网安学习Day16-文件上传漏洞(下)

已于 2022-05-11 11:50:24 修改
阅读量760 收藏
点赞数
文章标签: 安全 web安全 安全架构 系统安全 网络安全
于 2022-05-11 11:49:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/124693728
版权

目录

解析漏洞

IIS6/7.X

Apache

多后缀特性

AddHandler导致的解析漏洞

罕见后缀

Apache换行解析漏洞

Nginx

常见编辑器上传漏洞

解析漏洞

IIS6/7.X

IIS6.0版本中,存在着目录解析漏洞和文件解析漏洞。

其中的网站的目录下的*.php的文件夹下的文件会被当做php来执行,也就是说我们在上传文件的时候可以上传一个1.php/2.jpg的文件,那么在IIS6.0的环境下,2.jpg会被当做php来执行。

IIS6.0还对应着文件解析漏洞,如果出现“;”号,则IIS6.0会出现错误,例如1.php;2.jpg,它会将分号后面的文件当做php来执行。

IIS7.0 7.5具有文件解析漏洞

在IIS7.x的环境中,当我们开启cgi.fix_pathinfo功能的时候,会对路径进行修剪,比如说:我们访问文件的路径是:1.jpg/.php,此时发现后缀名为php,IIS服务器便将文件交给php进行处理,但是php发现无法访问该文件,随后将就/.php进行删除,然后将1.jpg用php来执行。

Apache

多后缀特性

Apache的文件解析漏洞主要是因为他允许一个文件名中可以有多个“.”,因此他在识别文件的后缀的时候,是从右向左逐个去分割来识别,比如上传的文件名为1.php.x1.x2.x3。那么它在识别的时候首先就是识别x3,发现并不是合法的文件后缀,然后再去识别x2、x1,最终回去识别php,发现php是合法的文件后缀,那么就会以php的形式来执行这个文件,以绕过黑名单验证的这种方式。

AddHandler导致的解析漏洞

如果服务器给.php后缀添加了处理器:AddHandler application/x-httpd-php.php;那么只要文件名中包含着.php,那么这个文件就会被以php的方式来执行,例如我们上传的文件名为shell.php.png;由于png是合法的后缀名,在添加处理器的情况下,由于文件中存在着php所以shell.php.png会以php脚本来执行。这种方式可以来绕过白名单的限制。

罕见后缀

Apache不仅仅认可.php后缀,他还认可php3、php4、php5、pht、phtml等罕见后缀,因此在某些文件上传的时候如果是黑名单验证不完整的情况,我们无法上传php后缀的文件。这里可以参考一下upload-labs的第三关。在上传以php3、php4、php5、pht、phtml等罕见后缀的文件,依然会以php的方式来执行我们的代码。

Apache换行解析漏洞

影响版本:2.4.0~2.4.29

HTTPD是一个HTTP服务器,它可以通过mod_php来运行php网页,在解析shell.php\x0a时会以.php来执行,从而能绕过一些安全的策略。

Nginx

Nginx<=0.8.37-文件解析漏洞

Nginx<=0.8.37的环境中,在默认开启Fast-CGI的情况下,与IIS7.x的文件解析漏洞一样,在文件的路径(x.jpg)加上/*.php,那么x.jpg就会被当做php的脚本来执行。

常用利用方法就是将一个正常的图片文件和含有恶意代码的文本文件合并成一个图片文件。

copy 1.jpg/b+shell.txt/a shell.jpg

然后我们上传的文件名就是shell.jpg/1.php,那么其中的shell.jpg就会被当做php脚本来执行。

当然在Nginx<=0.8.37的环境中,如果Fast-CGI关闭,那么他还是存在文件解析漏洞,在这种情况下,在一个文件路径(/xx.jpg)下面加上.php,那么这个文件同样也会被当作是php脚本来执行。拿上面的例子来举例,我们上传带有恶意代码的shell.jpg,我们可以将它命名为shell.jpg.php,那么上传的这个shell.jpg会被以php的形式来执行。

常见编辑器上传漏洞

编辑器时非常好用的网页在线编辑器,顾名思义就是让用户能够在线的去进行文本的编辑,类似于word一样。

常见的编辑器有ewebeditor、Ueditor、kindeditor、Fckeditor。

其中的ewebeditor存在着文件上传漏洞,通过编辑图片样式管理,在图片类型那里添加asp允许上传asp的脚本文件;我们就可以将其利用上传asp的马。

百度Ueditor编辑器net.版本1.4.3存在文件上传

http://domain/controller.ashx?action=catchimage 参数为catchimage,
case:”catchimage”,这里会实例化类,在具体实现文件上传的类的方法里只验证了content-type类型

