Jsp挖掘(7)-JSP上传漏洞

最新推荐文章于 2024-08-01 11:27:11 发布
最新推荐文章于 2024-08-01 11:27:11 发布
阅读量3.2k 收藏 3
点赞数 1
分类专栏: 网络安全 代码分析 文章标签: java 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37602797/article/details/116654170
版权

图片

JSP上传漏洞

一、上传漏洞成因

文件上传过程中,通常因为未校验上传文件后缀类型,导致用户可上传jsp等一些webshell文件。代码审计时可重点关注对上传文件类型是否有足够安全的校验,以及是否限制文件大小等。

解决的方法:主要是限制文件的后缀名的校验,还有限制文件的大小

文件上传漏洞的攻击与防御方式

https://www.jianshu.com/p/5ebba0482980

1.前端限制(文件类型的验证)

图片

主要是前端的文件名的检查

这个一般很好的绕过

1.burp suite 绕过,抓包后面再修改文件的类型的后缀名

2.或者是禁用js 用hackbar 火狐的noscript 来绕过前端的验证

2.检查扩展名

用黑白名单的方式来限制文件的扩展名(后台的验证是合法还是不合法)

A>黑名单策略,文件扩展名在黑名单中都是不合法的,主要出现黑名单里面的类型,就不会允许

图片

B>白名单的策略,文件的名字扩展名不在名单中就是不合法的

图片

白名单的策略更加的安全一些,只允许我们接受的文件的扩展名,黑名单可能收集的不全面,可能出现隐患

绕过方法

在一些Web server中,存在解析漏洞

1.老版本的IIS6中的目录解析漏洞,如果网站目录中有一个 /.asp/目录,那么此目录下面的一切内容都会被当作asp脚本来解析

2.老板本的IIS6中的分号漏洞:IIS在解析文件名的时候可能将分号后面的内容丢弃,那么我们可以在上传的时候给后面加入分号内容来避免黑名单过滤,如 a.asp;jpg

3.旧版Windows Server中存在空格和dot漏洞类似于 a.php. 和 a.php[空格] 这样的文件名存储后会被windows去掉点和空格,从而使得加上这两个东西可以突破过滤,成功上传,并且被当作php代码来执行

4.nginx(0.5.x, 0.6.x, 0.7 <= 0.7.65, 0.8 <= 0.8.37)空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行(fastcgi会把这个文件当php看,不受空字节影响,但是检查文件后缀的那个功能会把空字节后面的东西抛弃,所以识别为jpg)

5.apache1.x,2.x的解析漏洞,上传如a.php.rar a.php.gif 类型的文件名,可以避免对于php文件的过滤机制,但是由于apache在解析文件名的时候是从右向左读,如果遇到不能识别的扩展名则跳过,rar等扩展名是apache不能识别的,因此就会直接将类型识别为php,从而达到了注入php代码的目的

3.检查http header 中的centent-type

原理

HTTP协议规定了上传资源的时候在Header中加上一项文件的MIMETYPE,来识别文件类型,这个动作是由浏览器完成的,服务端可以检查此类型不过这仍然是不安全的,因为HTTP header可以被发出者或者中间人任意的修改,不过加上一层防护也是可以有一定效果的

绕过方法

使用各种各样的工具(如burpsuite)强行篡改Header就可以,将Content-Type: application/php改为其他web程序允许的类型

Content-Type: image/jpg

Content-Type: image/png

Content-Type: text/plain。

常用的MIMETYPE表

图片

4.分析文件头内容来检查文件类型

在正常情况下,通过判断前10个字节,基本上就能判断出一个文件的真实类型。

可以通过比如php的exif_imagetype()函数,一个通过这种方法来过滤的示例代码如下:

图片

绕过方法

给上传脚本加上相应的换数头字节就可以,php引擎会将 <?之前的内容当作html文本,不解释而跳过之,后面的代码仍然能够得到执行比如下面:

(一般不限制图片文件格式的时候使用GIF的头比较方便,因为全都是文本可打印字符。)

