火狐浏览器,输入网址http://172.16.1.1/upload-labs/访问upload-labs,并点击进入第12关。点击浏览选择刚刚准备的探针文件phpinfo.php。
(3)在kali虚拟机上打开其火狐浏览器,并为浏览器设置代理。具体可参考《【Burp Suite工具-2】BurpSuite工作原理及菜单栏介绍》
(4)将请求拦截并发送到repeater模块。点击上传按钮,可以看到BurpSuite成功拦截到请求,这意味着浏览器端并没有检测文件后缀名。将拦截的请求,右键发送到repeater模块。
(5)在BurpSuite中的repeater模块,点击send,查看响应结果,出现错误提示:只允许上传.jpg|.png|.gif类型文件。
(6)在BurpSuite中的repeater模块,将http请求中的文件后缀名由php修改为gif,点击send,可以看到响应中正常,出现文件上传路径,说明文件上传成功。
(7)在BurpSuite中的Proxy模块中按照上一步操作,http请求中的文件后缀名由php修改为gif,点击forward,可以看到请求发送成功,并收到后端的响应显示如下,由于该文件不是真的图片,因此显示失败。
(8)鼠标右键上图中红框位置(本该是显示图片的位置),点击“新建标签页打开”,可以看到无法执行(这是由于于所上传的文件无法按照php解析),但是返回反馈信息。
(9)在http请求中,我们发现存储路径可控,而根据响应的文件路径,可以发现服务器对上传的文件进行了重命名。在BurpSuite中的repeater模块,尝试是否可以在http请求的请求行中将上传文件另存为.php的文件呢?尝试之后发现,上传出错。
(10)在BurpSuite中的repeater模块进行00截断。在http请求的路径参数中添加test.php%00来进行文件路径截断,由于C语言会将空字符认为是字符串终止符号,函数move_uploaded_file()在保存文件时会将%00后面的字符“截断”,导致服务器将文件以攻击者想要的后缀名存储在攻击者想要的位置。
(11)在BurpSuite中的Proxy模块中,http请求中的文件后缀名由php修改为gif,且在文件路径后添加test.php%00,点击forward。
(12)回到浏览器,可以看到文件成功上传。
(13)右键所上传的文件,在新标签打开,看到文件还是以控制输入的路径访问。
(14)删除test.php符号后的字段,可以看到文件的代码被成功执行。
tips:
http请求中,存储路径可控,是可以采用00截断的一个条件。且采用00阶段是为了使上传的文件可执行。
3.2 实例二:upload-labs-12
与实验一类似地,在代理模块拦截该关卡的请求,找到可以修改路径参数的位置,如下,添加希望该文件存储时的后缀,其中加号主要是为了定位,在后续步骤中将其修改为空字符,起到截断的作用。
点击HEX,将请求界面转化为十六进制显示,同时可以找到刚刚修改的语句如下。
我们可以查到加号的ASCII对应十六进制为2b,因此,此处我们将2b修改为00,表示空字符,修改后可以看到右侧的加号也消失了。
点击forward,可以看到页面显示文件成功上传。
右键该文件,同时修改截断后的字符串,可以看到文件成功执行代码。
4 总结
思路:先寻找一切可以突围绕过的机会让文件上传,再寻找机会让文件能够被执行。
掌握00阶段上传文件的方法,同方法同样有可能适用于文件下载的情况。
668
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
