【文件上传绕过】——后端检测_文件名检测00截断绕过

最新推荐文章于 2023-11-27 23:20:17 发布
最新推荐文章于 2023-11-27 23:20:17 发布
阅读量2.6k 收藏 10
点赞数 3
分类专栏: 渗透测试 文章标签: 文件上传漏洞 web安全 web漏洞 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45588247/article/details/119652017
版权

文章目录

一、实验目的:

1、通过本次实验掌握00截断的原理。
2、通过upload-labs-master闯关游戏Pass-11Pass-12,掌握00截断绕过技术。

二、工具:

BurpSuite
火狐/谷歌浏览器

三、实验环境:

靶 机: windows10虚拟机:192.168.100.150
      upload-labs-master闯关游戏
      phpstudy2018搭建网站

攻击机: 物理机

四、截断上传条件:

1. 关闭magic_quotes_gpc魔术函数

magic_quotes_gpc魔术函数的作用就是将我们输入的敏感字符进行自动转义。

2. PHP版本(<5.3):

切换php版本:


注:通过上面的设置后需要重启phpstudy2018。

3. 系统环境:

  如果 windows10虚拟机里面的环境无法使用,可以偿试在物理面里面进行实验,或者在windows2008中实验。

五、漏洞说明:

  虽然web应用做了校验,但是由于文件上传后的路径用户可以控制,攻击者可以利用手动添加字符串标识符0X00的方式来将后面的拼接的内容进行截断,导致后面的内容无效,而且后面的内容又可以帮助我们绕过黑白名单的检测。

六、绕过思路:

  在C语言中,空字符有一个特殊含义,代表字符串的拼接结束。
  这里我们使用的是php语言,属于高级语言,底层靠C语言来实现的,也就是说空字符的字符串拼接结束功能在PHP中也能实现。但是我们在URL中不能直接使用,这样会造成无法识别;我们通过查看ASCII对照表,发现ASCII对照表第一个就空字符,它对应的16进制是00,这里我们就可以用16进制的00来代替空字符,让它截断后面的内容。
  点击进入:ASCII对照表

七、实验过程:

1. GET请求方式绕过

1.1 upload-labs闯关游戏(Pass-11):

页面源码:

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){   //接收上传的图片;
    $ext_arr = array('jpg','png','gif'); //声明一个数组,里面有'jpg','png','gif';
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);  //截取文件的后缀名
    if(in_array($file_ext,$ext_arr)){   //验证后缀名是否在数组里面;
        $temp_file = $_FILES['upload_file']['tmp_name'];  //如果数组里面有这个后缀名,就获取临时文件名;
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;  //进行构造上传后的文件存储路径; 
        /*
        $_GET['save_path'] 通过GET的请求方式获得文件路径;通过这种方式获得的文件路径是用户可控的;
        .rand(10, 99).date("YmdHis").".".$file_ext;  这里主要是对文件名进行重构;
        */
        if(move_uploaded_file($temp_file,$img_path)){ //将上传的文件进行转存,从临时路径转存到构造的路径;
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

通过上面源码可以看出,这里的上传路路径是用户可控的;这关主要看$_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;中的$_GET['save_path']请求, 是通过GET的请求方式获得文件上传后的存储路径,然后通过URL的方式传递到后台;通过这种方式获得的文件路径是用户可控的。

1、创建一个文本文件,并给它重命名为1.jpg,重命名是为了让它通过白名单的检测:
内容:

<?php phpinfo(); ?>

2、 上传2.jpg文件:


3、使用burpsuite进行抓包,因为这里是通过URL进行传递的文件上传后存储路径,所以需要对16进制00进行URL编码,编码的结果就是%00,通过这种方式,就可以%00截断后面的内容,让拼接的文件名不再进行生效:


4、右击,复制图片地址,进行访问时,发现文件未找到:

5、需要删除php后面的内容,再进行访问,可以正常进行解析:

1.2 没有对文件名进行重构的截断上传方法:

1、修改文件为*.jpg
2、使用burpsuite进行抓包,修改文件名为:*.php%00.jpg
文件上传后的存储路径相当于:$img_path=../upload/*.php%00.jpg

2. POST请求方式绕过

2.1 upload-labs闯关游戏(Pass-12):

页面源码:

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传失败";
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

1、上传一个1.jpg的文件,重命名是为了让它通过白名单的检测:

2、使用burpsuite进行抓包,修改为%00发现上传文件失败:


