php 上传jpg木马_TP漏洞之文件上传总结

最新推荐文章于 2022-11-11 20:15:33 发布
最新推荐文章于 2022-11-11 20:15:33 发布
阅读量619 收藏 4
点赞数
文章标签: php 上传jpg木马 struts2 layui文件上传 file为空 struts2 文件上传 file为空 upload上传 内容绕过 windows不能加载本地存储的配置文件
71b383680209675d40e103ff71080a9c.png

js检查

一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。

7d4f792ec49e6f9faa854195a73e998f.png

查看源代码可以看到有如下代码对上传文件类型进行了限制:

f61df7339824ff296ce751eb1093fe5a.png

我们可以看到对上传文件类型进行了限制。

7615b5e4a1c87313a3a2f51a844a950f.png

绕过方法

  1. 我们直接删除代码中onsubmit事件中关于文件上传时验证上传文件的相关代码即可。
1e2aa0efbc3588684aa6761d8b895477.png

或者可以不加载所有js,还可以将html源码copy一份到本地,然后对相应代码进行修改,本地提交即可。

  1. burp改包,由于是js验证,我们可以先将文件重命名为js允许的后缀名,在用burp发送数据包时候改成我们想要的后缀。

即可上传成功

cda866cef55f6805a8d3bdfc585d1ef4.png

黑名单

特殊可解析后缀

690c87d5d0daa9efaacd9fe320a7f7d4.png

这里做了黑名单处理,我们可以通过特殊可解析后缀进行绕过。

绕过方法

之前在https://www.jianshu.com/p/1ccbab572974中总结过,这里不再赘述,可以使用php3,phtml等绕过。

上传.htaccess

49f66f4485fd104b785e7ac60a86ea93.png

我们发现黑名单限制了很多后缀名,但是没有限制.htaccess

.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

绕过方法

我们需要上传一个.htaccess文件,内容为:

052d27e4a0258b7667a2c8cbfdf251cc.png

这样所有的文件都会解析为php,接下来上传图片马即可

后缀大小写绕过

df3a8369908ebcc324017a94d074d32d.png

我们发现对.htaccess也进行了检测,但是没有对大小写进行统一。

绕过方法

后缀名改为PHP即可

空格绕过

338971ff32ae343def982ff72a068b09.png

黑名单没有对文件中的空格进行处理,可在后缀名中加空格绕过。

绕过方法

点绕过

9d6dc033f0d25320c7df3caacbfae5c9.png

windows会对文件中的点进行自动去除,所以可以在文件末尾加点绕过,不再赘述

::$DATA绕过

同windows特性,可在后缀名中加” ::$DATA”绕过,不再赘述

路径拼接绕过

ef5e971e3229b0cad459c81f0d1ee730.png

这里对文件名进行了处理,删除了文件名末尾的点,并且把处理过的文件名拼接到路径中

绕过方法

这里我们可以构造文件名1.PHP. . (点+空格+点),经过处理后,文件名变成1.PHP.,即可绕过。

双写绕过
f9d2d4a7da4cb392ef0e9e37fcbfc91f.png

绕过方法

这里我们可以看到将文件名替换为空,我们可以采用双写绕过:1.pphphp

白名单

7d54b2cf61a439244a09e93b68a72cb9.png

绕过方法

这里检查Content-type,我们burp抓包修改即可绕过:

%00 截断

6f148cfbbd5162e568481a7a39c69268.png 
$img_path直接拼接,因此可以利用%00截断绕过

绕过方法

然后直接访问/upload/1.php即可

00截断(post)

58d23399401e5b28e2b5d1aab2817066.png 
save_path是通过post传进来的,还是利用00截断,但这次需要在二进制中进行修改,因为post不会像get对%00进行自动解码。

绕过方法

接下来访问1.php即可

文件内容检查

文件幻数检测

主要是检测文件内容开始处的文件幻数,比如图片类型的文件幻数如下,

要绕过jpg 文件幻数检测就要在文件开头写上下图的值:

Value = FF D8 FF E0 00 10 4A 46 49 46

要绕过gif 文件幻数检测就要在文件开头写上下图的值

Value = 47 49 46 38 39 61

要绕过png 文件幻数检测就要在文件开头写上下面的值

Value = 89 50 4E 47

然后在文件幻数后面加上自己的一句话木马代码就行了

文件相关信息检测

图像文件相关信息检测常用的就是getimagesize()函数

只需要把文件头部分伪造好就ok 了,就是在幻数的基础上还加了一些文件信息

有点像下面的结构

GIF89a

(...some binary data for image...)

(... skipping the rest of binary data ...)

