网络安全笔记 -- 文件上传2(内容逻辑数组绕过、中间件漏洞绕过、WAF绕过)

已于 2022-08-20 16:30:20 修改
阅读量1k 收藏 11
点赞数 1
分类专栏: 网络安全 文章标签: web安全 安全 网络安全
于 2022-08-20 09:47:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swy66/article/details/126395361
版权

1. 内容逻辑数组绕过


1.1 图片马绕过


upload-labs : Pass-14

查看本关源代码,源代码如下:

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if($file_type == 'unknown'){
        $msg = "文件未知,上传失败!";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错!";
        }
    }
}

打开一个图片,在末尾插入一句话木马:
在这里插入图片描述

上传图片,并打开本关提供的文件包含漏洞地址:

在这里插入图片描述
在这里插入图片描述执行成功!



1.2 二次渲染绕过


upload-labs : Pass-17

代码如下:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型,合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片!";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错!";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片!";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片(使用用户上传图片生成的新图片)
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错!";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
    }
}

1.3 条件竞争绕过


upload-labs : Pass-18

代码如下:

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

通过代码可知,本关先将文件上传到服务器,再判断文件后缀是否在白名单里面。如果在,则重命名,否则删除。

因此,如果我们可以上传php文件,由于文件在访问过程中是无法删除的,我们可以在其删除之前访问文件,可以利用BurpSuite设置多次上传,不断访问。

在这里插入图片描述


1.4 目录命名绕过


upload-labs : Pass-20

代码如下:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

        if(!in_array($file_ext,$deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) { 
                $is_upload = true;
            }else{
                $msg = '上传出错!';
            }
        }else{
            $msg = '禁止保存为该类型文件!';
        }

    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

move_uploaded_file()会忽略掉文件末尾的 /.
upload/upload-19.php/.会被伪装成文件夹的形式
把文件伪装成文件夹的形式,
在这里插入图片描述

在这里插入图片描述



1.5 数组接受+目录命名


upload-labs : Pass-21

源码如下:

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功!";
                $is_upload = true;
            } else {
                $msg = "文件上传失败!";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件!";
}

通过查看代码得知后台将save_name赋给file,并判断file是否为数组,因此可以构造save_name数组,大小为3,按照上一关的思路,构造 21.php/.png
save_name[0] = 21.php/
save_name[2] = png

看代码

$file_name = reset($file) . '.' . $file[count($file) - 1];

reset($file)取的是save_name[0]即21.php/,拼接了一个’.’符号,之后又拼接save_name[2]即png,拼接后就是:21.php/.png

在这里插入图片描述
在这里插入图片描述




2. 中间件漏洞绕过


2.1 Tomcat代码执行漏洞


漏洞测试靶场:Vulhub

在这里插入图片描述

启动漏洞环境:

在这里插入图片描述BrupSuit抓取数据包,更换成以下数据包,并发送:

PUT /1.jsp/ HTTP/1.1
Host: your-ip:8080
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 5

shell

在这里插入图片描述浏览器输入地址,访问如下:
在这里插入图片描述



2.2 解析漏洞


2.2.1 Nginx上传解析漏洞


漏洞测试靶场:Vulhub

在这里插入图片描述1. 启动环境
2. 上传一张带有一句话木马的图片
3. 访问如下地址

在这里插入图片描述执行成功!



2.2.2 Apache HTTPD 换行解析漏洞


漏洞测试靶场:Vulhub

  1. 启动靶场

在这里插入图片描述

  1. 上传一个php文件,并用BurpSuit抓包
  2. 进入十六进制编辑页面,并找到文件名evil.php的位置
  3. 将0d改为0a

在这里插入图片描述

  1. BrupSuit中然后点击 Forward按钮
  2. 浏览器中访问/1evil.php%0a,成功解析

在这里插入图片描述


2.2.3 Nginx 文件名逻辑漏洞


漏洞测试靶场:Vulhub

  1. 启动环境
    在这里插入图片描述

  2. 上传php文件,并用BurpSuite抓包

  3. 在文件后缀末尾加空格:
    在这里插入图片描述

  4. 上传:

在这里插入图片描述

  1. 访问上传的图片,在末尾加上[空格][空格].php:

在这里插入图片描述

  1. 查看16进制编码,将最后一个空格改成\0:

在这里插入图片描述

  1. 点击访问,浏览器跳转到解析页面:

在这里插入图片描述



3. WAF绕过


上传参数名解析:明确哪些东西能修改?

  • Content-Disposition:一般可更改
  • name:表单参数值,不能更改
  • filename:文件名,可以更改
  • Content-Type:文件MIME,视情况更改

常见绕过方法

  • 数据溢出 - 防匹配(xxx…)
  • 符号变异 - 防匹配(’ " ;)
  • 数据截断 - 防匹配(%00 ; 换行)
  • 重复数据 - 防匹配(参数多次)

