第21篇:WEB漏洞~文件上传~后端黑白名单绕过

已于 2022-08-28 00:33:30 修改
阅读量1.2k 收藏 13
点赞数 1
分类专栏: 小迪安全 文章标签: 前端 php 服务器
于 2022-08-21 23:25:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42438245/article/details/126167078
版权

目录

在这里插入图片描述

1. 正文

1.1. 文件上传常见验证

后缀名,类型、文件头等

后缀名:黑名单、白名单(属于直接方法)
黑名单:明确禁止上传的文件后缀。若记录不全,则根据不禁止的全都允许规则,利用其它后缀达到上传,限于个别情况
白名单:明确允许上传的文件后缀。相对于黑名单更安全

文件类型:MIME信息(属于间接方法)
根据数据包中Content-type 获取数据类型

MIME (Multipurpose Internet Mail Extensions) 是描述消息内容类型的标准,用来表示文档、文件或字节流的性质和格式

根据HTTP数据包content-type自动判断类型,不可靠,因为可抓包修改

文件头:内容头信息(属于间接方法)
每个文件的根本数据为二进制,拥有相应的文件头,亦可以抓包修改

1.2. 简要上传表单代码分析解释

摘自:PHP $_FILES函数详解
$_FILES数组内容如下:
$_FILES['myFile']['name'] 客户端文件的原名称。
$_FILES['myFile']['type'] 文件的 MIME 类型,需要浏览器提供该信息的支持,例如"image/gif"。
$_FILES['myFile']['size'] 已上传文件的大小,单位为字节。
$_FILES['myFile']['tmp_name'] 文件被上传后在服务端储存的临时文件名,一般是系统默认。
$_FILES['myFile']['error'] 和该文件上传相关的错误代码
在这里插入图片描述

<?php
    echo $_FILES['userfile']['name'];
    echo $_FILES['userfile']['name'];
    echo $_FILES['userfile']['type'];
    echo $_FILES['userfile']['size'];
    echo $_FILES['userfile']['tmp_name'];
    echo $_FILES['userfile']['error'];
?>

<form enctype="multipart/form-data" action="" method="POST">
    <input name="userfile" type="file" />
    <input type="submit" name="submit" value="upload" />
</form>

表单根据FILES读取的属性值,可做出相应的判断过滤操作

2. 示例-以Uploadlabs为例

大量php函数需要查询

Uploadlabs整与2022年夏季,与迪师傅网课时年代版本排版不同

2.1. pass02

MIME绕过
在这里插入图片描述
抓包修改Content-type
在这里插入图片描述

2.2. pass-3

        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']); // 移除字符串两侧的空白字符或其他预定义字符。
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.'); // 搜索 点 在字符串中的位置,并返回从该位置到字符串结尾的所有字符,即后缀
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

检测文件后缀是否在黑名单中

“https://zhuanlan.zhihu.com/p/57847225”
搭建平台的特性
其他格式执行出其他效果,取决于平台的功能配置
php3
防止平台未开放其他脚本的解析功能,上传文件时最好上传同于搭建网站的脚本语言

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.3. pass-4

.heaccess解析只有apace可用

.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。
提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。
作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置

<!--首先上传文件名为 .heaccess 的文件,文件内容如下-->
<FilesMatch "shana">
Sethandler application/x-httpd-php
</FilesMatch >

意为上传的文件名中含有cimer的,均视为php执行,但需要打开配置文件中的开关
在这里插入图片描述
在这里插入图片描述
理论如上,焯,为什么我没成功

2.4. pass-5

啊官网上关于.user.ini的介绍
神秘的.user.ini文件
关于php网站可以上传的配置文件: heaccess 、.user.ini。根据黑名单列表,选择上传 ini文件
引发 .user.ini 解析漏洞需要三个前提条件

  1. 服务器脚本语言为PHP
  2. 服务器使用CGI/FastCGI模式
  3. 上传目录下要有可执行的php文件

网站上传根目录存有 readme.php 文件
上传文件

# 对当前文件夹下所有文件头拼接5.jpg 文件
auto_prepend_file=5.jpg 
# 对当前文件夹下所有文件尾部拼接5.jpg 文件
auto_append_file=5.jpg
# 以上选一

上传 5.jpg 为脚本代码
在这里插入图片描述
访问readme.php ,执行php脚本同时执行拼接上的 5.jpg
在这里插入图片描述

2.5. pass-6

# 缺少大小写转化
$file_ext = strtolower($file_ext); //转换为小写

windows文件不区分大小写,即可修改文件后缀大小写突破黑名单
在这里插入图片描述

2.6. pass-7

# 缺少首尾去空
$file_ext = trim($file_ext); //首尾去空

windows文件后缀自动去掉末尾空格,即不存在1.txt
数据包中可以添加空格成1.txt ,即文件后缀带有空格部分,但上传成功后操作系统回去除空格
在这里插入图片描述

