0917后端黑白名单绕过

最新推荐文章于 2023-12-08 10:11:17 发布
最新推荐文章于 2023-12-08 10:11:17 发布
阅读量283 收藏
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44418203/article/details/126916622
版权

文件上传常见验证:

本质是为了验证文件格式
直接:查看文件后缀
间接:通过文件类型和文件头识别

后缀名

黑名单

明确不让上传的格式后缀:
asp php jsp aspx cgi war

缺陷:
有一定几率执行出相同效果(与搭建平台有关系):php5、Phtml...

白名单(略安全)

明确可以上传的格式后缀:
jpg png zip rar gif ...

类型

上传时的数据包信息:
MIME信息

Content-Type: image/png
MIME的值:image/png image/gif image/jpeg ......
jsp的MIME值:application/octet-stream

通过判断MIME值判断文件格式

绕过:burp抓包修改Content-Type

文件头(文件内容)

内容的头部信息
phg的头部:塒NG!

gif头部:GIF89a

绕过:burp抓包修改文件头

源码中文件上传过程(html+php)

利用 $_FILES 函数 MIME传来的信息

<html>
...
    <form enctype='multipart/form-data' method='post' action="">
        <p>上传图片</p>
        <input class="input_file" type="file" name="upload_file"/>   //name=就是下面$_FILES要的接收名,保持一致
        <input class="button" type="submit" name="submit" value="上传"/>
    </form>
</html>

$_FILES 可以接收多个值,第一个[]表示从前端来的接收名,第二个[]表示接收的图片信息

<?php
$name=$_FILES['upload_file']['name']
$type=$_FILES['upload_file']['type']
$type=$_FILES['upload_file']['size']
?>

黑名单

$deny_ext=array('.asp','.php','.jsp'); // 拒绝的后缀名
trim(..) 替换为空的函数,移除字符串两侧的空白字符或其他预定义字符,就是去空格
strrchr(a,'.'); // 删除a中.前面的数据,只留后缀,若多个点默认最后一个点

特殊解析后缀

php5

.htaccess解析

控制文件解析方式的配置文件,多种写法自行百度

<FilesMatch "自定义.gif">
SetHandler application/x-httpd-php #在当前目录下,如果匹配到自定义.gif文件,则被解析成PHP代码执行

先上传这个文件,再上传注入后门的图片文件
图片文件名为 自定义.gif 就会自动被php解析

预防 : 黑名单.htaccess

大小写绕过

$file_ext = strtolower($file_ext); //转换为小写

点绕过

$file_name = deldot($file_name);  //删除文件名末尾的点

点'.'被上传到windows服务器会被windows自动恢复

空格绕过

trim()收尾去空

$file_ext = trim($file_ext); //收尾去空

若无此函数,在数据包中 filename="XXX.php " 末尾加个空格即可绕过黑名单,在windows中又会自动去掉空格还原成php格式
空格' '和点'.'都会被windows自动恢复

::$DATA绕过

必须是Windows,必须是php
php在windows时如果文件名加了::DATA会把::DATA会把::DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名 目的就是不检查后缀名

配合解析漏洞

双后缀名绕过

代码将字符串里的php替换为空

一次过滤
a.pphphp ——> a.php
循环过滤(递归过滤)
a.pphphp ——> a.

因此可以重复被拦截条件,后缀加'. .' ,一次过滤只过滤掉了一个空格一个点' .' 还留下了个点

围绕黑名单的绕过

$deny_ext = array('.asp','.aspx','.php','.jsp'); // php5
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空

过滤次数(是一次过滤还是循环(递归)过滤),一次过滤 a.pphphp ——> a.php

str_ireplace(a,b,c) 替换a为b,在c变量中 同样利用一次过滤 a.pphphp

白名单

MIME绕过

%00截断

截断:后面没有了

地址上面的加

源码:

$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;  // get获取

绕过:
数据包里的save_path加上 1.php%00 保存路径便成了

$img_path=../upload/1.php%0046841348644.jpg

%00......后面没有了,文件名即为1.php

$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;  //post获取需要将%00进行URL解码

get数据会自动url加密和解码,普通文本的空格自动解码为%20,%20也能知道是空格

post不会解码只会加密
目的是url编码的%00
普通文本的%00会被编码为%25%30%30,post不会解码便读取不出%00,要让加密后为%00就得写解码的%00