文件上传安全修复方案

  • 后端验证:采用服务端验证模式
  • 后缀检验:基于黑名单、白名单过滤
  • MIME检测:基于上传自带类型检测
  • 内容检测:文件头,完整性检测

  • 自带函数过滤:参考upload-labs函数
  • 自定义函数过滤:function check_file(){}
  • WAF防护产品:宝塔、云盾、安全公司产品等
s.wy
关注
专栏目录
中间件 错误处理中间件日志中间件
weixin_44772522的博客
04-19 1121
错误处理中间件 var express=require('express'); var fs=require('fs'); var app=express(); app.get('/test',function(req,res,next){ fs.readFile('./test.txt',function(err,data){ if(err){ c...
2022年文件上传漏洞绕过姿势整理,过waf
11-20
2022年文件上传漏洞绕过姿势整理,过waf版,绕过思路:对文件的内容,数据。数据包进行处理。2.通过替换大小写来进行绕过
文件上传内容逻辑数组绕过
在下小黄的博客
06-29 680
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: 文件上传内容逻辑数组绕过 微信公众号回复:【靶机】,即可获取本文全部涉及到的工具。 创建时间:2021年6月29日 软件: MindMaster Pro、kali 文件上传内容逻辑数组绕过前言:思维导图中的内容及其他、解析漏洞、CVE漏洞等一、图片马:图片马:图片一句话木马制作方法:第14关:上传图片马进行绕过制作图片马:二、文件头检测:图像文件信息判断:第15题第16题 :php内置函数获取图片类型
文件上传漏洞(三)之内容逻辑数组绕过
胖虎的博客
12-03 2786
目录 前言 一、图片木马的制作 二、图片马的利用方法: 1. 利用文件包含漏洞,打开文件包含的地址来执行上传的图片马 三、二次渲染、条件竞争 1、在图片上传之后,可以进行图片的放大等操作,在上传脚本格式的文件时会暂时保存在服务器中,然后服务器再进行更改 典型的有phpcms 这时候可以用条件竞争来进行绕过,条件竞争也是操作系统特性的问题,在我们打开一个文件时并不能在对该文件进行删除等操作,这个时候就有了一个空“闲”阶段,我们可以上传一个脚本格式的文件,然后用bp去对他不停的去访问,利用这个间隙
WEB漏洞-文件上传内容逻辑数组绕过
xhscxj的博客
01-21 846
文件上传常见验证: 后缀名:类型,文件头等 后缀名:黑名单,白名单 文件类型:MIME信息 文件头:内容头信息
文件上传漏洞-3】内容逻辑数组绕过
qq_41889600的博客
11-10 331
文件上传 二次渲染 文件竞争 数组绕过
WAF上传绕过+wbehshell免杀-漏洞银行大咖面对面9-ian
07-31
### 软WAF上传绕过WebShell免杀技巧详解 #### 一、背景介绍 随着互联网技术的发展,Web应用程序的安全性越来越受到重视。Web应用防火墙(WAF)作为保护Web应用的一种常见手段,被广泛应用于各种场景中。然而,...
第24天:WEB漏洞-文件上传WAF绕过安全修复1
08-03
Content-Disposition:一般可更改name:表单参数值,不能更改filename:文件名,可以更改Content-Type:文件 MIME,视情
分块绕过WAF.zip
02-27
这是一个绕过WAF的方法,大家能够学习到如何绕过的方法。能够提升自己的技术水品。
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
PHP代码审计:文件上传(构造数组绕过
qq_22132931的博客
11-07 586
PHP代码审计:文件上传(构造数组绕过
2021/11/29文件上传-内容及其它逻辑数组绕过
weixin_44532761的博客
12-01 320
小迪 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=21
文件上传内容逻辑数组绕过(22)
san3144393495的博客
05-14 355
file=,就等于我们刚刚上传的图片的地址/upload/8020230514105109.png,被包含之后png里面的php脚本代码就会被执行,之后就把那个带有两个源码的jpg文件上传上去,打开图片的地址,想执行后门代码,需要利用到文件包含漏洞,文件包含漏洞会直接将包含的文件以后门的格式去执行,以当前文件包含的脚本去执行,因为是php,就会放到php去执行。这里也可以手工注入到图片的源码里面来,手工注入,如果采用16进制打开这个图片,这个图片在生成保存的时候,就不会出问题,否则会无法正常打开。
0918文件上传-内容逻辑数组绕过
weixin_44418203的博客
09-19 191
0918文件上传-内容逻辑数组绕过
第22天-WEB 漏洞-文件上传内容逻辑数组绕过
MCTSOG的博客
03-07 1096
相关知识 图片一句话木马 制作方法: 1-在 cmd 里执行 copy logo.jpg/b+test.php/a test.jpg logo.jpg 为任意图片 test.php 为我们要插入的木马代码 test.jpg 为我们要创建的图片马 这类命令还有很多用处,比如将压缩包伪装成图片: copy/b 1.jpg/b+1.rar/b 2.jpg b指代的是二进制 2-也可以直接编辑在尾部插入一句话木马 文件头检测 文件头检查是指当浏览器上传到服务器的时候,白名单进行的文件头检测,符合,则允许上传,.
渗透测试-中间件日志包含绕过php文件读写包含
lza20001103的博客
04-27 1731
文件包含之中间件日志包含绕过
网络安全文件上传黑白名单及数组绕过技巧
最新发布
goldfish8848的博客
07-28 1426
将客户端数据以文件形式封装,通过网络协议发送到服务器端,在服务器解析数据,最终在服务端硬盘上作为真实的文件保存。
文件上传20个绕过方法(upload-labs)
qq_41672971的博客
10-28 1242
文件上传20关
第21、22天:WEB漏洞-文件上传之后端黑白名单以及内容逻辑数组绕过
cailme的博客
05-26 648
渗透测试day21、22
绕过WAF:ASP与PHP参数复用漏洞与异常Method利用
举了一个针对disuczx版本的内置函数_do_query_safe()的绕过例子,攻击者通过巧妙地组合字符串和SQL表达式,利用WAF对SQL注入防护的漏洞,成功绕过安全检查。 复参数绕过是一种高级的攻击手段,需要对目标环境和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值