2.7. pass-8

# 缺少过滤文件末尾的点
 $file_name = deldot($file_name);//删除文件名末尾的点

文件名添加点意为文件类型为php.,通过黑白名单检索
在这里插入图片描述

2.8. pass-9

# 缺少去除::$DATA
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

补充知识:php在window的时候如果文件名+“:: D A T A " 会把 : : DATA"会把:: DATA"会把::DATA之后的数据当成文件流处理,不会检测后缀名,且保持”::$DATA"之前的文件名 他的目的就是不检查后缀名。
在这里插入图片描述

2.9. pass-10

过滤函数使用与pass-3一致,pass-03使用白名单,pass-10使用黑名单

 $file_name = deldot($file_name);//删除文件名末尾的点
# 该函数定义如下: 即从字符串的尾部开始,从后向前删除点. ,直到该字符串的末尾字符不是. 为止。(来自百度)

从后向前删除点. ,直到该字符串的末尾字符不是.为止,因此得到的文件后缀应该是空格
在这里插入图片描述

2.10. pass-11

# file_name中含有在deny_ext中的后缀替换成空
$file_name = str_ireplace($deny_ext,"", $file_name);

str_ireplace() 函数替换字符串中的一些字符(不区分大小写)
本题过滤文件后缀名中的敏感后缀,过滤分为两种循环过滤和一次过滤

  • 循环过滤将持续每次逐字符检索连续的php字符
  • 一次过滤只进行一次

pass-11使用str_ireplace() 进行了一次过滤
在这里插入图片描述

2.11. pass-12

$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
# substr() 截取字符串某位置开始后的剩下字符串
# strrpos() 函数查找字符串在另一字符串中最后一次出现的位置。
# 综上因该是获取后缀名
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
# . 为拼接符, 从save_path参数获取存放路径
# img_path  拼凑一个新的文件名
if(move_uploaded_file($temp_file,$img_path)){
    $is_upload = true;
}

php的一些函数的底层是C语言,而move_uploaded_file就是其中之一,遇到0x00会截断,0x表示16进制,URL中%00解码成16进制就是0x00。

