文件上传漏洞基础/htaccess重写解析绕过/大小写绕过上传/windows特性绕过

已于 2022-10-23 10:55:43 修改
阅读量3.1k 收藏 25
点赞数 7
分类专栏: 渗透测试 文件上传漏洞 文章标签: 安全 web安全 网络安全 php
于 2022-10-22 20:34:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40345591/article/details/127466181
版权

目录

一、htaccess重写解析绕过上传

htaccess文件

htaccess文件上传

靶场练习pass-04

代码分析

创建.htaccess文件

开始上传

访问

二、大小写绕过

upload-labs pass-05

代码分析

上传

访问

​编辑 

三、空格绕过上传

pass-06

代码分析

尝试上传

访问

四、利用windows系统特征绕过上传

pass-07

代码分析

尝试上传

一、htaccess重写解析绕过上传

htaccess文件

htaccess文件可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能!

htaccess文件上传

如果黑名单过滤了所有的能执行的后缀名,如果允许上传.htaccess。在htaccess文件中写入

SetHandler application/x-httpd-php

则可以将文件重写成php文件。PHPstudy中要使htaccess文件的规则生效,则需要在apache开启rewite重写模块,apache大多数都默认开启该模块,所以一般情况下都生效

可以看到我这里是默认开启的

靶场练习pass-04

代码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",
".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",
".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf","
.jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp","
.aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",
".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
                $is_upload = true;
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

 可以看到这一关非常丧心病狂啊,直接黑名单了几乎所有的后缀名,而且有很多是我没见过的qwq

创建.htaccess文件

<FilesMatch "png">
SetHandler application/x-httpd-php
</FileMatch>

开始上传

上传.htaccess、test.png

上传成功

访问

直接访问一下test.png

成功执行phpinfo()

上传成功!拿webshelll就直接上传一句话木马就ok了

二、大小写绕过

 有的黑名单没有对后缀名的大小写进行严格判断(一般不会有),导致可以更改后缀大小写绕过,如PHP、Php、pHp、PhP、pHP....

upload-labs pass-05

代码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . '/' . $file_name;
                $is_upload = true;
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

仔细看跟上一题的代码有什么区别

 $file_ext = strtolower($file_ext);

 这句代码是将接收到的文件名都转成小写,然后再与黑名单比对,而这道题显然是没有的

我们可以尝试上传test.PhP

上传

直接上传成功了

访问

成功

三、空格绕过上传

还是黑名单中,如果没对空格进行过滤,可以利用在后缀名中加空格来进行绕过

pass-06

代码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . '/' . $file_name;
                $is_upload = true;
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

这次少了这一行

        $file_ext = trim($file_ext); //首尾去空

没有进行首尾去空

尝试上传

 这里php后面加了一个空格但是看不出来

尝试上传

感觉像是浏览器自动把空格去掉了,我们抓包,在数据包里加

 这里空格就比较明显了,发送数据包

上传成功!

访问

 访问成功

四、利用windows系统特征绕过上传

Windows中后缀名.,系统会自动忽略末尾的".",所以可以通过在末尾加.来进行绕过

到这里我们能发现,前面的代码没有一行是没用的,每一行都针对一种上传方法!

pass-07

代码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . '/' . $file_name;
                $is_upload = true;
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

 这里少了一行去掉末尾的点,看到没

如果少了这一行,正巧传入的参数中末尾有点,经过strrchr的处理后,$file_ext就只有一个点了,跟$deny_ext中任何值都不匹配绕过黑名单

并且下面是使用$.file_name所以不会影响后面的转存

尝试上传

我们在windows中尝试修改后缀名为php.

 