注:出现这个问题的原因是因为前面Pass11是通过GET请求方式获得的文件上传路径,而GET请求方式是通过URL进行传输数据的,需要进行URL编码%0016进制进行URL编码后的结果;而Pass12POST请求方式,不是通过URL进行传输数据,所以不用进行URL编码,使用URL编码后截断就会导致上传失败。

3、通过下面的方式对%00进行URL解码,并发送数据:



4、发现可以正常进行上传,复制图片地址,并进行访问,删除php后面的内容后,发现可以正常解析:


剑客 getshell
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
绕过权限拿shell 00截断
10-19
绕过权限拿shell 00截断 可以在网上找到这些利用过程,本过程是实战经验,建议在主机的主机上使用。
文件上传之%00截段绕过
abc18964814133的博客
05-05 2426
文件上传之%00截段绕过
基于POST方式的00截断绕过
m0_73720136的博客
05-07 715
掌握文件上传的服务端检测中的基于POST方式的00截断绕过,在使用基于POST方式的00截断绕过服务端的检测上传脚本文件时可以利用Burp Suite工具抓包在数据包使用十六进制修改消息数据,由于0x00是字符串的结束标识符,PHP会把0x00后面的所有字符删除,所以访问0x00前面的才可以成功解析。注:老版本的Burp Suite在代理模块中有“Hex”功能,可以直接编辑消息的原始二进制数据,直接将脚本文件后缀名后的数据修改为"00"即可。
2-5 【实验】12-GET00截断绕过+代码审计
山兔的博客
03-26 1552
今天,我们讲pass-11,00绕过的方式,点上传,抓包 我们发现在http的url里面,save_path是我们前面几篇文章里面,没有的,save_path其实特别敏感,save是保存,path是路径,就是保存路径的意思,然后,他默认的路径是…/upload/,因为我们所有上传的文件都保存在upload下面 这个时候,我们要想一下,save_path是否可控,就像,我们在学sql注入的时候,我们要可控我们用户输入的参数,比如id,现在我们来试一下,这个save_path是否可控,我们把upload删掉
dio 上传文件报错_文件上传漏洞“%00截断绕过
weixin_39682511的博客
11-21 616
网上传说的 %00截断 其实非常的简单,没有想像中的那么高深,以下给大家简单的讲解一下!还有一点需要注意,关于如何判断文件上传漏洞是否能用%00截断绕过?这个只能试一下才能知道结果,不行的话只能换其它的方法喽!一、%00截断原理www.xxx.com/qq.jpgwww.xxx.com/qq.php%00.jpg => www.xxx.com/qq.php二、文件上传漏洞 %00截断 绕过正...
php中的截断绕过姿势
xiaopan233的博客
02-11 4922
1、%00截断 这个只有php &lt;= 5.3的才有。高的就不行了。所以就先不试了。(懒得下php5.3了= =)大概就是如下例: test.php%00.jpg 这是程序就会去掉%00后面的字符串。所以程序读取时候就变成了 test.php 2、0x00截断 原理是,程序读取文件名时。遇到0x00。就认为文件名结束了。因为0x00就是字符0.也就相当于false和空。类似于c语言...
00截断上传绕过_解析漏洞文件上传限制绕过00截断)原理及实例分析
weixin_35895994的博客
01-12 1529
此文主要讲的就是文件上传限制绕过方法,文件上传限制绕过方法有以下三种:解析漏洞Windows下 空格 和 . 绕过%00截断一、IIS6.0的解析漏洞触发条件:必须是IIS6.0的环境文件名漏洞正常命名:as.jpg触发漏洞的命名方式:as.asp;.jpghttp://192.168.16.128/as.jpg 打开是一张正常的图片。http://192.168.16.128/as.asp;.j...
信息安全技术:绕过白名单检测上传.pptx
11-01
以下我们将深入探讨一种常见绕过白名单检测的方法——0x00截断。 0x00截断,也称为NULL字节截断,是利用某些编程语言或系统对0x00(NULL)字符的特殊处理来绕过过滤机制。在示例中,服务器端的白名单检查文件...
OD插件-过GetProcessTimes检测
03-16
标题中的“OD插件-过GetProcessTimes检测”指的是在逆向工程领域中,使用OllyDbg(OD)插件来绕过一种特定的反调试技术,即通过检查`GetProcessTimes`函数来判断是否正在被调试。`GetProcessTimes`是Windows API中的...
