网络安全笔记--文件上传1(文件上传基础、常见后端验证、黑名单、白名单、后端绕过方式)

已于 2022-08-20 16:31:41 修改
阅读量3.5k 收藏 15
点赞数
分类专栏: python 文章标签: web安全 服务器 安全
于 2022-08-17 22:01:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swy66/article/details/126337225
版权

1. 基础

1.1 初识文件上传漏洞

文件上传漏洞是一种非常严重的漏洞,如果Web没有对用户上传的文件进行有效地过滤,若有不法分子上传恶意脚本,就有可能获取执行服务端命令的能力,严重影响服务器安全。

文件上传漏洞如何查找和判断呢?

黑盒中,可以通过扫描获取上传、或者查找后台系统上传以及会员中心上传等找到上传入口
白盒中,通过分析源代码查找有没有文件上传功能以及上传漏洞

接下来判断文件上传的类型,并选择对应的方法进行测试

1.2 常规文件上传地址获取


WebPathBrute下载

  • 搜索upload.php的页面,在页面中找到上传入口
    在这里插入图片描述
  • 用扫描工具进行扫描
    在这里插入图片描述

1.3 配合解析漏洞下的文件类型后门测试

解析漏洞

  • IIS6/7.X
  • Apache
  • Nginx

Nginx解析漏洞复现

  • 使用vulhub启动漏洞环境

在这里插入图片描述路径:

/root/vulhub-master/nginx/nginx_parsing_vulnerability

执行docker-compose up -d启动容器

在这里插入图片描述
打开网址:
在这里插入图片描述

选取一张图片,打开并写入<?php phpinfo();?>,如下:

在这里插入图片描述

上传并打开:

在这里插入图片描述


输入/.php后回车,代码执行:

在这里插入图片描述


1.4 本地文件上传漏洞靶场环境测试


测试环境:upload-labs靶场

upload-labs下载


在这里插入图片描述在这里插入图片描述

测试思路:js代码过滤非图像文件,因此下载html文件,删除其中关于过滤的js代码,再次进行上传操作。

在这里插入图片描述在这里插入图片描述

上传成功!


1.5 CVE编号文件上传漏洞测试

  • 使用vulhub启动漏洞环境

在这里插入图片描述
路径:

/root/vulhub-master/weblogic/CVE-2018-2894

查看密码:

docker-compose logs | grep password

打开网站,并登录,点击base_domain的配置,在“高级”中开启“启用 Web 服务测试页”选项:

在这里插入图片描述

访问http://ip:7001/ws_utc/config.do,设置Work Home Dir为

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

在这里插入图片描述


点击安全,增加,然后上传webshell

在这里插入图片描述
获取提交后系统返回的时间戳:

在这里插入图片描述
访问:

http://xxx:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

在这里插入图片描述上传的jsp文件被执行!


2. 后端绕过


2.1 常见验证

  • 后缀名: 黑名单、白名单
  • 文件类型: MIME信息
  • 文件头: 内容头信息

黑名单:明确不让上传的格式后缀,如jsp、asp、war等
白名单:明确可以上传的格式后缀,如jpg、zip、gif等


2.2 黑名单

2.2.1 MIME绕过

upload-labs : Pass-02

在这里插入图片描述

打开BurpSuit工具进行抓包,在网页中选择文件,点击上传后,BurpSuit抓到包,说明文件过滤功能应该在服务端。

在这里插入图片描述

方法: 修改Content-Type数据,改为:image/jpeg

在这里插入图片描述

点击Forward按钮进行提交,上传成功!

在这里插入图片描述

打开目录,可以看到刚刚上传的文件。

在这里插入图片描述


2.2.2 黑名单绕过

upload-labs : Pass-03

在这里插入图片描述


查看题目源码,发现这是一个黑名单验证,黑名单不允许上传.asp, .aspx, .php, .jsp后缀的文件,但可以上传.phtml、 .php3 .php5、phps等等。

在这里插入图片描述

本节刚开始讲过,黑名单是规定不允许上传的文件,因此我们可以找其它后缀的文件,这里我们上传一个.php5文件。

在这里插入图片描述

上传成功!
在这里插入图片描述

输入上传的文件地址,回车后,文件执行:
在这里插入图片描述


2.2.3 大小写绕过

upload-labs : Pass-06

看第六关的代码可以看出来,这一关没有强制小写转换,因此可以考虑大小写绕过的方式:

在这里插入图片描述
在这里插入图片描述
执行成功!



2.2.4 空格绕过

upload-labs : Pass-07

对比前面关的代码,发现本关少了“首尾去空”代码

在这里插入图片描述


因此,可以考虑通过空格绕过,通过抓包工具抓取数据包,在文件名后缀上加空格,以此绕过后端检测:

在这里插入图片描述

拖动图片,执行php代码:

在这里插入图片描述


2.2.5 点绕过

upload-labs : Pass-08

查看源码,发现没有对后缀名末尾的点进行处理:
在这里插入图片描述

因此,可以考虑通过空格绕过,通过抓包工具抓取数据包,在文件名后缀上加.,以此绕过后端检测:

在这里插入图片描述在这里插入图片描述执行成功!


