php 上传绕过,特殊的上传技巧绕过PHP图片转换实现远程代码执行(RCE)

最新推荐文章于 2022-08-16 12:13:03 发布
最新推荐文章于 2022-08-16 12:13:03 发布
阅读量381 收藏
点赞数
文章标签: php 上传绕过

特殊的上传技巧绕过PHP图片转换实现远程代码执行(RCE)

我使用了一个特殊的图片上传技巧,绕过PHP GD库对图片的转换处理,最终成功实现了远程代码执行。

事情是这样的。当时我正在测试该网站上是否存在sql注入漏洞,不经意间我在网站个人页面发现了一个用于上传头像的文件上传表单。开始时我并没指望在上传功能处发现漏洞,但我决定试试。

我上传了一个图片文件,通过截断http数据包,修改jpg图片的文件名后缀为php,然后继续上传。我惊讶的居然上传成功了,我几乎不敢相信这么简单的漏洞居然存在。于是我复制了图片url并且在浏览器上打开。进入我眼帘的是图片的二进制代码,这意味着图片以php解析了,并根据响应包里的content-type以text/html格式返回。

我现在要做的是在jpg文件中注入php代码以进行远程代码执行,于是我尝试将代码 phpinfo(); ?>写入图片的EXIF头里,但是悲剧的是再次上传发现php代码没有被执行。

在本机进行了测试,结果仍然无效——代码没有被执行

38fcc3a34e2b2dc097d01c3f7b4cf645.png

在上传到服务器后,EXIF里的代码都被删除了,应用通过imagecreatefromjpeg()函数调用了PHP GD库(GD库,是php处理图形的扩展库),对图片进行了转换。那么如果不将代码注入EXIF头而是注入到图片里呢?

596b013113d6f2e5b1d7a1684d661816.png

本机测试通过,但当我上传“1.jpg”到服务器上,返回以下结果:

fff7c8a1bac8fbe37d1f969b25be13cc.png

报错上写着“文件必须是合法的图片(.gif, .jpg, .jpeg, 或.png)”,我惊叹于应用是怎么判断图片不合法的。我又测试了一些其他jpg文件,结果发现修改任何一个图片字符都会引起php-gd库的错误判断,进而造成上传失败。

接下来我又使用gif图片进行了同样的操作,结果是:图片上传成功了,但是图片中的php代码完全被删除了。

虽然这看起来不可思议,但是我不能放弃,因为现在距离成功利用远程代码执行(RCE)只有一步之遥,我必须绕过imagecreatefromgif()函数。我对图片的处理和php GD库的运行知之甚少,可是这不影响我使用一些传统渗透测试方法。

我想到一个方法:对比两张经过php-gd库转换过的gif图片,如果其中存在相同之处,这就证明这部分图片数据不会经过转换。然后我可以注入代码到这部分图片文件中,最终实现远程代码执行。连我自己都佩服我的机智!

如图,我用十六进制编辑器打开图片文件,找到了php转换前后仍然保持相同的十六进制串“3b45d00ceade0c1a3f0e18aff1”并修改它为<?phpinfo ()?>。

4acbf2ed1e8f6389ec474f50ea3bf1d5.png

保存图片,上传到服务器:

708cab055fcce122d38a879eb058858c.png

我的PHP代码被执行了,我最终成功实现了远程代码执行。

http://www.dengb.com/wzaq/927602.htmlwww.dengb.comtruehttp://www.dengb.com/wzaq/927602.htmlTechArticle特殊的上传技巧绕过PHP图片转换实现远程代码执行(RCE) 我使用了一个特殊的图片上传技巧,绕过PHP GD库对图片的转换处理,最终成功实现...

