文件上传漏洞基础/::$DATA绕过上传/叠加特征绕过/双写绕过

最新推荐文章于 2024-05-13 21:19:30 发布
最新推荐文章于 2024-05-13 21:19:30 发布
阅读量2.1k 收藏 11
点赞数 1
分类专栏: 文件上传漏洞 渗透测试 文章标签: php 安全 开发语言 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40345591/article/details/127472128
版权

一、NTFS交换数据流::$DATA绕过上传

如果后缀名没有对::$DATA进行判断,利用windows系统NTFS特征可以绕过上传

在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,其实和空格绕过点绕过类似

upload-pass08

代码分析

 $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空

看到这里还是黑名单过滤,比前面少了一行

 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

尝试上传

我们开启抓包,上传test.php 抓包中修改 test.php::$DATA

 

上传成功 

二、利用windows环境的叠加特征绕过上传

在windows中如果上传文件test.php:.jpg时,会在目录下产生空白的文件test.php

再利用php和windows环境的叠加属性

正则匹配:

双引号等同于点

大于号等同于问号(任意一个字符)

小于号等同于星号(任意个任意字符)

upload-pass09

代码分析

其实就是把前面的代码加上了,基本上算后缀名检测的防护都开了,这种情况下我们可以尝试使用叠加特征上传

尝试上传

先上传一个test.php 抓包中加入:.jpg

 可以看到,我们上传进了一个test.php但是是0kb,也就是没有任何内容的空文件

下一步就是写入这个文件,我们再次上传抓包

仔细看这个数据包,向test.php中写入<?php phpinfo();?>其实这里有写入的过程,我们只需要把test.php写成我们刚才传入文件的名字并且绕过后缀,使用正则匹配

将test.php变成 test.>>>

 写入成功,上传成功

三、双写绕过

这个就很简单了

upload-pass10

代码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $file_name)) {
            $img_path = $UPLOAD_ADDR . '/' .$file_name;
            $is_upload = true;
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

 str_ireplace("黑名单","空",后缀名)

从后缀名中匹配黑名单中的字符串,如果出现则换成空,从左到右匹配

类似sql注入中的双写绕过

如.pphphp,从左往右匹配到第一个php时去掉变为.php,达到了绕过的目的

尝试上传

 

 