2.2.6 ::$DATA绕过

upload-labs : Pass-09

查看源码,发现缺少了过滤后缀名::$DATA的源码:

在这里插入图片描述

文件名+::$DATA 会把::$DATA之后的数据当成文件流处理。不会检测后缀名,且会保持::$DATA之前的文件名

在这里插入图片描述


拖动图片,跳转到代码执行页面:

在这里插入图片描述执行成功!


2.2.7 文件后缀点、空格绕过

upload-labs : Pass-10

查看源代码,发现会过滤空格和点,但是只过滤一次,因此可以写两个空格和点,这样代码只会过滤一个空格和点,以此成功绕过
在这里插入图片描述
在这里插入图片描述
成功绕过!

在这里插入图片描述


2.2.5 双写绕过

upload-labs : Pass-11

在这里插入图片描述


通过查看代码得知,所有在黑名单里的代码会被替换成“”,但是与上关一样,它只替换以此,因此,可以将后缀双写:

在这里插入图片描述


2.3 白名单

2.3.1 GET方式%00截断

upload-labs : Pass-12

查看源代码如下:
在这里插入图片描述
在这里插入图片描述

其原理在于:%00后面的字符会被截断,如:
…/upload/12.php%00128ab385fdac28a9.jpg
128ab385fdac28a9.jpg会被%00截断,最后系统保留的是:…/upload/12.php

【注意:此关测试时需要低版本的的php,亲测php5.2.17可用】


2.3.2 POST方式%00截断

upload-labs : Pass-13

在这里插入图片描述

与上一关思路一样,不同的是本关的提交方式为POST,在数据包中按上关在POST数据中添加即可
添加%00时要手动解码,因为get会自动将%00解码,而在POST不会解码,需要自己手动解码