也就是说这里只验证了MIME信息,所以我们可以上传一个.php文件,进行抓包,将content-type中的类型修改为image/png。

kindeditor编辑器

修改content-type:text/plain 然后文件名修改为.html后缀即可。

Fckeditor的任意文件上传

在php处理的地方并未对Media类型进行上传文件类型的控制,导致用户可以上传任意文件。在Fckeditor2.0版本中允许上传asa、cer、php2、pht、php4等后缀的文件,因此我们在上传文件shell.php时可以将后缀名修改为shell.php4来达到目的。

Y4y17
关注
WordPress插件File-Manager任意文件上传漏洞复现
玄道的网安博客
10-12 4380
简介 WordPress插件WPFileManager中存在一个严重的0day安全漏洞,攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程执行代码。 影响版本 File Manager 6.0-6.8 环境搭建 Wordpress下载地址 https://cn.wordpress.org/wordpress-5.4.1-zh_CN.tar.gz 插件下载地址 http://plugins.svn.wordpress.org/wp-file-ma...
ThinkAdmin漏洞(CVE-2020-25540 )复现
玄道的网安博客
10-18 5325
简介 ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统 漏洞概述 ThinkAdmin6版本存在路径遍历漏洞。该漏洞主要是因为api中存在危险函数,没有任何过滤。攻击者可利用该漏洞通过请求编码参数任意读取远程服务器上的任意文件。 影响版本 ThinkAdmin版本小于 ≤ 2020.08.03.01 环境搭建 使用phpstudy进行安装 设置阿里云 Composer 代理 composer config -g repo.packagist c...
ewebeditor php漏洞,ewebeditor for php任意文件上传漏洞
weixin_34952098的博客
03-11 159
漏洞仅测试了最新版v3.8,不知道低版本是否存在此漏洞。PHP版本的ewebeditor并没有使用数据库来保存配置信息,所有信息位于php/config.php中,代码如下:$sUsername = "admin";$sPassword = "admin";$aStyle[1] = "gray|||gray|||office|||../uploadfile/|||550|||350|||rar|...
ewebeditor上传漏洞
ice
10-10 682
&lt;H3&gt;ewebeditor asp版 2.1.6 上传漏洞利用程序----&lt;/H3&gt;&lt;br&gt;&lt;br&gt; &lt;form action="http://xxxx/include/wedit/upload.asp?action=save&amp;type=IMAGE&amp;style=standard' and 1=2 union select S...
ewebeditor的上传结合IIS解析漏洞
收集盒 Book box
08-29 771
google关键字:intext:版权所有:yfcms 利用文件:admin\WebEditor\asp\upload.asp 利用代码: action=save&type=image&style=popup&cusdir=admin8.asp” method=post
web安全-上传漏洞-Ewebeditor编辑器漏洞利用
Coisini的博客
05-31 7991
Ewebeditor简介 漏洞利用 ***默认路径就不一定了,有可能是“edit/admin_login.asp”或者“admin/edit/admin_login.asp”。(默认密码后台:admin,admin) 如果eWebEditor的后台用户名和密码都已经被修改了,那么我们还可以通过下载数据库来获得管理员用户名和密码,数据库默认的下载路径为“/db/ewebeditor.mdb”。下载...
Ewebeditor 2.1.6上传漏洞 UNION运用-直接得SHELL
收集盒 Book box
04-21 1209
<br />以前曾进过一个网站,把上传部份的asp代码下载回来研究,当时感觉有漏洞但没仔细研究,还以为那是他们自已写的程序。<br />前几天看到ewebeditor有漏洞的文章才想起那个网站原来用的也是ewebeditor。今天仔细看了看,发现问题了(2.1
网安基础词汇
weixin_46809039的博客
11-13 3601
网安基础词汇 攻击篇 攻击方法 攻击者 文章目录网安基础词汇攻击篇**攻击工具****肉鸡:**僵尸网络:木马:网页木马:Rootkit :蠕虫病毒:震网病毒:勒索病毒:挖矿木马:攻击载荷:嗅探器(sniffer):恶意软件:间谍软件:后门:弱口令:漏洞:远程命令执行漏洞:0day漏洞:1day漏洞:Nday漏洞:攻击方法挂马:挖洞:加壳:溢出:缓冲区溢出:注入:SQL注入:注入点:软件脱壳:免杀:暴力破解:洪水攻击:syn攻击:Dos攻击:DDos攻击:抓鸡:端口扫描:花指令:反弹端口:网络钓鱼:鱼叉
