文件上传总结

已于 2022-08-25 10:44:08 修改
阅读量3.2k 收藏 12
点赞数 1
分类专栏: # 漏洞总结 文章标签: 文件上传漏洞
于 2021-10-16 16:44:24 首次发布
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/120800092
版权

文章目录

前端绕过

这个没啥好说的,burp改包即可。

服务器拓展名绕过

jsp

asp、asa、cer、aspx

Apache特殊可解析后缀绕过

在这里插入图片描述

前提是apache的httpd.conf中有如下配置代码

AddType application/x-httpd-php .php .phtml .phps .php5 .pht

用如下后缀绕过:phtml、pht、phtm、php、php3、php4、php5、php7、phar、phps

%00截断

前提条件: PHP版本 < 5.34 、php的magic_quotes_gpc为OFF状态

我的理解是%00截断是chr(0),在c语言中字符串就是以chr(0)作为结尾,所以%00时被认为是结尾,从而截断后面的字符

.htaccess

在这里插入图片描述

.htaccess是Apache的又一特色。一般来说,配置文件的作用范围都是全局的,但Apache提供了一种很方便的、可作用于当前目录及其子目录的配置文件——.htaccess(分布式配置文件)。

.htaccess

<FilesMatch "tianwen.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

然后上传后缀为jpg的一句话木马

.user.ini

在这里插入图片描述

利用.user.ini上传条件需要是使用的是fastcgi

.user.ini轻松让所有php文件都“自动”包含某个文件,而这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell。服务器为nginx时可以尝试该方法。

//.user.ini
auto_prepend_file=1.jpg
auto_append_file=1.jpg

所有文件自动包含1.jpg

操作系统命名规则

利用windows特性

以下字符放在结尾时,不符合操作系统的命名规范,在最后生成文件时,字符会被自动去除。

test.php:1.jpg

在这里插入图片描述在这里插入图片描述

linux下后缀名大小写

在linux 下,如果上传php不被解析,可以试试上传pHp后缀的文件名。

服务器解析漏洞

apache

Apache解析文件规则是从右到左。例如shel.php.gix.ccc,apache会先识别ccc,ccc不被识别,则识别gix,以此类推,最后会被识别为php来运行。

IIS6.0漏洞

文件解析 :
文件名中分号后不被解析,例如asa\cer\cdx
test.asp;shell.jpg会被当作asp脚本运行,原因是被;符号截断了。

文件类型解析 :
IIS6.0 默认的可执行文件除了asp还包含asa\cer\cdx这三种。

IIS7.5漏洞

目录解析 :
目录名为.asp、.asa、.cer、.aspx,则目录下的所有文件都会被作为ASP
test.jpg/.php会被当作asp脚本运行

Nginx 漏洞

PHP+nginx默认是以cgi的方式去运行,当用户配置不当,会导致任意文件被当作php去解析。
利用条件:

  • 以FastCGl运行
  • cgi.fix_pathinfo=1(全版本PHP默认为开启)

例如如果满足上述条件,当你访问url/shell.jpg/shell.php时,shell.jpg会被当作php去执行。

Nginx 文件名逻辑漏洞(CVE-2013-4547)

影响版本:Nginx 0.8.41 ~ 1.4.3/1.5.0 ~ 1.5.7
利用过程:
上传一个shell.jpg文件,注意最后为空格
在burp中改为shell.jpg[Ox20][Ox00].php(Hex界面)

文件上传防御

  • 服务端文件扩展名使用白名单检测+文件名重命名
  • 对文件内容进行检测
  • 对中间件做安全的配置

冰蝎加密原理

加密过程

首先将payload使用base64加密
↓↓↓
然后使用eval函数执行加密后的payload
↓↓↓
再然后使用aes加密全部payload
↓↓↓
最后进行传输

冰蝎加上代理
在这里插入图片描述
burp抓包
在这里插入图片描述
我这里直接使用aes解密失败,可以用专门的解密工具,地址:https://github.com/melody27/behinder_decrypt
使用上面的工具进行解密

php .\decropt.php -k e45e329feb5d925b -a 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

解密结果如下
在这里插入图片描述
又去看了看冰蝎2的加密过程是先互换秘钥,然后再加密,密码是通过get的方式传过去,而冰蝎三是使用预定义的秘钥,从第一个包开始就使用aes加密,安全许多。
在这里插入图片描述