 上传成功

白帽Chen_D
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
文件上传绕过
weixin_44940180的博客
08-18 344
查看是否前端检查文件类型 抓包修改content-type 黑名单验证的话,可以使用php3,php5,phtml,pht等来绕过,但需要在httpd-conf中开启 默认是被注释掉的,且默认只有.php 和 .phtml 使用.htaccess绕过 因此先上传一个.htaccess文件,这样所有文件都会当成php来解析 然后上传一个1.jpg的文件 .htaccess文件内容如下: 上传test.htacess,但是上传的时候抓包将名字去掉,改为.htaccess 上传1.jpg,然后访问连接,.
Delphi7 multipart/form-data实现上传文件
12-26
在Delphi 7中,开发Web应用程序时,我们经常需要处理文件上传功能。"multipart/form-data" 是一种HTTP协议中的数据编码方式,主要用于在表单提交时上传文件,如图片或视频。本教程将深入讲解如何利用 Indy 10 库中的...
第八节 文件上传-绕过黑名单验证($DATA绕过)-01
09-15
第八节 文件上传-绕过黑名单验证($DATA绕过)-01
文件上传绕过方法总结(入门必看)
最新发布
qq_65165505的博客
05-13 1769
常见文件上传绕过方法的总结
2-2 【实验】09-后缀加--$DATA绕过+代码审计
山兔的博客
03-12 893
我们本篇文章,将要讲述pass-08,用到的是windows文件流的一个特性,这个特性,我们先去尝试一下 我们上传一句话木马,然后抓包 这个时候,我们在文件名的后面,加个::$data,利用的就是windows的一个特性,如果说我们windows加个php这么个环境,那我们在上传文件名里面,文件名加上::$data,这个时候,就会把::$data之后的数据当做文件流,进行处理,而且,它不会检测后缀名,而且会保留::$data之前的文件名,其实它的目的就是为了注入检查后缀名,所以我们就利用这个特性进行绕过
文件上传漏洞 — ::$DATA绕过、点和空格绕过
liguangyao213的博客
02-28 1万+
web渗透测试最全实战课程--渗透测试视频教程-信息安全-CSDN程序员研修院 文件上传漏洞的相关讲解基于upload-labs靶场,搭建教程见文件上传漏洞靶机搭建教程 ::$DATA绕过 补充知识 Windows本地文件系统中的文件流(File Streams): 当从 Windows shell 命令行指定创建文件时,流的完整名称为 "filename:stream name:stream type",如示例中所示: "myfile.txt:stream1:$DATA"
初识文件上传漏洞的::$DATA绕过分析
qq_53377571的博客
07-20 655
初识::$DATA绕过分析
文件上传--Upload-labs--Pass03--特殊后缀与::$DATA绕过
2302_79800344的博客
02-17 1424
利用特殊后缀名 或 ::$DATA 绕过何尝不是一种好的选择
信息安全技术:绕过文件内容检测上传.pptx
11-01
总之,绕过文件内容检测上传是一种高级的攻击手段,它利用了系统安全防护的漏洞。为了防止这类攻击,系统管理员应实施更全面的安全策略,包括但不限于深度内容检测、多层防御、严格的文件类型检查和动态行为分析。...
Data:绕过FRP所有apk文件在这里
05-23
Github教程 #### 1。 #### 2。 将?raw = true附加到Github上的任何文件URL以获得直接链接。
HDFS上传文件报错org.apache.hadoop.fs.ChecksumException: Checksum error: file:/hyk/data/hyk.txt
01-07
当从本地上传文件到HDFS中时报错 fs.FSInputChecker: Found checksum error: b[0, 69]=6d6f77656968616861686168616868616686168616861686861680a org.apache.hadoop.fs.ChecksumException: Checksum error: file:/...
用C语言编写multipart/form-data实现上传文件
02-26
在IT领域,网络编程是必...总的来说,用C语言实现multipart/form-data文件上传是一项挑战性的工作,需要扎实的网络编程基础和C语言编程技巧。不过,通过这样的实践,你可以更深入地理解HTTP协议和文件上传的底层机制。
DEP绕过1
08-08
DEP绕过1 DEP(Data Execution Prevention,数据执行防护)是一种Windows操作系统中的安全机制,旨在防止恶意代码在内存中执行。DEP可以防止攻击者通过缓存溢出漏洞来执行恶意代码。然而,攻击者可以通过构造ROP链...
Python模拟浏览器上传文件脚本的方法(Multipart/form-data格式)
01-20
multipart/form-data的请求头必须包含一个特殊的头信息:Content-Type,且其值也必须规定为multipart/form-data,同时还需要规定一个内容分割符用于分割请求体中的多个post的内容,如文件内容和文本内容自然需要分割...
http post上传文件与表格 ContentType = multipart/form-data
03-10
2. **安全性**:需防止文件上传攻击,如恶意文件注入,可以通过验证文件类型、大小以及进行文件重命名来提高安全性。 3. **错误处理**:客户端和服务器端都需要处理上传失败的情况,例如网络中断、文件读取错误等。 ...
用系统自带的文件应用拷贝或移动文件无法到storage/emulated/0/Android/data 目录
08-30
用系统自带的文件应用拷贝或移动文件无法到storage/emulated/0/Android/data 目录
后缀名检测与绕过之Windows特性(::$DATA绕过
m0_73720136的博客
05-06 1033
掌握文件上传的服务端检测中的后缀名检测原理,“【::$DATA】”在Windows下是不被允许的,利用Burp Suite抓包在文件后缀名处添加“【::$DATA】”,绕过服务端的验证后上传文件,Windows会自动去掉后面添加的::$DATA
文件上传绕过】八、::$DATA上传绕过
热门推荐
ssrf
10-10 1万+
文章目录一、利用Windows特性二、源码三、使用burpsuite抓包在文件后缀加::$DATA绕过 一、利用Windows特性 在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名 例如:"phpinfo.php::$DATA"Windows会自动去掉末尾的::$DATA变成"phpinfo.php" 二、源码 源码中未过滤::$DATA $is_upload = false; $ms
文件上传没有去除::$data
weixin_45774059的博客
06-10 131
Linux export PYTHONPATH=/home/wanji/data/tools/recall_cal/:$PYTHONPATH
08-08
在Linux中,可以使用export命令设置PYTHONPATH环境变量。具体的命令是: export PYTHONPATH=/home/wanji/data/tools/recall_cal/:$PYTHONPATH 这样就将/home/wanji/data/tools/recall_cal/添加到PYTHONPATH中了。注意,此方法只在当前命令窗口生效,如果打开一个新的Terminal窗口,定位到当前目录,打印PYTHONPATH是没有刚才加入的路径的。如果想要永久生效,可以将这个命令添加到用户的.bashrc文件中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽Chen_D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值