0x00截断

仅文件命名上面%00不同

是真难受啊
关注
45-1 waf绕过 - 文件上传绕过WAF方法
weixin_43263566的博客
06-04 288
打开dvwa靶场,先将靶场的安全等级调低,然后切换到文件上传。
文件上传漏洞(思路,绕过,修复)
qi_SJQ_的博客
12-21 7319
文件上传漏洞: 1.思维导图: 2.上传思路: 3.概念: 4.白名单绕过
web黑名单验证绕过
weixin_34252090的博客
12-18 620
window下除了空格小数点可以绕过还可以利用nfsads数据流来绕过 转载于:https://blog.51cto.com/0x007/1591347
上传验证绕过——服务端黑名单绕过
Williamanddog的博客
01-28 972
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。由于.htaccess还是没有过滤,可以重写文件解析规则绕过,上传一个 .htaccess,文件内容如下,意思。Upload-labs(Pass-03)根据源码可以看出,只是做了个简单的后缀名黑名单,识别上传文件的类型是。否为 '.asp','.aspx','.php','.jsp' 中的一个,若是其中的一个,则不允许上传。这一关的思路是它没有循环验证,也就是说这些首尾去空,删除末尾的点,去除字符串:$SDATA,转换。
文件上传漏洞asp、php、jsp、aspx如何绕过黑名单
niqiu320的博客
04-27 3871
文件上传漏洞asp、php、jsp、aspx如何绕过黑名单 脚本语言 绕过方式 asp .php/.php5/.php4/.php3/.php2/php1/.html/.htm/.phtml/.pHp/.pHp5/.pHp4/.pHp3/.pHp2/.pHp1/.Html/.Htm/.pHtml php .jsp/.jspa/.jspx/.jsw/.jsv/.jspf/.jtml/.jSp/.jSpx/.jSpa/.jSw/.jSv/.jSpf/.jHtml jsp .asp/.as
利用URL特性绕过域名白名单检测
热门推荐
CC's Blog
01-09 1万+
URL跳转漏洞主要是利用浏览器对URL特性的支持,绕过一些正则匹配不严谨的防护。
文件上传之绕过黑名单验证(.htaccess)
qq_44111753的博客
08-21 1623
htaccess文件时Apache服务器中的一个配置文件,负责相关目录下网页配置,可以帮我们实现网页301重定向,自定义404错误页面,改变文件扩展名等功能,其中.htaccess文件内容:SetHandler application/x-httpd-php设置当前目录所有文件都使用PHP解析,无论上传任何文件,只要符合php语言代码规范,就会被当做php文件执行。 一、修改配置文件http.conf以启动.htaccess(在Apache目录下的conf文件夹中) 设置AllowOverride为Al.
文件上传限制绕过技巧
CHK的博客
09-03 6584
简介 文件上传漏洞是web安全中经常利用到的一种漏洞形式。一些web应用程序中允许上传图片,文本或者其他资源到指定的位置,文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,再通过url去访问以执行代码。但在一些安全性较高的web应用中,往往会有各种上传限制和过滤,导致我们无法上传特定的文件。本文将就此展开讨论,通过本文的学习你将了解到Web应用中文件上传的处理和验证发送流程,以及我...
渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 3878
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
基于IP白名单的DDoS攻击防护
# 1. 简介 DDoS(分布式拒绝服务)攻击是一种网络攻击手段,旨在通过同时向目标服务器发送大量伪造的网络请求,使目标服务器无法正常响应合法...IP白名单技术是一种常见的网络安全措施,通过对IP地址进行管理,允
文件上传之黑名单绕过
pigzlfa的博客
07-04 6333
黑名单绕过方法: 1、大小写绕过 windows对大小写不敏感,所以上传大小写混写的php进行绕过 (因为后端一般验证后缀字符串是否和‘php’相等,(前提是没有将你传入的字符串进行小写转换后再对比),大写字母和小写字母肯定不相等,所以可以利用这一点进行绕过,又因为windows对大小写不敏感,所以.PhP文件被当成php文件解析) 2、重写绕过: 服务端将黑名单的后缀名替换为空,但是仅替换一次,所以可以上传.phphp p后缀,替换后就成了.php 3、特殊可解析后缀绕过黑名单规则不严谨,在某些特定.