洛克船长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php远程上传图片
09-19
php 实现HTTP协议的文件上传可以不落地上传远程图片
php命令注入绕过姿势,挖洞姿势:特殊上传技巧绕过PHP图片转换实现远程代码执行RCE)...
weixin_42510600的博客
03-10 421
我使用了一个特殊图片上传技巧绕过PHP GD库对图片转换处理,最终成功实现远程代码执行。事情是这样的。当时我正在测试该网站上是否存在sql注入漏洞,不经意间我在网站个人页面发现了一个用于上传头像的文件上传表单。开始时我并没指望在上传功能处发现漏洞,但我决定试试。我上传了一个图片文件,通过截断http数据包,修改jpg图片的文件名后缀为php,然后继续上传。我惊讶的居然上传成功了,我几乎不敢...
php 上传图片漏洞,ZwelL通用图片上传漏洞
weixin_39520988的博客
03-11 113
和大牛在奶茶厅喝奶茶的时候意外发现的。直接贴源码https://raw.githubusercontent.com/hardwork537/code/master/uploadimg.php让大家感受下/* * ****************************************************************************参数说明:$max_file_siz...
php 上传图片漏洞,phpcms图片上传漏洞解析
weixin_39638468的博客
03-11 327
?针对下法程序说明: Fileext函数是对文件后缀名的提?针对下法程序说明:Fileext函数是对文件后缀名的提取。根据此函数我们如果上传文件名为ddd.Php.jpg%20%20%20%20%20%20%20Php经过此函数提取到的后缀还是jpg,因此正在is_image()函数中后缀检测被绕过了。我们回到public function crop_upload() 函数中if(is_image...
文件上传漏洞
Frankltf的博客
04-30 121
&#13; 文件上传漏洞 大部分的网站和应用系统都有上传功能,如用户头像上传图片上传,文档上传等。一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,就可以在远程服务器上执行任意PHP脚本。 当系统存在文件上传漏洞时攻击者可以将病毒,木马,WebShell,其...
Apache Flink 未授权访问+远程代码执行.pdf
最新发布
04-30
Apache Flink 未授权访问+远程代码执行.pdf,该漏洞可以上传任意Jar包导致远程代码执行
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
代码审计-PHP 项目类 RCE 及文件包含下载删#漏洞关键字:select insert update mysql_query mysqli 等文件上传:$_
攻击者是如何将PHP Phar包伪装成图像以绕过文件类型检测的(推荐)
01-20
在US BlackHat 2018大会上,安全人员证明,攻击者不仅可以利用PHAR包发动RCE攻击,而且,通过调整其二进制内容,他们还可以将其伪装成一幅图像,从而绕过安全检查。 在本文中,我们来看看第二点是如何做到的。 背景...
Umbraco-RCE:Umbraco CMS 7.12.4-(已认证)远程执行代码
03-21
Umbraco RCE漏洞利用/ PoC Umbraco CMS 7.12.4-(已认证)远程执行代码 [ ] [ ]用法$ python exploit.py -husage: exploit.py [-h] -u USER -p PASS -i URL -c CMD [-a ARGS]Umbraco authenticated RCEoptional ...
代码审计学习phpcms头像上传漏洞
m0_46467017的博客
08-16 1164
究竟是什么原因造成了这个漏洞,究其根本还是以为你将用户不安全的POST数据写入了文件,并解压到web目录下了。世界上有无数种方法可以避免这个问题,web目录下随便写文件真的好吗?为何你不把压缩包放进tmp目录里,如果上传、解压缩的操作都能在tmp目录里完成,再把我们需要的头像文件拷贝到web目录中,还会有这么麻烦的安全问题吗?phpcms已经彻底抛弃了解压缩的方式,直接在前端将图片处理完成后进行上传。......
upload.php漏洞,PHP漏洞全解(九)-文件上传漏洞
weixin_39641450的博客
03-23 679