  • %00截断:地址上的拦截
  • 0x00,文件命名上的截断

由于从save_path参数获取存放路径,因此可以添加截断掉符号。修改数据包中准备存放文件的路径值参数

upload7.php%00/2131254112.jpg
%00 为解码后为 '\0',在字符串中意为字符串结尾符

前提条件需要关闭magic_quotes_gpc以防止对提交参数的转义且php版本<5.3.4
在这里插入图片描述
直接访问新名字1.php
在这里插入图片描述

2.12. pass-13

同pass-12截断,pass-13截断的存储路径在post提交数据中

get提交会将数据中的url编码自动解码,post并无此过程,因此需要手动解码

目前这一关卡在同迪师傅相同地点

upload-labs通关记录

廖一语山
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅出带你了解文件上传白名单绕过
qq_44005305的博客
01-02 2242
今天比较详细的讲了文件上传白名单绕过原理以及应用方法,可能刚开始学不太好理解。有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。# 学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉。
文件上传漏洞进阶教程/白名单绕过/图片马制作/图片马执行
ChenD的学习笔记
10-23 7668
文件上传漏洞进阶教程/白名单绕过/图片马制作/图片马执行
WEB 漏洞-文件上传后端白名单绕过
最新发布
weixin_65409651的博客
06-20 327
【代码】WEB 漏洞-文件上传后端白名单绕过
web安全第六天:绕过白名单监测实现文件上传
cc777777777的博客
02-27 3432
web安全第六天:绕过白名单监测实现文件上传
Day47:WEB攻防-PHP应用&文件上传&函数缺陷&条件竞争&二次渲染&白名单&JS绕过
qq_61553520的博客
03-25 964
小迪安全-Day47:WEB攻防-PHP应用&文件上传&函数缺陷&条件竞争&二次渲染&白名单&JS绕过
21、22天:WEB漏洞-文件上传后端白名单以及内容逻辑数组绕过
cailme的博客
05-26 616
渗透测试day21、22
<小迪安全>21-文件上传漏洞后端白名单绕过
hackerXxxt的博客
03-20 176
文件上传常见验证:后缀名,类型,文件头等后缀名:名单,白名单文件内容:MIME信息文件头:文件头信息名单:明确不让上传的格式后缀当名单后缀名不完整,可以通过其他后缀名达到相同的效果php5,Phtml白名单:明确可以上传的格式后缀。
上传文件白名单_Web 安全漏洞文件上传
weixin_28859539的博客
01-15 722
点击上方关注我们吧文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞。大部分网站都会有文件上传的功能,例如头像、图片、视频等,这块的逻辑如果处理不当,很容易触发服务器漏洞。这种漏洞在以文件名为 URL 特征的程序中比较多见。嗯,是的,说的就是世界上最好的语言 PHP。例如用户上传了一个 PHP 文件...
第九节 文件上传-绕过名单验证(路径拼接绕过)-01
09-15
文件上传-绕过名单验证(路径拼接绕过) 在 Web 应用程序中,文件上传是非常常见的功能,但是在实现文件上传时,需要注意安全问题,例如名单验证。名单验证是指在文件上传时,对上传的文件进行检查,如果...
第八节 文件上传-绕过名单验证($DATA绕过)-01
09-15
文件上传-绕过名单验证($DATA绕过文件上传Web应用程序中常见的功能,但是如果没有正确的验证机制,可能会导致安全漏洞名单验证是一种常见的验证机制,但是如果攻击者能够绕过名单验证,那么可能会...
单页Web应用:JavaScript从前端后端
07-22
资源名称:单页Web应用:JavaScript从前端后端内容简介:《单页Web应用:Javascript从前端后端》是设计和构建大规模Javascript单页Web应用(SPA)的宝贵指南,这些应用从前端后端都使用...
jQuery Ajax使用FormData上传文件和其他数据后端web.py获取
10-19
前端使用jQuery和Ajax技术结合FormData接口上传文件和其他数据到后端,通常与web.py框架结合使用,实现文件和数据的异步上传。这里详细介绍了两种主要的方法。 第一种方法是通过表单(form)初始化FormData对象。...
web安全技术-实验六、文件上传漏洞.doc
08-20
文件上传漏洞】是Web应用安全领域中的一个重要概念,它主要出现在允许用户上传文件到服务器的应用程序中。当系统没有正确地验证或过滤上传的文件类型时,攻击者可以利用这个漏洞上传恶意代码,例如病毒、木马或者...
WEB安全基础 - - -文件上传文件上传绕过
weixin_67503304的博客
07-23 2098
简单分析文件上传漏洞,利用靶场进行实例讲解,如:绕过客户端检测,绕过服务端检测。
常见文件上传漏洞后端绕过
qq_63217130的博客
04-18 1641
那些常见文件上传绕过的姿势总结
文件上传漏洞-2】白名单
qq_41889600的博客
11-09 1115
文件上传
【開山安全笔记】文件上传漏洞
開山安全,無限进步
10-22 335
文件上传漏洞是指由于服务器配置不当或者没有进行足够的过滤,WEB用户可以上传任意文件,包括恶意脚本文件、EXE程序。常见的绕过方法分为前端后端前端禁用js,后端白名单绕过,除此之外还有二次渲染绕过,条件竞争等形式。
【愚公系列】2023年04月 文件上传渗透测试之绕过白名单检查(Content-Type、%00截断、0x00截断、CVE-2015-2348)
热门推荐
时光隧道
08-22 5万+
文件上传漏洞是一种安全漏洞,指攻击者通过网站上传功能上传恶意文件来攻击网站的漏洞。攻击者可以通过利用这种漏洞上传恶意文件来执行代码和命令,进而控制网站、窃取敏感信息等。常见的文件上传漏洞主要存在于没有健全的文件上传验证机制的网站中。白名单检查是一种安全机制,用于限制只有列入特定名单中的人员、设备或程序才可以获得访问权限,而不允许其他未经授权的访问。这种机制通常用于保护敏感数据或系统不被未经授权的访问和攻击。在白名单检查中,只有列入白名单的实体允许通过验证,而不在白名单中的所有实体都被阻止访问相关资源。
上传验证绕过——服务端白名单绕过
Williamanddog的博客
01-28 1564
文件上传验证绕过的服务的白名单绕过方式,MIME类型检测绕过和%00截断绕过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值