2020小迪培训(第21天 WEB 漏洞-文件上传之后端白名单绕过
是阿明呐的博客
09-07 822
WEB 漏洞-文件上传之后端白名单绕过 前言 文件上传常见验证 后缀名,类型,文件头等 后缀名:黑名单白名单 黑名单:明确不允许上传的格式后缀 asp php jsp cgi war… 缺陷:在定义不完整的时候,可以使用其他格式达到绕过效果 白名单:明确可以上传的格式后缀 jpg png zip rar gif 相对于黑名单,验证会更安全一些 文件类型:MIME 信息(检测类型,不严谨,可以进行伪造) Content-Type为MIME信息,通过这个信息来猜测你的文件是什么格式的,什么后缀(验证方式之
【文件上传绕过】三、黑名单不全绕过
ssrf
10-10 1852
文章目录一、描述二、实验原理三、检测代码四、添加黑名单中未做限制的后缀进行绕过 一、描述 Web系统可能会采用黑名单的方式进行过滤。而过滤的方式存在一定的缺陷,比如存在过滤的黑名单不全,未考虑大小写,以及对上传文件名单次进行敏感字符清除。 二、实验原理 当下流行的网站开发语言均存在多个可解析后缀,例如asp脚本语言的可解析后缀,不仅仅是.asp,还有.cer,.asa等等。而由于开发人员相关知识或安全意识的局限性(欠缺),导致设置的黑名单不全。这时就可以通过其他可解析后缀绕过黑名单上传可执行的websh
21:WEB漏洞-文件上传之后端白名单绕过
mingyqf的博客
01-05 2049
21:WEB漏洞-文件上传之后端白名单绕过 知识点 文件上传常见验证:后缀名,类型,文件头等 1.后缀名:黑名单白名单 黑名单:明确不让上传的格式后缀,比如asp,php,jsp,aspx,cgi,war等,但是黑名单易被绕过,比如上传php5,Phtml等 白名单:明确可以上传的格式后缀,比如jpg,png,zip,rar,gif等,推荐白名单。 2.文件类型:MIME信息 content-type字段校验,可以通过抓包改包方式绕过 3.文件头:内容头信息 每种类型的文件都有自己固定的文件头
(21)【后端白名单绕过】【WEB 漏洞利用/原理】不懂原理都是没灵魂的方法躯壳?文件上传漏洞利用过程
03-12 1万+
原理是web漏洞上传利用的灵魂,方法是躯壳
2021-11-25 文件上传之后端白名单绕过
weixin_44532761的博客
11-29 710
小迪 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=20 黑名单不完整的情况,后缀php还可以写成php5,phtml,这要看搭建平台的支持情况
22、文件上传漏洞——文件上传检测与绕过
最新发布
qq_55202378的博客
12-08 686
当程序在输出含有 chr(0)变量时,chr(0)后面的数据会被停止,换句话说,就是误把它当成结束符,后面的数据直接忽略,这就导致了漏洞产生。如果设置为All,那么所有在.htaccess文件里有的指令都将被重写,即允许.htaccess文件覆盖掉Apache 的配置。上传文件时,如果服务器端未对客户端上传的文件进行严格的验证和过滤。就容易造成可以上传任意文件的情况,包括上传脚本文件(asp、php、jsp等格式的文件)。文件,在未删除之前立即访问,则会自动生成一个新php文件,新文件不会被删除。
常见文件上传漏洞前后端绕过
qq_63217130的博客
04-18 1827
那些常见文件上传绕过的姿势总结
java 简单的webshell_Java Web使用JSPX白名单绕过上传WebShell | kTWO-个人博客
weixin_42513988的博客
02-26 1070
前几天在做一个Java Web网站安全测试的时候在文件上传的地方发现了可以白名单绕过的地方,使用的是JSPX白名单绕过,在这里分析一下思路和脚本。0x01 关于JSPX你可以将JSPX理解为JSP的一个升级版,语法和JSP还是有点区别的额,百度上对他的描述也很简单。在最新版本的Tomcat中JSPX是默认开启的,因为很多开发者可能不知道JSPX的存在,所以在写文件上传黑名单的时候可能就会忽视这一点...
SQL注入绕过技巧与WAF、D盾防范策略详解
8. **白名单绕过**:如果应用使用了基于白名单的验证机制,攻击者可以尝试构造一个看起来合法但实际包含恶意代码的输入。 9. **利用WAF的盲点和逻辑漏洞**:WAF可能有盲点,或者在处理某些复杂的SQL语句时存在逻辑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值