 很遗憾,改不了,因为这个是windows的特性啊,自动忽略

所以我们抓包修改,最后访问test.php就行啦,传到文件夹里这个点就没了

先清空前面传的文件

上传成功,尝试访问test.php

 成功

白帽Chen_D
关注
  • 7
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Web安全--文件上传漏洞
bobo_milk的博客
11-11 1097
本文参考了一些文章,如有侵权请留言删除。该文章基于upload-labs基础靶场进行编写。
第四节 文件上传-绕过黑名单验证(.htaccess文件)-01
09-15
绕过黑名单验证是一种常见的攻击技术,攻击者可以使用各种方法来绕过黑名单验证,例如上传 .htaccess 文件、使用 phpinfo 探针、使用其他类型的文件等。因此,在 Web 应用程序安全中,需要格外小心地配置黑名单验证...
第五节 文件上传-绕过黑名单验证(大小写绕过)-01
09-15
第五节 文件上传-绕过黑名单验证(大小写绕过)-01
文件上传漏洞详解
剁椒鱼头没剁椒的博客
11-28 2万+
文件上传漏洞web系统中常见的一种功能,通过文件上传能实现上传图片、视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。编辑器也就是在线的web编辑器,比如在搭建博客后需要发布文章,那么用来发布文章的界面就是web编辑器。
文件上传--Upload-labs--Pass04--.htaccess绕过
2302_79800344的博客
02-18 696
.htaccess绕过
Web安全文件上传漏洞测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
05-21 2463
现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型. 此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文件后缀)到服务器上,并将恶意文件传递给网站脚本语言去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作.
【建站系列教程】6、.htaccess文件的url重写规则-网页伪静态化
十一月廿七风雨大作
03-03 2万+
【建站系列教程】6、.htaccess文件的url重写规则-网页伪静态化如何创建.htaccess文件?.htaccess是什么htaccess语法教程 写在前面:大家好,我是热爱编程的小泽。 【建站系列教程】是我的亲身建站经历写给广大建站同胞们的教学博客。 喜欢的话点个赞吧~ 评论区欢迎交流讨论~ 注意:.htaccess文件,无文件名,第一个字符就是 . 如何创建.htaccess文件? ...
任意文件上传-(一).htaccess文件
05-10
只要和.htaccess文件同目录下就会被当成脚本解析; 用于利用某些Web服务器(尤其是Apache)的配置漏洞,以实现更高级的文件上传攻击或执行其他恶意操作。 文件类型解析:通过.htaccess修改服务器配置,可以让服务器...
破解上传文件大小限制的分发.zip 源代码
06-22
破解上传文件大小限制的分发.zip 源代码 data source static .htaccess admin.php app.php favicon.ico index.php install.php robots.txt
PHP设置图片文件上传大小的具体实现方法
10-26
PHP中,设置图片文件上传大小的限制是一个关键步骤,特别是在处理大文件上传时。默认情况下,PHP允许的最大上传文件大小是2MB,这可能不足以满足一些应用的需求。以下是关于如何调整这些限制的详细说明: 1. **...
文件上传的各种绕过方式
qq_59357741的博客
08-11 7845
常见的文件上传的各种漏洞
文件上传绕过总结
weixin_55205599的博客
07-02 2855
hp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。eg:允许上传.jpg,不允许上传.php,如何绕过传.php一句话木马呢?eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"p。eg:黑名单过滤中只有".php",没有".php "、“ .php”eg : a.JSP、a.Jsp 、a.jsP、a.jSP等等。eg:"a.php.",黑名单没有对"php."过滤,则绕过。eg: a.php改为 a.php::$data。
上传验证绕过解析
weixin_33941350的博客
04-19 669
目录 0x01 客户端验证绕过(javascript 扩展名检测)0x02 服务端验证绕过(http request 包检测) - Content-type (Mime type) 检测 0x03 服务端验证绕过(扩展名检测) - 黑名单检测 - 白名单检测 - .htaccess 文件攻击 0x04 服务端验证绕过(文件完整性检测) ...
文件上传漏洞原理和绕过方式
Andrew的博客
03-22 6427
一.文件上传漏洞原理 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。还有一部分是攻击者通过Web服务器的解析漏洞来突破...
文件上传验证绕过技术总结
热门推荐
ncafei的博客
11-29 5万+
转自  http://www.2cto.com/article/201308/233831.html  1.客户端验证绕过 很简单啦,直接使用webscarab或者burp修改一下后缀名就行。 2.服务端验证绕过-Content-type检测 若服务端检测文件类型时是检测Content-type的值,也很简单,在webscarab或者burp中修改Content
Apache重写规则由浅入深剖析.htaccess
allen的博客
03-08 1740
1、.htaccess文件使用前提 .htaccess的主要作用就是实现url改写,也就是当浏览器通过url访问到服务器某个文件夹时,作为主人,我们可以来接待这个url,具体 地怎样接待它,就是此文件的作用。所有的访问都是通过URL实现,所以.htaccess的作用非同小可。正因为此,所以一般地网站通过设 置.htaccess,通过一个十分友好的url吸引用户进来,然后用.htaccess
php踩坑记】利用.htaccess对URL重写
黑夜的风的博客
05-29 4379
有个需求:输入xxx.com/123时,让服务器转化为xxx.com/index.php?id=123【最初尝试】在v目录下新建文件:(格式utf-8)【index.php】&lt;?php echo "id:".$_GET['id']; ?&gt;【.htaccess】&lt;ifmodule mod_rewrite.c&gt; RewriteEngine on RewriteRule ^(.+...
文件上传.htaccess绕过
最新发布
05-11
文件上传是网站开发中常见的功能之一,但如果上传的文件包含恶意代码,就可能造成严重的安全漏洞。为了防止这种情况的发生,很多网站都会对上传的文件进行限制和检测。然而,黑客可以利用一些漏洞绕过这些限制,实现上传恶意文件。 其中一个绕过上传限制的方法是利用.htaccess文件,它是一个配置文件,可以用来控制 Apache 服务器的行为。通过修改.htaccess文件中的某些配置,黑客可以成功绕过文件上传限制。比如可以尝试修改.htaccess文件中的以下参数: 1. LimitRequestBody:用于限制请求正文的大小。黑客可以尝试将其值设置为比网站规定的最大上传大小要大,这样就能绕过上传限制。 2. AddHandler:指定了如何处理特定类型的文件。黑客可以在其中添加一个可执行文件的处理器,并将自己的恶意代码放在其中。 需要注意的是,这种方法并不是万能的,因为很多网站都会对.htaccess文件进行限制,或者对上传文件进行更加严格的检测。因此,在开发网站时一定要注意上传文件的安全性,以免造成安全漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽Chen_D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值