文件上传小结

最新推荐文章于 2022-10-29 16:08:33 发布
最新推荐文章于 2022-10-29 16:08:33 发布
阅读量356 收藏 2
点赞数
分类专栏: 【网络安全】 【渗透测试】 文章标签: 文件上传
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35544379/article/details/84678215
版权

0x00 基础校验方法

前端校验文件名

1.禁用js或修改js
2.抓包绕过

Content-Type检测

1.抓包修改

0x01 黑名单检验后缀名

1.双写绕过

pphphp

2.大小写绕过

pHp,phP,pHP,Php,PHp,PhP,PHP

3.%00截断(需要php5.2x以下 没记错的话)

1.直接在文件名后面截断
2.在保存路径处写文件名再截断
特别注意保存路径

4.其他php后缀

php3,php4,php5,php7,phpt,phps,phtml(一般unix系的服务器默认解析,windows基本没戏)

.htaccess文件解析规则绕过

<FilesMatch "xxx.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

或者

AddType application/x-httpd-php .xxx

6.不符合windows文件命名规则的文件名&&NTFS 流

[注意 使用wamp进行测试,7.1.2,7.2.10版本下的php不可以实现该操作,猜测为在7.1x版本以后对move_uploaded_file进行修改,限制了这种不符合命名规则的方法,后续继续研究]

  1. xxx.php.
  2. xxx.php(空格)
  3. xxx.php:1.jpg
  4. xxx.php::$DATA
  5. xxx.php::$DATA…

文件名中加冒号(:)

对于这种方式进行绕过所生成的文件名内容为空,需要结合php的windows环境的叠加特性进行文件重写,条件算是比较苛刻
一是要文件上传后没有重命名,二是要windows环境

双引号"     =   点号.
大于符号>   =   问号?
小于符号<   =   星号*

xxx.<
xxx.>>>
对xxx.php进行重写

$DATA

对于$DATA,在NTFS文件系统中,所有文件都至少包含一个流,完整的包含流信息的文件名格式应该是

<filename>:<stream name>:<stream type>
Attention: default stream name for file is $DATA
# 也就是说对于文件xxx.txt,它的完整文件名应该是
xxx.txt:$DATA:$DATA
# 默认文件名为
xxx.txt::$DATA
# 当然stream name可以由用户指定
xxx.txt:sdasdas:$DATA
----------
# 对于文件夹来说stream type = $INDEX_ALLOCATION
# 默认stream name = $I30
# 例如在 cmd 中执行如下代码
md new_dir:$I30:$INDEX_ALLOCATION

参考资料 https://msdn.microsoft.com/en-us/library/dn393272.aspx

7.结合文件包含漏洞

随便上传一个含一句话木马内容的txt或jpg文件
结合该web应用的文件包含漏洞,包含上传的文件即可

8.服务器解析漏洞

①IIS5.x-6.x 解析漏洞

目录解析=> /xx.asp/xx.jpg (服务器默认会把.asp, .asa目录下的文件都解析成asp文件)
文件解析=> /xx.asp;.jpg (服务器默认不解析;号后的内容)
IIS6.0默认的可执行文件有
.asp
.asa
.cer
.cdx

②apache解析漏洞

Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断
/xxx.php.sdadsa

其他配置问题:(config以及htaccess)
 AddHandler php5-script .php
 =>只要文件名中有.php即可被当作php文件执行,例如xxx.php.jpg
 AddType application/x-httpd-php .xxx
 =>后缀名为.xxx的文件被当作php文件进行解析

③nginx解析漏洞

nginx默认以CGI的方式支持PHP解析,通过在配置文件中正则匹配设置SCRIPT_FILENAME。当访问…/xxx.jpg/1.php时,$fastcgi_script_name会被设置成"xxx.jpg/1.php",然后构造成SCRIPT_FILENAME传递给PHP CGI。
如果php开启了fix_pathinfo选项,其便会认为SCRIPT_FILENAME是xxx.jpg,而1.php是PATH_INFO,因此会将xxx.jpg当成php文件解析