本次环境中的文件头检测,getimagesize,php_exif都可以用图片马绕过:

copy normal.jpg /b + shell.php /a webshell.jpg

文件加载检测

一般是调用API 或函数去进行文件加载测试,常见的是图像渲染测试,甚至是进行二次渲染(过滤效果几乎最强)。对渲染/加载测试的攻击方式是代码注入绕过,对二次渲染的攻击方式是攻击文件加载器自身。

对渲染/加载测试攻击- 代码注入绕过

可以用图像处理软件对一张图片进行代码注入

用winhex 看数据可以分析出这类工具的原理是

在不破坏文件本身的渲染情况下找一个空白区进行填充代码,一般会是图片的注释区

对于渲染测试基本上都能绕过,毕竟本身的文件结构是完整的

二次渲染

imagecreatefromjpeg二次渲染它相当于是把原本属于图像数据的部分抓了出来,再用自己的API 或函数进行重新渲染在这个过程中非图像数据的部分直接就隔离开了

a4e5505ac3a4e4a9551c93045fc3f67a.png 
content-type,以及利用imagecreatefromgif判断是否为gif图片,最后再做了一次二次渲染。

绕过方法

得去找图片经过GD库转化后没有改变的部分,再将未改变的部分修改为相应的php代码。

条件竞争

if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_name']; $file_ext = substr($file_name,strrpos($file_name,".")+1); $upload_file = UPLOAD_PATH . '/' . $file_name; if(move_uploaded_file($temp_file, $upload_file)){ if(in_array($file_ext,$ext_arr)){ $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext; rename($upload_file, $img_path); $is_upload = true; }else{ $msg = "只允许上传.jpg|.png|.gif类型文件!"; unlink($upload_file); } }else{ $msg = '上传出错!'; }}

这里先将文件上传到服务器,然后通过rename修改名称,再通过unlink删除文件,因此可以通过条件竞争的方式在unlink之前,访问webshell。

绕过方法

然后不断访问webshell:

上传成功。

dc864c12f6edda300a12569b52013342.png
weixin_39934085
关注
渗透测试之文件包含漏洞
weixin_45380284的博客
03-06 898
文件包含漏洞: 理论: 文件包含: 编写程序时把重复使用的函数写到单个文件中,在使用这些函数的时候,直接调用此文件,就无需再次编写,这种调用文件的过程叫做包含 文件包含漏洞: 开发人员希望代码更加灵活,所以会将被包含的文件设置为变量,用来动态调用。 文件包含漏洞产生的原因就是函数通过变量引入文件时,没有对传入的文件名进行合理的校验,从而操作了预想之外的文件,这样就导致了意外的文件泄露甚至恶意代码注入。 文件包含函数: PHP中提供文件包含的函数: include() 找不到被包含的文件时只产生警告 inc
dvwa中的文件包含与文件上传
qq_45653152的博客
05-21 821
文件包含与文件上传 文件包含:程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这中文件调用的过程一般被称为文件包含。 文件包含实验前必须将我们的PHP.ini中的allow_url_fopen和allow_url_include打开,即开启远程读取和本地包含。 Low等级: 查看源代码,从源码中可以看出,服务器对参数page并没有做任何的过滤操作 服务器期望用进行的操作是点击file1.phpfile2.phpfile3.php三个文件,服务器包含这三
PHP检测上传图片是否有木马
曹品东
10-22 1203
header("Content-type: text/html; charset=utf-8"); function checkHex($img) { $status = 0; $tips = array( "0" => "文件没问题", "5" => "文件有毒", "-1" => "文件没有上传" ); ...
upload -labs pass17
qq_45106794的博客
11-07 606
#upload -labs pass17 ####################### unlink() 函数删除文件。 若成功,则返回 true,失败则返回 false。 语法 unlink(filename,context) ####################### $is_upload = false; $msg = null; if(isset($_POST['submit']...
upload_labs_pass17_二次渲染
qq_51550750的博客
04-12 961
pass17-源码分析 打开pass17,貌似和前面的几关差不多(pass14,15,16都是图片马)。 看源码和提示: 提示: 即利用上传的图片生成了一张新的图片。 源码: $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径 $filename = $_FILES['upload_file']['name']; $filetype = $_F
upload-labs】————17、Pass-16
Fly_鹏程万里
08-15 419
查看源代码 $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上传文件的基本信息,文件名,类型,大小,临时文件路径 $filename = $_FILES['upload_file']['name']; $filetype = $_FILES['upload_file']['typ...
php 上传jpg木马_WebShell文件上传漏洞靶场第一关
weixin_39892460的博客
11-21 827
首先让我们看下流程点击启动靶场点击访问靶场后发现给了一个ip地址和端口号协议是http 我们点击访问毕竟是靶场!不会有多绚丽的,我觉得如果是一个弹窗的话会好看点!我们先上传一个正常的图片看看显示结果为:文件上传成功保存于:uploads/正常图片.jpg这回我们上传.php木马看看显示结果为:此文件不允许上传看样子是不支持.php格式文件了,这里我们把文件格式换成.php3试...
PHP文件上传漏洞原理以及防御姿势
热门推荐
Hvnt3r的博客
06-11 1万+
PHP文件上传漏洞 本文用到的代码地址:https://github.com/Levones/PHP_file_upload_vlun,好评请给小星星,谢谢各位大佬! 0x00 漏洞描述 ​ 在实际开发过程中文件上传的功能时十分常见的,比如博客系统用户需要文件上传功能来上传自己的头像,写博客时需要上传图片来丰富自己的文章,购物系统在识图搜索时也需要上传图片等,文件上传功能固然重要,但是...
Kali渗透测试之DVWA系列10——File Upload(文件上传)
浅浅的博客
06-14 5890
一、File Upload文件上传) 1、文件上传原理 File Upload,即文件上传漏洞。通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。简单点说,就是用户直接或者通过各种绕过方式将 webshell 上传到服务器中进而执行利用。 2、文件上传漏洞前提条件...
File Upload文件上传
kid的博客
04-19 1万+
File Upload 前言 文件上传漏洞:攻击者上传了一个可执行的脚本文件,通过此脚本文件获得了执行服务器端命令的功能。文件上传是否会产生漏洞关键在于服务器怎么来处理,怎么来解析这个文件。如果说服务器处理的模式不够安全,那么就会导致严重的后果,也就是上传了恶意的可执行文件以后,服务器端对此文件进行执行 文件上传漏洞需要对一句话木马,以及菜刀的使用有所了解。 练习 Low 文件上传我们直接先尝...
PHP检测本地图片是否有木马
04-20
也可以用linux服务器上的木马扫描软件,比如 Clamav 支持命令行执行的,上传之后就扫一下,最可靠, $last_line = system('php /var/bin/clamdscan upload.jpg'); 根据扫描结果就可以判断了 $rs = checkMuma("sucaihuo.png"); $tips = array( "0" => "文件没问题", "5" => "文件有毒", "-1" => "文件没有上传" );
jpg 木马如何执行 如何防止.JPG类型木马
09-30
防止.NET木马列所有站物理路径,防止.JPG类型木马 我的服务器上被人上传了一个.NET木马,,这次让我认识到以前没有见过的上传木马的招数,,同时也找出一些对策,分享给给大家。
php 图片木马,php检测图片木马多进制编程实践
weixin_42355744的博客
03-09 352
前不久,我申请加入了某开源组织,他们要我写一个功能用来检测图片中是否有木马脚本。其实一开始我什么也不知道,只是后来在网上查了一些资料,找到的全是有制作图片木马的教程,并没有找到检测的程序。经过几番思索之后,决定从制作原理来分析这种木马程序。这种木马程序是十六进制编码写的,我灵机一动,写了以下这个上传类。最终通过了组织测验。呵呵现在把它拿出来给大家分享,有什么不好的地方,还请指正! anyon@13...
2017-11-03-PHP图片木马
PFinal社区
11-03 822
layout title date author desc in_head post PHP图片木马 2017-11-03 09:03:02 +0800 Q九 本测试主要针对的是 IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞 基于Windows系统的 <style> .a...
jpg文件当作php文件来解析,解析漏洞
weixin_34502439的博客
04-06 1653
1、漏洞简介解析漏洞是指web服务器因对http请求处理不当导致将非可执行的脚本,文件等当做可执行的脚本,文件等执行。该漏洞一般配合服务器的文件上传功能使用,以获取服务器的权限。2、漏洞成因、检测及利用使用了低版本的,存在漏洞的web服务器。解析漏洞有以下几种:IIS 5.x/6.0解析漏洞目录解析:在网站下建立文件夹的名称中带有.asp、.asa等可执行脚本文件后缀为后缀的文件夹,其目录内的任何...
PHP 图片木马隐写方法及靶机演示
最新发布
百彦子烨的博客
11-11 3811
通常在木马的实际运用中,我们会面临防御者对文件类型、大小的过滤。有些规定只能上传图片的还可能对图片进行采集,即使攻击者直接更改文件类型也会被拦截。所以我们需要运用隐写技术将木马隐藏到图片中,以此来绕过防御,进行上传
thinkphp图片上传+validate表单验证+图片木马检测+缩略图生成
weixin_30929011的博客
02-16 322
    目录 1.案例   1.1图片上传    1.2进行图片木马检测    1.3缩略图生成    1.4控制器中调用缩略图生成方法 1.案例   前言:在thinkphp框架的Thinkphp/Library/Think文件中有Upload.class.php文件上传类),我们上传文件或者图片都要用到这个类   1.1图片上传   HTML代码 &...
php 图片木马,php图片木马实现原理
weixin_27310417的博客
03-09 4413
什么是木马木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。那,php木马是长什么样的呢?我们来看下面这段代码:...
实践php检测图片木马
NiceGY
04-11 5549
实践php检测图片木马
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值