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1373
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
网安相关术语搜集
ThurdenRay的博客
11-21 954
搜集整理了网安相关术语,以便于快速了解网络安全相关产品及业务。
ewebeditor 3.8 任意文件上传漏洞解析
ice
11-09 1209
   首先这个是别人早都发出来的一个漏洞,exp也写好了,如下 &lt;title&gt;eWebeditoR3.8 for php任意文件上EXP&lt;/title&gt; &lt;form action="" method=post enctype="multipart/form-data"&gt; &lt;INPUT TYPE="hidden" name="MAX_F
ewebeditor漏洞大全
xysoul的专栏
03-23 1万+
1:默认管理后台: http://www.backlion.com/ewebeditor/admin_login.asp 后台如果能进入: 可点击样式管理: standard 拷贝一份(直接修改改不了) 在拷贝的一份里加入图片类型( asa aaspsp )   然后点预览 在编辑器里点设计    然后直接上传asa大马. 上传后 在代码里可以看到马的位置!
ewebeditor编辑器漏洞
arissa666的博客
10-18 695
网页在线编辑器,权限限制不严格,弱口令,文件过滤出现问题。
eWebEditor网页编辑器漏洞手册
禅心之道的博客
10-19 286
eWebEditoreWebEditor利用基础知识默认后台地址:/ewebeditor/admin_login.asp建议最好检测下admin_style.asp文件是否可以直接访问默认数据库路径:[PATH]/db/ewebeditor.mdb[PATH]/db/db.mdb--某些CMS里是这个数据库也可尝试[PATH]/db/%23ewebeditor.mdb--某些...
UEditor .Net版本任意文件上传漏洞复现
m0_37638874的博客
06-08 3515
  漏洞背景   漏洞影响   漏洞利用   漏洞分析漏洞背景漏洞影响漏洞利用首先准备一个html文件用来做post提交 action处填写网站的路径 另外:enctype="application/x-www-form-urlencoded"什么意思?打开html后如下 这个时候我们需要一台服务器用来放图片木马,服务器可以去阿里云、华为云等申请免费的我们准备一张的图片跟一个小马,小马代码如下 用命令合成图片木马 我们把此木马上传到我们的服务器,记住服务器图片路径在之前的里填写如下参数 是我们服务器的地址后
C# 使用Ueditor出现http://localhost:***/ueditor/net/controller.ashx?action=config&&noCache=***404问题解决
旭东怪的博客
09-28 6301
http://localhost:46819/ueditor/net/controller.ashx?action=config&&noCache=1601171905273404 (Not Found) 请求后台配置项http错误,上传功能将不能正常使用!
实战纪实 | 编辑器漏洞之Ueditor-任意文件上传漏洞 (老洞新谈)
最新发布
zkaqlaoniao的博客
04-12 1万+
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor的漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
百度编辑器ueditor1.4.2-更改图片上传路径和图片读取路径
落叶翩翩的CSDN博客
07-17 1万+
/** * ueditor相关的Controller * * @author zsj */ @Controller public class UeditorController { protected final Logger logger = LoggerFactory.getLogger(getClass()); @RequestMapping(value = { "
UEditor1.4.3.3的webshell漏洞攻击揭秘
热门推荐
主宰
10-09 1万+
前言 UEditor是一款所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点,被广大WEB应用程序所使用。本次爆出的高危漏洞属于.NET版本,其它的版本暂时不受影响。漏洞成因是在抓取远程数据源的时候未对文件后缀名做验证导致任意文件写入漏洞,黑客利用此漏洞可以在服务器上执行任意指令,综合评级高危。由于时间仓促,本文分析不到位的地方还请多多谅解。 漏洞利用 笔者本地测试的编辑器是...
WPS-0DAY漏洞复现与getshell操作研究
1. WPS-0DAY-***:这指的是一个特定的安全漏洞,更具体地说是一个零日漏洞,即在2023年8月9日被发现的WPS(一种办公软件)相关漏洞。零日漏洞是指在软件开发商得知其存在之前就已被恶意利用的漏洞,因此它们对网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值