1.jpg/1.php
1.jpg%00.php
1.jpg/%20\0.php

0x02 对于waf的一些绕过方法(内容检测绕过)

1.文件头检查

gif图像文件头 GIF89a
PNG图像文件头 ‰PNG(89 50 4E 47 )

2.其他(waf逻辑漏洞,如安全狗等)

以下都是出现过的漏洞,现已被修补,但思路差不多,就是乱改…
如果有waf源码另说

删除Content-Type
删除Content-Disposition字段里的空格
增加一个空格
修改Content-Disposition字段值的大小写
构造Boundary边界不一致
文件名处回车
多个Content-Disposition
文件名加一堆点
长文件名绕过,文件名使用中文等
name="file1"改成其他filexxxx

0x03 参考资料

https://msdn.microsoft.com/en-us/library/dn393272.aspx
https://www.waitalone.cn/php-windows-upload.html
https://thief.one/2016/09/22/上传木马姿势汇总-欢迎补充/

Pz_mstr
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
upload-labs通关简述以及文件上传小结
qq_35599248的博客
01-18 2497
本文通过upload-labs学习ctf中常见文件上传漏洞,最后有一个文件上传漏洞的总结。
文件上传心得
weixin_44021927的博客
09-24 323
servlet的图片上传心得小结 1.图片上传用到的相关jar包 链接:https://pan.baidu.com/s/1vtUoylDmbcmBCesLuIqGnQ 提取码:g412 2.上传图片的思想 将本地文件上传到服务器,并对其进行保存,存到数据库,前提必须使用post传参和multipart/form-data格式,但是在使用了该格式下时,以前的request.getParameter(...
常用命令收集(文档编辑&&文件上传
gdqsh(锅底全是灰)的专栏
06-16 130
文档编辑: 1.ed(editor) 编辑文本(只能编辑一行) [code="java"] ed b.txt [/code] 2.fgrep 在文本中查找指定的字符串 并显示该行 [code="java"] fgrep string b.txt [/code] 3.grep 查找文件里符合条件的字符串。 [code="java"] grep string ...
Android 大文件上传时处理上传进度问题小结
01-06
进行大文件上传时,显示上传进度是很好的用户体验,可以有效的缓解用户急躁的情绪。今天Android IT 分享一个好的显示上传进度的解决方案。 我们用到以下两个类就可实现带进度条的文件上传: 1、...
JS获取文件大小方法小结
11-24
通常,当用户从本地选择文件上传时,可以使用HTML5的File API来获取文件的信息,如文件大小,而无需依赖上述方法。例如: ```javascript document.querySelector('input[type=file]').addEventListener('change', ...
SpringBoot实现文件上传下载功能小结
08-29
SpringBoot实现文件上传下载功能小结 本文将对SpringBoot后台实现文件上传下载功能进行详细介绍,包括单文件上传和多文件上传功能的实现方法。 单文件上传文件上传是指用户上传一个文件到服务器端的过程。在...
文件传送小结
03-26
这篇博文"文件传送小结"可能是对文件传输技术的一个总结和探讨,虽然描述部分为空,但我们可以根据标题和标签来推测其主要内容。"源码"和"工具"两个标签暗示了这篇博文可能会涉及实际的代码实现和使用的工具。 首先...
文件上传详谈
m0_56691564的博客
10-29 1376
文件上传漏洞是指文件上传功能`没有对上传的文件做合理严谨的过滤`,导致用户可以利用此功能,上传能`被服务端解析执行的文件`,并通过此文件获得`执行服务端命令的能力`。
php move_uploaded_file
moliyiran的专栏
05-03 733
把本地项目放到服务器上,文件上传到临时文件夹了。但是每次移动的时候就报错。 这种通常是三种原因: 出现这种问题可能是因为: 1、权限不够 2、文件太大(默认只能上传2M以内的文件) 3、文件路径不对 把源文件夹和目标文件夹权限设为777还是不行。好像也不是文件大小超了。然后开启错误日志查看。报如下信息: Warning: move_uploaded_file(): ope
文件上传漏洞(五)
不秃头的程序Yang
05-21 315