一套web应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件。下面是一个简单的文件上传表单form>php的配置文件php.ini,其中选项upload_max_filesize指定允许上传的文件大小,默认是2M$_FILES数组变量PHP使用变量$_FILES来上传文件,$_FILES是一个数组。如果上传test.txt,那么$_FILES数组的内容为:$FILESArray{[...
php获取本地上传图片地址_php上传图片远程服务器并返回图片地址到本地显示...
weixin_31363715的博客
03-09 622
本示例将演示一个简单的上传图片远程服务器,然后生成图片路径后通过提交的回调路径返回给本地服务器,最后将图片地址显示在前端页面。本项目应用三个文件,即前端选取图片的页面,然后提交图片远程服务器处理文件,返回前端页面的回调文件。一、前端上传图片页面upload_test.html/p>"http://www.w3.org/TR/html4/loose.dtd">Upload Image...
php发送图片文件到服务器,php 发送图片远程服务器
weixin_33313117的博客
08-13 303
php 发送图片远程服务器 内容精选换一换体验馆提供了各场景下的无服务器构造方案,指导您端到端地构建一个无服务器案例。对于每个案例都介绍了如下内容,包含的案例如表1所示。动态展示案例架构图。动态展示案例的实际效果。使用动图分步骤演示构建过程。本节为您介绍如何通过控制台提供的远程登录功能(即VNC方式)登录到云服务器上。登录成功后,如需使用VNC界面提供的复制、粘贴功能,请参见后续处理。已绑定弹性...
php上传远程图片,如何上传远程图片啊,
weixin_39728572的博客
03-12 308
include_once('upyun.class.php');$fb=fopen('http://www.baidu.com/img/bdlogo.png','rb');$filename='/video/test.jpg';$upload = new UpYun('test', 'test', 'test123');$upload ->writeFile("$filename", $fb...
实现图片上传功能 给博客注入灵魂 手把手教学
FRed、
07-05 451
在做博客项目练手时,除了CRUD,支持Markdown语法。最能够丰富你的博客内容的,莫过于给你的博客加上图片,不论是封面图,还是博客中的流程图等。加上图片,就相当于注入了灵魂,给你的博客锦上添花! 在此我使用的是七牛云作为示例,原因就是10G以内免费。对于个人博客来说足以。 登录七牛云官网进行注册,实名认证,并开启对象存储。新建空间。(建议使用私有空间,防止被人利用图床) 创建成功后会自动生成一个测试域名,30后过期。建议绑定自己的域名! 绑定域名需要自己云服务器,并且购买域名,再进行域名备案,.
php不分版本远程上传图片
qq_17199495的博客
04-24 128
如果一定要兼容不同版本的PHP,参考以下写法: if(empty($urlinfo[‘host’])){ tmpname=dirname(tmp_name=dirname(tmpn​ame=dirname(file[‘tmp_name’]).’/’.file[′title′].′.′.file[&#x27;title&#x27;].&#x27;.&#x27;.fil...
图片怎么植入php一句话,php后台插一句话新思路
weixin_39623750的博客
03-09 253
php后台插一句话的思路加114网址导航后台拿webshell的方法。首先介绍下php的各种标签:1):demo:这个标签现在程序大多都是使用的这种标签!大家都不陌生了,这里就不多介绍了!2): echo "test"; ?>这种标签是在以前很普遍的一种用法php 老版本开发的cms大多都是用的它,大多程序员都是很熟悉的!我们把这种标签称为短语标签!3):demo:echo "test";这...
php7 curl上传远程图片url,php7 curl上传文件
weixin_42561623的博客
03-11 198
php7使用curl上传文件返回错误码26;代码如下:$size = filesize($path);//文件大小$ch = curl_init($url);$cfile = curl_file_create($path);if (is_null($post_data)) {$data = array('media' => $cfile);}else{$data = array(...
远程代码执行漏洞RCE原理
03-28
远程代码执行漏洞(Remote Code Execution,RCE)是指攻击者通过利用程序或系统中的漏洞,成功地在远程主机上执行自己编写或者上传的恶意代码。攻击者可以利用这个漏洞执行系统命令、上传或下载文件、获取敏感信息等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值