文件上传漏洞之黑名单

最新推荐文章于 2024-03-30 18:54:33 发布
最新推荐文章于 2024-03-30 18:54:33 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: 渗透测试 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68233961/article/details/126793325
版权

文件上传(是个功能):把自己电脑上面的文件传到服务器上面

任意文件上传才是漏洞

文件上传核心:

        1、能传的上去(服务器上面)

        2、能被解析(你的木马会被执行)

        3、你要能访问的到你传上去的文件(只有在网站根目录下你才能访问的到)

文件上传传上去的木马文件需要在网站根目录下,如果你能访问到你传上去的图片,例如头像,基本上就是在根目录下,因为在一般情况下,不在网站根目录里的东西,你是访问不到的

解析:你传上去的文件被当做后端脚本执行

我们进入靶场:
第一关:前端验证

我们直接上传一个1.php,发现网站做了防护,不允许上传php文件,由于前端是在我们自己的浏览器上面运行的,所以相当于没有校验

 我们打开Burp,将刚才的1.php后缀改为1.jpg,点击上传文件,然后抓包,将后缀再改为1.php,然后放包,复制刚才上传的图片路径,访问,可以看到成功上传webshell

 第二关:后端校验--Content-Type

我们上传一个图片,Burp抓包,可以看到这个Content-Type类型为image/jpeg

我们上传一个php,Burp抓包,可以看到Content-Type这个类型为application/octet-stream

我也可以按照第一关的方法来直接修改这个类型,上传1.php,Content-Type类型修改为image/jpeg,可以直接上传成功

 

 第三关:黑名单

查看源码可以知道,他屏蔽了.asp、.aspx、.jsp、.php这些文件后缀

但是默认情况下 .phtml .php3 .php4 .php5这些都有可能会被当作.php执行

jspx ispf都有可能会被当作.jsp执行
asa cer aspx 都有可能会被当作.asp执行

我们直接将文件后缀改为响应格式就好了

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) {
                 $img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name'];
                 $is_upload = true;
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

 第四关:.htaccess文件绕过

我们查看源码可以看到,他屏蔽了所有有可能被当做php,jsp代码执行的文件后缀 ,所以这时候我们可以先上传一个.htaccess文件,然后在上传一个图片马

".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");

.htaccess(Apache特有):针对某个文件夹有单独的策略,下图是文件内容,这个意思是把.JPG后缀的文件当做php来执行

.htaccess功能:

文件夹密码保护、用户自定义重定向、自定义404页面、扩展名伪静态化、禁止特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表

我们发现无法将文件名命名为.htaccess ,那么该怎么办?

可以使用cmd的重命名  ren 17.txt .htaccess

 

 第五关:后缀大小写绕过

查看源码发现把.htaccess文件也屏蔽了,我们上传文件,改文件后缀

.php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess

第六关:文件后缀空绕过

windows末位自动去空,利用burp抓包,将文件后缀改为.php空格,即可成功上传

第七关:文件后缀点绕过

windows末位自动去点,利用burp抓包,将文件后缀改为.php.,即可成功上传

第八关:::$DATA(Windows文件流绕过)

 windows文件流绕过,利用burp抓包,将文件后缀改为.php::$DATA

第九关:构造文件后缀绕过

无源码较难 ,我们查看源码,可以看到他过滤的顺序和方式,strrchr()查找指定字符在字符串中最后一次出现的位置,从右面开始,所以我们可以根据这个过滤的顺序和方式来构造文件后缀,1.php.空格.,我们上传文件,将后缀改为这样

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . '/' . $file_name;
                $is_upload = true;
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

 

 

第十关:双写文件后缀绕过 

str_ireplace() 替换字符串中的一些字符(不区分大小写)

