文件上传upload-labs1-2

最新推荐文章于 2022-09-26 21:06:47 发布

kkzz1x

最新推荐文章于 2022-09-26 21:06:47 发布

阅读量231

点赞数

分类专栏： CTF基础 # 文件上传

本文链接：https://blog.csdn.net/qq_39679772/article/details/104721933

版权

CTF基础同时被 2 个专栏收录

4 篇文章 0 订阅

订阅专栏

文件上传

4 篇文章 0 订阅

订阅专栏

文章目录

基本概念
MIME类型绕过
绕过黑名单
- Windows server特性
- 黑名单不全
服务端检测绕过
- getimagesize()，exif_imagetype()类型验证
- 文件幻数检测
解析漏洞

基本概念

$_FILE常见的属性：
$_FILES[“file”][“name”] - 被上传文件的名称
$_FILES[“file”][“type”] - 被上传文件的类型
$_FILES[“file”][“size”] - 被上传文件的大小，以字节计
$_FILES[“file”][“tmp_name”] - 存储在服务器的文件的临时副本的名称
$_FILES[“file”][“error”] - 由文件上传导致的错误代码

MIME类型绕过

检测Content-Type 内容
在这里插入图片描述

绕过黑名单

转自i春秋

检测黑名单类型的绕过（服务端）
    将危险的后缀名写到一个文件里面，禁止指着后缀名的文件执行
    文件名绕过：
        大小写组合绕过pHp,PhP，混搭绕过php1,php2,php3,php4,php5
    列表名绕过：
        cer,ashx,asa,cer,cdx,htr,绕过(黑名单可能会漏掉的)
    特殊字符绕过：
        a.asp改成a.asp_
    0x00截断绕过：
        上传1.php.jpg burp抓包改成1.php%00.jpg，或者hex-->20改成00当解析的时候，看到空格，后面的那段就不解析了
        或者upload/1.asp(空格)/上传，hex修改20-->00绕过上传
    apache解析绕过:
        help.asp.134.x2,从前向后尝试解析，直到遇到自己认识的扩展名为止。
    双扩展名解析绕过：
        apache的conf配置有AddHandler php5-script.php没有注释掉，
        则，文件名1.php.jpg就能当作php执行
    .htaccess文件攻击：
        自定义.htaccess上传，下面是内容
        <FileMatch "aaa">
        SetHandler application/x-httpd-php
        </FileMatch>
        同目录下，上传一个aaa文件，没有扩展名，内容是一句话，这个时候就成功绕过。

转自这里

Windows server特性

1.点绕过
windows解析文件名最后的.会自动去掉.php.

2.空格绕过
windows解析文件名最后的【空格】也会自动去掉 后缀名之后加空格

3.ADS流
ads流是ntfs文件系统的特性，常常被用来做木马的隐藏之类的，例如： 1.txt::$DATA–如果黑名单没有对后缀名去::$DATA处理
这样的寄生文件有时候也是可以绕过文件后缀黑名单的检查的

黑名单不全

绕过方法：
（1）找黑名单扩展名的漏网之鱼 - 比如 asa 和 cer 之类
（2）可能存在大小写绕过漏洞 - 比如 aSp 和 pHp 之类
能被解析的文件扩展名列表：
jsp jspx jspf
asp asa cer aspx
php php php3 php4
exe exee

双写绕过
有时候在服务端接收文件之后会对特定的文件后缀做删除或者替换处理，这个时候可能就存在双写绕过例如服务端如果是删除php字段的话，可以构造文件名phphpp 后缀的文件，这样匹配替换掉一个php之后文件后缀就是php了。

服务端检测绕过

getimagesize()，exif_imagetype()类型验证

对于该函数的官方文档介绍：
getimagesize — 取得图像大小
getimagesize() 函数将测定任何 GIF，JPG，PNG，SWF，SWC，PSD，TIFF，BMP，IFF，JP2，JPX，JB2，JPC，XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通 HTML 文件中 IMG 标记中的 height/width 文本字符串。
如果不能访问 filename 指定的图像或者其不是有效的图像，getimagesize() 将返回 FALSE 并产生一条 E_WARNING 级的错误。
返回值：
返回一个具有四个单元的数组。索引 0 包含图像宽度的像素值，索引 1 包含图像高度的像素值。索引 2 是图像类型的标记：1 = GIF，2 = JPG，3 = PNG，4 = SWF，5 = PSD，6 = BMP，7 = TIFF(intel byte order)，8 = TIFF(motorola byte order)，9 = JPC，10 = JP2，11 = JPX，12 = JB2，13 = SWC，14 = IFF，15 = WBMP，16 = XBM。这些标记与 PHP 4.3.0 新加的 IMAGETYPE 常量对应。索引 3 是文本字符串，内容为“height=“yyy” width=“xxx””，可直接用于 IMG 标记。

<?php
list($width, $height, $type, $attr) = getimagesize("img/flag.jpg");
echo "<img src=\"img/flag.jpg\" $attr>";
?>

<?php
$size = getimagesize("http://www.example.com/gifs/logo.gif");

// if the file name has space in it, encode it properly
$size = getimagesize("http://www.example.com/gifs/lo%20go.gif");

?>

一句话总结，这个函数返回文件大小和类型，用这个函数来检测文件类型的话，就会有漏洞
绕过：
–>step1：制作图片马：1.cmd命令 2.winhex等工具
在这里插入图片描述
来合成一张图片马，如果用二进制编辑器打开此文件会发现一句话木马写到了文件的后面，把这样的文件上传时，由于文件头仍然是jpg的文件头，getimagesize()函数也会正确的返回图片的大小和文类型
step2：加上%00截断使上传的文件名为php