十、利用 windows 环境的叠加特征绕过 1、简介 在 windwos 中如果上传文件名 phpinfo.php:.jpg 的时候,会在目录下生产空白的文件名 phpinfp.php,再利用 php 和 windows 环境的叠加属性。 以下符号在正则匹配时相等: 双引号" 等于 点号. 大于符号> 等于 问号? 小于符号< 等于 星号* 文件名.< 或 文件名.<<< 或 文件名.>>> 或 文件名.>><空文件名 ...
Upload-labs 1-21关 靶场通关笔记(含代码审计)
weixin_54894046的博客
10-15 8031
Upload-labs 1-21关 靶场通关笔记(含代码审计)
典型漏洞归纳之上传漏洞
weixin_30911451的博客
02-21 1769
0x01 概要说明 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点防护建议。 from : http:/...
60.网络安全渗透测试—[文件上传篇10]—[系统特性-突破上传]
qwsn
08-08 2965
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、系统特性突破上传(php+window+iis) 1、创建文件的方法: 2、写入文件内容的方法: 3、空格文件上传:`windows会忽略文件名最后的空格` 4、点文件上传:`window系统里面会把文件名的最后一个点自动去掉`
某上传漏洞的姿势
weixin_30298497的博客
10-06 71
关于php上传漏洞的姿势 首先在php,windows,iis(apache也是可以的)的环境下: 双引号(">") <==> 点号(".")';大于符号(">") <==> 问号("?")';小于符号("<") <==> 星号("*")';但是特性只能覆盖已经已知的文件 so,想办法生成一个已知的php文件就好啦上传文件是可以用%00截...
文件上传验证绕过技术总结
热门推荐
ncafei的博客
11-29 5万+
转自  http://www.2cto.com/article/201308/233831.html  1.客户端验证绕过 很简单啦,直接使用webscarab或者burp修改一下后缀名就行。 2.服务端验证绕过-Content-type检测 若服务端检测文件类型时是检测Content-type的值,也很简单,在webscarab或者burp中修改Content
《CTF特训营》web部分读书笔记(四)利用特性攻击(php和win系统)
闵行小鱼塘
07-29 411
继续阅读《CTF特训营》web部分,本节是利用特性攻击
突破后缀限制文件上传漏洞
土拨鼠挖洞中的博客
05-04 6824
php类型:1:构造服务器端虚假扩展名检测上传将一句话木马的文件名lubr.php改成lubr.php.abc。首先,服务器验证文件扩展名的时候,验证的是.abc,只要改扩展名符合服务器端黑名单规则,即可上传。另外,当在浏览器端访问该文件时,Apache如果解析不了.abc扩展名,会向前寻找可解析的扩展名,即”.php”。一句话木马可以被解析,即可通过中国菜刀连接。Apache是从右到左开始判断解...
springmvc小结
最新发布
08-29
Spring MVC是一个基于Java的开源Web框架,它是Spring框架的一部分。它使用了Model-View-Controller(MVC)的设计模式,为开发Web应用程序提供了一种结构化的方式。 Spring MVC的核心组件包括Controller、Model和View。Controller负责处理用户请求并调用相应的业务逻辑处理。Model表示应用程序的数据模型,它通常通过服务层从数据库或其他外部资源获取数据。View负责呈现数据给用户,并将用户的输入转发给Controller。 Spring MVC的工作流程如下: 1. 用户发送HTTP请求到DispatcherServlet。 2. DispatcherServlet根据请求的URL找到对应的Controller。 3. Controller处理请求,调用相应的服务层方法来处理业务逻辑,并返回ModelAndView对象。 4. ViewResolver解析ModelAndView对象中的View名称,找到对应的View。 5. View将Model中的数据呈现给用户,生成HTML响应。 6. DispatcherServlet将HTML响应发送给用户。 Spring MVC提供了许多特性和功能,例如请求映射、数据绑定、验证、拦截器、文件上传等。它还支持RESTful风格的Web服务开发,并且与其他Spring框架模块集成良好。 总结来说,Spring MVC是一个灵活、可扩展且易于使用的Web框架,它帮助开发人员构建高效、可维护的Web应用程序。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值