str_ireplace($deny_ext," ",$file_name) 上传的文件里面出现黑名单里的东西,就替换为空

那如果我们写一个pphphp呢,是不是就被替换为了php,我们可以直接把文件后缀改为pphphp,即可上传成功

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = str_ireplace($deny_ext,"", $file_name);
        if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $file_name)) {
            $img_path = $UPLOAD_ADDR . '/' .$file_name;
            $is_upload = true;
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}
Acyykl
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【愚公系列】2023年04月 文件上传渗透测试之绕过黑名单检查(后缀大小写、空格)
时光隧道
08-22 5万+
文件上传漏洞是一种安全漏洞,指攻击者通过网站上传功能上传恶意文件来攻击网站的漏洞。攻击者可以通过利用这种漏洞上传恶意文件来执行代码和命令,进而控制网站、窃取敏感信息等。常见的文件上传漏洞主要存在于没有健全的文件上传验证机制的网站中。黑名单检查是一种针对某些特定的不良信息或用户的过滤机制,这些信息或用户被列入黑名单,系统可以根据黑名单进行检查,防止他们再次出现或绕过检查。黑名单检查在网络安全、社交媒体、电子商务等领域得到广泛使用。
33、文件上传 -- 绕过黑名单
weixin_41489908的博客
01-09 755
一、大小写绕过 1、上传1.php文件 2、上传1.phP文件 3、用菜刀链接 二、利用空格绕过 上传1.php文件,通过burpsuite抓包,在文件名后面加空格 三、利用.号绕过 上传1.php文件,通过burpsuite抓包,在文件名后面加个点号 四、利用特殊字符绕过 上传1.php文件,通过burpsuite抓包,在文件名后面加上::$DATA 禁止非法,后果自负 欢迎关...
文件上传漏洞黑名单检测
十五年游戏主程转渗透之路
04-18 307
相似扩展名绕过,.htaccess绕过,后缀名大小写绕过,后缀名加空格绕过,后缀名加"."绕过,::$data绕过,后缀名加". ."绕过,后缀名双写绕过
文件上传漏洞-黑名单检测
最新发布
dkxkl1314的博客
03-30 1270
黑名单检测黑名单检测一般情况下,代码文件里会有一个数组或者列表,该数组或者列表里会包含一些非法的字符或者字符串,当数据包中含有符合该列表的字符串时,即认定该数据包是非法的。如下图,定义了一个数组$deny_ext = array('.asp','.aspx','.php','.jsp');然后有一个判断语句如果后罪名为数组里面的几个就不允许上传如何确认是否是黑名单检测黑名单是有限的,可以随意构造一个文件后缀,如果可以上传,则说明是黑名单检测,反之,为白名单检测。
文件上传之路之八:黑名单
weixin_62715196的博客
08-26 320
上传文件黑名单
文件上传漏洞的思维导图
04-19
文件上传漏洞网络安全领域中的一个重要话题,主要涉及服务器上的文件管理与权限控制。攻击者通过这类漏洞能够上传恶意文件,从而可能对系统造成严重破坏,包括执行任意代码、获取敏感信息甚至完全控制服务器。以下...
文件上传漏洞常见绕过方法
05-26
1、前端js检测文件格式 2、上传的文件时加入了“Content-Type”验证 3、文件后缀验证 4、文件后缀黑名单 5、文件头验证 6、文件内容初级验证 7、文件上传+文件包含
你不知道的文件上传漏洞php代码分析
12-18
首先,我们要理解文件上传漏洞是如何产生的。在上述示例中,`upload.php`允许用户上传任意类型的文件,例如通过以下HTML表单: ```html Select the file to upload: ``` 如果没有适当的验证,恶意用户可以...
计算机网络安全文件上传漏洞及防御措施.pdf
09-19
计算机网络安全文件上传漏洞及防御措施 计算机网络安全文件上传漏洞是一种常见的Web安全漏洞,攻击者可以通过上传恶意代码的文件来获取服务器的控制权。为了防御这种攻击,需要对文件上传进行严格的校验检测,...
01文件上传漏洞黑名单检测篇)
jayq1的博客
03-15 763
关于web安全文件上传漏洞知识分享
文件上传--3黑名单绕过
技术骨干小李的博客
07-29 1345
介绍一下文件上传漏洞中,黑名单绕过
文件上传-后端黑名单绕过
T1ngSh0w的博客
09-19 1083
文件上传漏洞之后端绕过黑名单
黑名单文件上传绕过
SoulCat
10-24 1533
黑名单文件上传绕过 我在西北,一山又一山。与你相隔,一关又一关。 漏洞概述: .htaccess用于Apache .user.ini用于php 漏洞复现: .user.ini 原理: .user.ini将所有php文件自动包含任意木马文件执行。 使用条件: 只要以cgi/FastCGI/fpm模式运行的php,并且上传目录下要有正常可执行的php文件,都可以成功包含 上传1.user....
文件上传绕过黑名单方法
weixin_53498616的博客
03-03 504
利用PHP 和 Windows环境的叠加特性,以下符号在正则匹配时的相等性: 双引号" = 点号. 大于符号> = 问号? 小于符号< = 星号* 先上传一个名为1.php:.jpg的文件,上传成功后会生成1.php的空文件,大小为0KB。 然后将文件名改为1.<或1.<<<或1.>>>或1.>><后再次上传,重写1.php文件内容,Webshell代码就会写入原来的1.php空文件中。 ...
文件上传漏洞总结(全)
Dasdwer的博客
04-21 1284
凡是存在上传文件的地方,都有可能存在文件上传漏洞,并不是说有文件上传就一定有文件上传漏洞
第21、22天:WEB漏洞-文件上传之后端黑白名单以及内容逻辑数组绕过
cailme的博客
05-26 600
渗透测试day21、22
文件上传漏洞小结
07-06 220
1 概念 上传文件时,服务器端脚本语言,未对上传的文件进行严格的验证和过滤,就有可能上传恶意的脚本文件,从而控制整个网站,甚至是服务器。 2 危害 • 网站被控制,对文件增删改查,执行命令,链接数据库 • 如果服务器长久未更新,可以利用exp提权,导致服务器沦陷 • 同服务器的其他网站沦陷 3 导致漏洞原因 ·服务器配置不当(iis6.0 put 直...
WEB漏洞攻防 - 文件上传漏洞 - 黑名单验证 [验证文件后缀名]
易编橙 · 终身成长社群,相遇已是上上签!
08-06 2033
什么是黑名单黑名单: 定义上传的文件格式,如"php、jsp、zip、rar、tar等格式",如果上传文件触发该规则,一律拦截不允许上传。
文件上传漏洞服务端黑名单检查是什么
05-30
文件上传漏洞服务端黑名单检查是一种常用的防御措施,用于对上传的文件进行检查和过滤。它通过定义一些不允许上传的文件类型或文件名关键字的黑名单,来拒绝上传这些文件或者对文件进行特殊处理,从而防止上传具有潜在危险的文件。通常,黑名单中包含的文件类型和文件名关键字包括一些常见的可执行文件、脚本文件、Web Shell等等,这些文件可能会被攻击者用来执行恶意代码或攻击服务器。 虽然黑名单检查可以有效地防御文件上传漏洞,但是它也存在一些缺陷。首先,黑名单需要不断更新,以适应新的攻击方式和文件类型。其次,黑名单的维护成本较高,需要投入大量的人力和物力。因此,通常建议采用白名单检查,即只允许上传已知的安全文件类型,来提高安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值