s.wy
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 上传文件漏洞修复_文件上传漏洞详解
weixin_36264801的博客
01-31 3742
文件上传漏洞详解前言刷完了upload-labs对文件上传漏洞有了些许认识在此做个小结与记录1、文件上传漏洞概述文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器...
fuzz测试文件上传靶场黑名单
2302_76965792的博客
11-21 114
分清黑白名单与FUZZ模糊测试
【漏洞靶场】文件上传后端检测文件后缀黑名单绕过--upload-labs
m0_46344990的博客
04-24 1526
一、漏洞描述 服务器对上传文件的后缀做验证,不允许如.php的文件上传。这种检测方式是非常不安全的,只要变化未写在黑名单里面的文件后缀,即可绕过验证 二、漏洞发现 在upload-labs第三关中就是采用了黑名单验证文件后缀的方式文件上传的限制,先在本地写php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php 直接看源码,file_exists判断文件路径是否存在,array数组函数中就是服务器黑名单, trim() 函数:移除字符串两侧
深入浅出带你了解文件上传白名单绕过
最新发布
dzqxwzoe的博客
05-12 1034
今天比较详细的讲了文件上传白名单绕过原理以及应用方法,可能刚开始学不太好理解。有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。# 学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉。
《小迪安全》第21天 文件上传后端白名单绕过
m0_56250796的博客
11-07 306
首先作者先判断我们用POST方式提交(标签名为submit)的变量是否存在,如果存在,则接下来判断upload这个文件夹是否存在,如果存在则继续判断我们上传文件的文件类型,如果其文件类型为image/jpeg或者为image/png或者为image/gif,那么让temp_file这个变量获取存储在服务器中文件的临时名称,然后让img_path这个变量为upload+/+被上传文件的名称。如果在上传文件的后缀名里面加上空格,匹配到的含空格的字符串就在黑名单之外,就可以成功进行上传。
文件上传黑名单绕过
weixin_54105551的博客
09-07 1218
这一次过滤的更加彻底一些了,.htaccess格式的文件也做了过滤(最后一个,这里不好截图),但是也有一个缺点,没有统一后缀名,所以我们可以构造Php这种写法的后缀名来绕过黑名单过滤,没有特殊配置的情况下绕过方法对linux操作系统的服务器无法实现绕过,因为linux不区分大小写,只有Windows会忽略大小写,上传如下格式的文件至服务器中。这个时候我们上传的shell.jpg被当作php解析了,为了后面的操作,我们最好是先回到更目录,清除一下上传的文件。
web网站文件上传漏洞和攻击-运维安全详细笔记
06-30
Web 网站文件上传漏洞和攻击 - 运维安全详细笔记 文件上传漏洞是 Web 应用程序中的一种常见漏洞,攻击者可以通过上传恶意文件来获取服务器的控制权。本文将详细介绍文件上传漏洞的原理、实验步骤和防御方法。 一、...
基础篇】第04篇:PHP代码审计笔记--任意文件上传1
08-03
GitHub项目地址:https://github.com/c0ny1/upload-labsjs判断文件上传文件类型,抓包绕过文件类型匹配,抓包修改Conte
2024届求职-C++后端-学习笔记-操作系统、计算机网络、C++语言+算法
03-12
2024届求职-C++后端-学习笔记-操作系统、计算机网络、C++语言+算法 2024届求职-C++后端-学习笔记-操作系统、计算机网络、C++语言+算法 2024届求职-C++后端-学习笔记-操作系统、计算机网络、C++语言+算法 2024届求职-...
基础篇】第08篇:PHP代码审计笔记--任意文件下载漏洞1
08-03
1. 使用白名单机制:只允许下载指定的文件类型和路径。 2. 使用黑名单机制:禁止下载指定的文件类型和路径。 3. 使用文件读取权限控制:对文件读取权限进行严格控制,以防止攻击者读取系统中的任意文件。 4. 使用...
web网站文件包含漏洞和攻击-运维安全详细笔记总结
06-30
web 网站文件包含漏洞和攻击-运维安全详细笔记总结 文件包含漏洞是指攻击者通过上传恶意文件,利用服务器的文件包含功能来执行恶意代码,从而获取服务器的控制权。文件包含漏洞可以分为本地文件包含漏洞和远程文件...
java 文件上传漏洞_文件上传漏洞总结
weixin_31129039的博客
02-16 745
POST /upload.php HTTP/1.1Host: localhostContent-Length: 274Cache-Control: max-age=0Origin: http://localhostUpgrade-Insecure-Requests: 1Content-Type: multipart/form-data; boundary=----WebKitFormBoundar...
文件上传漏洞检测及绕过姿势小结
LUOBIKUN的博客
09-23 3037
文件上传漏洞概述 定义 Web应用程序一般都具有上传功能,如果服务端代码未对客户端上传的文件进行严格的验证和过滤,恶意攻击者可以上传脚本文件并被服务器解析,文件上传漏洞就产生了。 检测及绕过姿势汇总 一般来说,关于文件上传漏洞的检测分为两个大方面: 注明: 以下的绕过方法,是针对具体的某种检测方式而言,现实中遇到的环境,大多是多种检测方式的组合,绕过方式也视具体而定。 客户端检测 原理: 在网页上写一段Javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。 绕过方法: 1.直接禁用J
Day24:安全开发-PHP应用&文件管理模块&显示上传&黑白名单类型过滤&访问控制
qq_61553520的博客
03-08 1119
小迪安全-Day24:安全开发-PHP应用&文件管理模块&显示上传&黑白名单类型过滤&访问控制
记一次文件黑名单绕过
yangker12148的博客
01-04 79
记一次文件黑名单绕过 这处上传点可以上传除jsp、jspx类型外得任意文件 一旦上传后缀为jsp或jspx时,就会提示500错误 但是根据上传其他文件类型得文件得知这是windows服务器,可以利用Windows NTFS文件系统$DATA特性绕过 ...
文件上传--3黑名单绕过
技术骨干小李的博客
07-29 1343
介绍一下文件上传漏洞中,黑名单绕过
文件上传漏洞黑名单绕过
qq_51331767的博客
02-27 877
NTFS储存数据流的一个属性,这样我们去访问的时候,我们请求的会被它认为是 phpinfo.php 本身的数据。有时会直接检测你上传的文件,如果你上传了上面规定的文件,他会把你的后缀名去掉,但是他只会过滤一次,这时我们可以用双写进行绕过,只要写两个php就行了,pphphp将php过滤后还剩下php,即可上传成功。然后我们就可以先上传一个.jpg的图片马,然后再上传.htaccess的文件,然后在有.htaccess的文件夹内.jpg就会被解析为.php的文件,然后上传的图片马就可以发挥作用了。
文件上传验证绕过技术总结
热门推荐
ncafei的博客
11-29 5万+
转自  http://www.2cto.com/article/201308/233831.html  1.客户端验证绕过 很简单啦,直接使用webscarab或者burp修改一下后缀名就行。 2.服务端验证绕过-Content-type检测 若服务端检测文件类型时是检测Content-type的值,也很简单,在webscarab或者burp中修改Content
HCIA-Security网络安全学习笔记:OSI模型、TCP/IP协议详解
HCIA-Security 网络安全学习笔记笔记涵盖了HCIA-Security 认证考试的重要知识点,包括网络安全、USG 模拟器使用、OSI 模型、TCP/IP 模型、各层协议之间的关系等。 **USG 模拟器使用** USG 模拟器是网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值