图片

5.限制Web Server对于特定类型文件的行为

导致文件上传漏洞的根本原因在于服务把用户上传的本应是数据的内容当作了代码,一般来说,用户上传的内容都会被存储到特定的一个文件夹下,比如我们很多人习惯于放在 ./upload/ 下面要防止数据被当作代码执行,我们可以限制web server对于特定文件夹的行为。

因此可以使用服务器程序的接口来进行限制

以Apache为例,我们可以利用 .htaccess 文件机制来对web server行为进行限制

禁止脚本执行有多种方式可以实现,而且分别有不同的效果:

1.指定特定扩展名的文件的处理方式,原理是指定Response的Content-Type可以加上如下几行

AddType text/plain .pl .py .php

这种情况下,以上几种脚本文件会被当作纯文本来显示出来,你也可以换成其他的Content-Type

2.如果要完全禁止特定扩展名的文件被访问,用下面的几行

图片

在这种情况下,以上几种类型的文件被访问的时候,会返回403 Forbidden的错误

3.也可以强制web服务器对于特定文件类型的处理,与第一条不同的是, 下面的方法直接强行让apache将文件识别为你指定的类型,而第一种是让浏览器

图片

符合上面正则的全部被认为是纯文本,也可以继续往里面加入其他类型。

4.只允许访问特定类型的文件

图片

在一个上传图片的文件夹下面,就可以加上这段代码,使得该文件夹里面只有图片扩展名的文件才可以被访问,其他类型都是拒绝访问。

这又是一个白名单的处理方案,永远记得,白名单是最有保障的安全措施

绕过方法

可以通过 move_uploaded_file 函数把自己写的.htaccess 文件上传,覆盖掉服务器上的文件,来定义文件类型和执行权限如果做到了这一点,将获得相当大的权限。

6.文件系统00截断

原理

在上传的时候,当文件系统读到【0x00】时,会认为文件已经结束。利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0x00上传截断漏洞。

绕过方法

通过抓包截断将【evil.php.jpg】后面的一个【.】换成【0x00】。在上传的时候,当文件系统读到【0x00】时,会认为文件已经结束,从而将【evil.php.jpg】的内容写入到【evil.php】中,从而达到攻击的目的。

二、实例子操作

文件上传模块

图片

选择shell的木马

图片

上传的木马解析图片

图片

访问图片地址:http://localhost:8080/WebGoat/uploads/shell.jsp

图片

登陆查看

图片

获取到系统的webshell

shell配备相关的操作工具

图片

查看系统源码:

图片

在源码中找到对应的文件传入的地方

图片

主要是对上传的文件没有过滤:

1、  如何防护,过滤扩展名

源代码
String uploaded_file_path = uploads_and_target_parent_directory 
    + UPLOADS_RELATIVE_PATH 
    + java.io.File.separator
    + item.getName();
          
        File uploadedFile = new File(uploaded_file_path);
        item.write(uploadedFile);
        System.out.println("Stored file:\n" + uploaded_file_path );

        // add url to database table
        Connection connection = DatabaseUtilities.getConnection(s);
        
        Statement statement = connection.createStatement();
        
        // attempt an update
        String updateData1 = "UPDATE mfe_images SET image_relative_url='" + UPLOADS_RELATIVE_PATH + "/"
          + item.getName() + "' WHERE user_name = '"
          + s.getUserName() + "';";
---------------------------------------------------------------------------------------------
修改的添加对文件名后缀的白名单         
  String uploaded_file_path = uploads_and_target_parent_directory 
    + UPLOADS_RELATIVE_PATH 
    + java.io.File.separator
    + item.getName();
      
  String lower_file_name = item.getName().toLowerCase();//先将获取的文件名转换为小写
    
           //白名单的控制允许的文件  
    if(lower_file_name.endsWith(".jpg") ||
        lower_file_name.endsWith(".gif") ||
        lower_file_name.endsWith(".png") ||
        lower_file_name.endsWith(".bmp"){
          