天问_Herbert555
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网络安全工具冰蝎(behinder)3.0使用教程
SHELLCODE_8BIT的博客
09-13 3245
输入我们上传的地址,之后密码填写rebeyond。我的是java所以选择shell.jsp。将server中的文件上传
文件上传部分总结
sanc7ane的博客
02-23 1014
title: 文件上传总结 date: 2017-11-18 15:17:12 tags: WEB emmmmmmm之前班上小组分环境,我们组刚好做的文件上传漏洞。当时考察的是检测文件头验证绕过和apache解析漏洞。于是做一些相关总结文件上传漏洞是个非常常见且容易理解的一个漏洞,有很多的漏洞场景和利用方式。 现今文件上传的校验一般分为: 客户端javascript校验(也即是网页上一段...
常见webshell工具流量特征分析(哥斯拉、冰蝎、蚁剑、菜刀)
weixin_45971758的博客
06-23 3412
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
Webshell管理工具
热门推荐
weixin_59872639的博客
01-15 1万+
中国蚁剑 中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。是一款非常优秀的webshell管理工具。 中国蚁剑的核心功能 Shell代理功能 Shell管理 文件管理 虚拟终端 数据库管理 插件市场 插件开发 中国蚁剑的简单使用 环境需求 windows攻击机,装有蚁剑 windows靶机,有phpstudy环境 步骤1:写一个简单的一句话木马 <?php @eval($_POST['123456'])
文件上传总结-详细
weixin_44576725的博客
11-22 3937
文件上传总结 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 原理 在 WEB 中进行文件上传的原理是通过将表单设为 multipart/form-data,同时加入文件域,而后通过 HTTP 协议将文件内容发送到服务器,服务器端
文件上传总结笔记
qq_44470251的博客
07-08 290
实现文件上传条件 1)表单的提交方式必须是POST方式。(才有content-type属性) 2)有文件上传表单,表单中有<input type="file"/>的选择文件的标签 3)把表单设置为enctype="multipart/form-data",提交的数据不再是key-value对,而是字节数据 <form action="${pageContext.req...
Struts2 文件上传总结
02-13
Struts2 文件上传是Web开发中的一个重要组成部分,它允许用户从客户端向服务器传输文件,例如图片、文档等。本文将详细讲解Struts2框架中实现文件上传的两种常见方法,并探讨相关的注意事项和技术要点。 首先,我们...
struts2文件上传总结
06-14
以下是对Struts2文件上传的详细总结: 1. **表单设计**: - 在HTML表单中,需添加`<input type="file" />`字段,例如`<input type="file" name="myUpload" />`。`name`属性对应Action类中的属性。 2. **Action类*...
PHP实现文件上传与下载实例与总结
12-18
首先,我们要理解文件上传的基本原理。文件上传的过程简单来说就是客户端通过HTML表单选择文件,然后使用POST方式提交表单,服务器端接收到文件后将其保存到指定目录。在这个过程中,表单需要设置`method="post"`和`...
php上传文件常见问题总结
12-19
1. **基本文件上传** 创建一个HTML表单,使用`<form>`元素来允许用户选择文件,并设置`enctype="multipart/form-data"`以启用文件上传。提交表单后,服务器端的PHP脚本(如`upload_file.php`)将处理文件。示例代码...
解决sese9 安装时多个屏幕
weixin_30737433的博客
08-19 3237
在boot option中,填入x11=fbdev或者x11i=3,再用installation安装 x11=fbdev 进入图形化安装界面 x11i=3 进入字符安装界面 转载于:https://www.cnblogs.com/chinajsks/p/4741908.html...
文件上传总结
ndjnddjxn的博客
04-25 892
文件上传漏洞是用户上传了一个可执行脚本,然后通过该文件获得访问服务器的权限的漏洞
文件上传漏洞之upload-labs打靶笔记
m0_60716947的博客
05-07 1356
(一)文件上传漏洞 (1)文件上传漏洞的定义 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 (2)webshell 的定义 WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp或
【web漏洞文件上传
weixin_51614272的博客
02-16 1444
user.ini配置文件可控导致的文件上传漏洞 当前目录里面有php文件的时候,可以运用ini配置文件进行配置这个php文件 文件包含配置项有auto_append_file和auto_pretend_file auto_append_file=1.txt //保存为user.ini,记得抓包时文件名是.user.ini 1.先上传这个user.ini文件,发现上传成功。 2.然后本来不能上传规定外的文件,现在就可以上传了 3.这个1.txt里面就是一句话木马 <?php @ev
Web文件上传方法总结大全
hebeind100的博客
07-30 706
文件上传在WEB开发中应用很广泛,我们经常发微博、发微信朋友圈都用到了图片上传功能。 文件上传是指将本地图片、视频、音频等文件上传到服务器上,可以供其他用户浏览或下载的过程。 今天我给大家聊聊常见的文件(图片)上传的方式和要点处理。 表单上传 这是传统的form表单上传,使用form表单的input[type=”file”]控件,可以打开系统的文件选择对话框,从而达到选择文件并上传的目的...
文件上传upload-lads
sheep_qm的博客
12-21 1471
文件上传upload-lads 第一关 前端绕过(js) 本关是对文件名的过滤(在客户端进行) 即若文件名中存在php等后缀则直接过滤(弹窗) 上传一个webshell到服务器 但只容许上传".jpg|.png|.gif"; ".jpg|.png|.gif"; jpg。png。gif的文件都不可执行,所以需要上传.php的文件 创建1.jpg 写入一句话木马 GIF89a <?php @eval ($_POST[pass] ) ;?> 使用bp重放 修改文件名为1.php即可 或者 因为是进
守望先锋资讯小程序(源码).zip
最新发布
07-28
守望先锋资讯小程序(源码).zip
使用HttpWebRequest处理大文件上传
"使用HttpWebRequest实现...总结来说,使用`HttpWebRequest`进行大文件上传是一种更高效且安全的方法,它允许我们控制内存使用,防止因文件过大而导致的系统崩溃。同时,这种方法也适用于需要高度定制的HTTP通信场景。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值