        File uploadedFile = new File(uploaded_file_path);
        item.write(uploadedFile);
        System.out.println("Stored file:\n" + uploaded_file_path );
      }
      
        // add url to database table
        Connection connection = DatabaseUtilities.getConnection(s);
        
        Statement statement = connection.createStatement();
        
        // attempt an update
        String updateData1 = "UPDATE mfe_images SET image_relative_url='" + UPLOADS_RELATIVE_PATH + "/"
          + item.getName() + "' WHERE user_name = '"
          + s.getUserName() + "';";

2、取消上传目录脚本执行权限

catalina.policy文件(设置目录访问权限)

图片

三、防护总结:

1、前端限制

2、上传的黑、白名单限制(文件的大小、文件后缀名、文件头)

3、通过tomcat的上传管理机制

4、现在上传目录的解析权限

5、租用OSS云存储空间,将文件和网址分离

四、学习了解

相关文章:

https://www.cnblogs.com/yuxiaole/p/9293472.html

https://blog.csdn.net/tanzhen1991910/article/details/53260446

公众号:

图片

thelostworld:

图片

个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书:https://www.jianshu.com/u/bf0e38a8d400

thelostworld-公众号
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP系统漏洞记录
samile的专栏
08-13 3133
之前维护公司的一个很老的CRM系统,大概是十年前开发的一套系统,由于系统中的功能设计到的业务很重要,所以客户一直在使用,但是老系统又避免不了安全问题,为了防止系统资料泄露,客户对CRM系统进行了一次安全漏洞扫描。结果只扫出了3个漏洞,这个结果着实很令人惊讶,因为十年前开发的系统到技术更新换代飞速发展的今天,只有3个,真的很不错……            这3个漏洞大概是这样的:    
JSP漏洞大觀
zaowei21的专栏
12-02 2202
 一、源代碼暴露類1.添加特殊尾碼引起 jsp源代碼暴露  在jsp中也存在著和asp這些漏洞類似的問題,如IBM Websphere Application Server 3.0.21、BEA Systems Weblogic 4.5.1、Tomcat3.1等jsp文件尾碼大寫漏洞jsp 文件後加特殊字元如Resin1.2的%82、../漏洞;ServletExec的%2E、+漏洞等等。  例
JSP漏洞大观
ncnynl的专栏
09-01 1280
综述:服务器漏洞安全问题的起源,黑客对网站的攻击也大多是从查找对方的漏洞开始的。所以只有了解自身的漏洞,网站管理人员才能采取相应的对策,阻止外来的攻击。下面介绍一下一些服务器(包括Web服务器和JSP服务器)的常见漏洞。   Apache泄露重写的任意文件漏洞是怎么回事?   在Apache1.2以及以后的版本中存在一个mod_rewrite模块,它用来指定特殊URLS在网络服务器文件系统上所映
文件上传(包括编辑器上传漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
最新发布
Innocence_0的博客
08-01 321
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
jsp的文件上传漏洞详解
zkaqlaoniao的博客
11-06 1219
在某次对某单位进行渗透测试时,遇到一个上传点,网站是java写的,但是上传jspjspx时会被waf拦截,但由于上传路径可控,经过不懈努力最终成果拿到shell,于是写这篇文章记录一下。目录中可以用来放置JSP的静态资源,在servlet3.0协议规范中,包含在jar文件 /META-INFO/resources/ 路径下的资源是可以直接访问的。,代表tomcat默认开启热部署,一旦web应用的web.xml文件的时间戳发生变化(创建时间,修改时间或访问时间发生变化),tomcat就会重新加载应用。
Fckeditor jsp漏洞利用方法:
Macroli
06-26 7980
<br />http://www.xxx.com/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=%2F<br />用这个地址查找上传图片的路径,存在漏洞的话应该返回一个xml文件,如图<br /><br />注意红框的地方,是上传后图片存放的地址。<br />然后用<br />http://www.xxx.com/fckedit
jsp相关漏洞
qq_44790964的博客
11-25 2152
注入 xss 上传 编辑器 st2漏洞 反序列漏洞 网站容器 弱口令漏洞 Struts漏洞 是Apache基金会jakarta项目组的一个开源项目 .action 可能会存在st2漏洞 漏洞挖掘 单个目标站进行测试 工具爬行 找打存在漏洞地址例如 xx.action (一般存在登录的地方 注册 留言的地方) 可能会存在 用相关工具进行测试即可 批量查找与利用(.do 是jsp的页面) 登录或...
JSP中间件漏洞
hellodaoyan的博客
03-12 493
jsp的注入最难挖 另外3个好挖。
JSP 及其他漏洞 -------学习笔记
tell_me_404的博客
03-09 892
一、JSP相关漏洞 1、struts2漏洞 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与...
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5628
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
[漏洞挖掘]SRC-泛微OA文件上传
wwxxee
05-19 4115
SRC–泛微OA任意文件上传 泛微OA weaver.common.Ctrl 任意文件上传漏洞 存在漏洞的路径为: /weaver/weaver.common.Ctrl/.css?arg0=com.cloudstore.api.service.Service_CheckApp&arg1=validateApp 首页: 请求包: FOFA: app=“泛微-协同办公OA” && is_domain=true 普通注册会员只能获取5页信息。 有FOFA会员可以直接通过API请求拿到I
服务器安全技术分析:JSP漏洞大观
03-04
文中介绍一下一些服务器(包括Web服务器和JSP服务器)的常见漏洞:Apache泄露重写的任意文件、在HTTP请求中添加特殊字符导致暴露JSP源代码文件、Tomcat的漏洞、Allair Jrun漏洞有哪些漏洞、Allaire JRUN 2.3 查看任意文件漏洞、 Apache泄露重写的任意文件漏洞、Tomcat 暴露JSP文件内容等。并且针对这些漏洞提出了解决方案。
0day漏洞-F-logic DataCube3 任意文件上传漏洞
weixin_43167326的博客
03-18 539
F-logic DataCube3 /admin/setting_photo.php接口处存在任意文件上传漏洞,恶意攻击者可通过该漏洞在服务器端写入后门,获取服务器权限,进而控制整个web服务器。
漏洞挖掘教程
WINDY_PACE的博客
05-13 3792
明确是在哪种系统进行渗透,今天选择windows系统进行渗透,而明确目标的意思就是明确测试的需求,判断测试是针对哪方面漏洞,是针对支付漏洞,还是逻辑漏洞,还是管理员权限漏洞,其次就是渗透范文,如IP段,域名、整站渗透或者部分模块渗透,最后确定渗透规则,而在这个阶段主要就是测试人员针对测试项目有明确的测试方向,也是为了更好的制定测试计划
尝试JSP各种已知漏洞
热门推荐
u012402926的专栏
06-15 1万+
前段时间,应朋友之邀,我对他们托管的三台服务器的主机进行了测试,发现了JSP网站存在的几个问题。   入侵测试第一步:扫描   扫描是入侵的第一步,它可以让你对即将入侵的目标有一个全面的了解。同时扫描还有可能发现扫描对象的漏洞,为入侵提供一个指导方向。   朋友的两台服务器为Linux,一台为Windows系统,在路由器后面还有一台Cisco PIX 525对三台主机进行保护,只允许外部用户
文件上传漏洞详解
weixin_72940775的博客
03-26 797
对文件上传漏洞的解释与实例展示
jsp文件上传_web安全入门学习之文件上传漏洞
weixin_39817215的博客
12-02 303
什么是文件上传漏洞?即 用户可上传一个可执行的脚本文件,如webshell等恶意脚本,可获得执行服务器端命令的能力。文件上传漏洞利用之webshell webshell:网页后门或以php、jsp、asp、aspx等网页文件存在的命令执行环境来取得服务器的控制权 web:服务器开放的服务;shell:取得服务器的操作权限 webshell用途:1)网站管理、服务器管理;2)入侵/攻击网站服务器一句...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值