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
在这个例子中,文件名暗示了这是一个针对NACOS的身份认证绕过漏洞的批量检测工具,意味着它可以快速检查多个NACOS实例,看它们是否都受到了这个安全问题的影响。 使用这个POC,安全专业人员或系统管理员首先需要解...
第十一节 文件上传-绕过白名单验证(00截断绕过)-01
09-15
"文件上传-绕过白名单验证(00截断绕过)" 文件上传是指攻击者上传恶意文件到服务器,以达到恶意目的。在这个过程中,白名单验证是一个重要的安全机制,它可以阻止恶意文件的上传。但是,攻击者可以使用00截断绕过...
文件上传绕过思路总结 - 先知社区1
08-03
网络安全领域,文件上传绕过是一种常见的攻击手段,通常用于突破Web应用防护系统(WAF)的限制,实现恶意文件的上传。以下是对文件上传绕过思路的详细说明: 1. **Accept-Encoding 改变编码类型**: WAF通常会...
Web安全原理剖析(二十五)——文件截断绕过攻击
Phantom03167的博客
01-16 650
文件截断绕过攻击
读txt解析成不同数据类型_IIS解析漏洞复现
weixin_39906130的博客
11-21 129
IIS6.0有两种解析漏洞第一种是目录解析漏洞该解析漏洞形成原因是以*.asp命名的文件夹里面的文件都会被当作asp文件解析!复现首先我们先搭建一个IIS6.0的服务器,具体搭建方法见https://zhuanlan.zhihu.com/p/181380890,文章中还有一些常见的问题也帮大家写出来了。然后我们创建一个test.txt的文档里面写入hello_world,然后修改后缀名将test....
文件上传基于GET方式的00截断绕过
xdjxi的博客
02-22 2094
实验原理 文件上传从客户端进行检测显然是防护不足的,所以需要从服务器端进行防护。服务端的检测绕过方法有很多,常见的有: 1.后缀名检测绕过 2.MIME 类型检测绕过 3.文件内容检测绕过 4. 00截断绕过 5.条件竞争检测绕过 截断漏洞出现的核心就是chr(O),这个字符不为空(Null),也不是空字符(""), 更不是空格。当程序在输出含有chr(O)变量时,chr(O)后面的数据会被停止,换句话说,就是误把它当成结束符,后面的数据直接忽略,这就导致了漏洞产生。由于Ox00是字符串的
upload-labs关卡12(基于白名单的%00截断绕过)通关思路
zyh1588的博客
11-22 895
小白回顾文件上传靶场第12关
00截断上传绕过_Web安全-基于上传漏洞的POST方式00截断绕过
weixin_39777875的博客
12-20 462
基于上传漏洞的POST方式00截断绕过实验目的通过本次实验,体验00截断POST方式绕过上传检测的方法,掌握如何使用burpsuit进行数据抓包与改包从而结合上传漏洞的攻击方法以及防御措施。实验环境渗透主机:burpsuitv1732用户名: college密码: 360College工具:Burpsuite目标网站:上传漏洞训练平台(第12关)用户名: college密码: 360College...
文件上传绕过
helloKittywz的博客
11-27 460
学习记录
文件上传绕过】——二次渲染漏洞
热门推荐
weixin_45588247的博客
07-28 1万+
copy a.png /b + a.php /a 1.png: http://www.xue51.com/soft/47175.html =================================================== 1. png图片组成:   png图片由3个以上的数据块组成。   PNG定义了两种类型的数据块,一种是称为关键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。   关键数据块定义
文件上传漏洞的文件头绕过
最新发布
04-20
文件上传漏洞是一种常见的Web安全漏洞,攻击者通过绕过文件头检测机制,上传恶意文件到服务器上,从而执行任意代码或者获取敏感信息。文件头绕过是指攻击者通过修改文件的内容或者文件名来欺骗服务器的文件类型检测机制,使得服务器无法正确判断文件的真实类型。 为了绕过文件头检测机制,攻击者可以采取以下几种方法: 1. 修改文件内容:攻击者可以在文件的开头添加一些特殊字符或者修改文件的二进制内容,使得文件头部的标识符不再符合服务器的文件类型检测规则。 2. 修改文件扩展名:攻击者可以将恶意文件的扩展名修改为服务器允许上传的合法文件类型的扩展名,从而欺骗服务器认为该文件是合法的。 3. 使用双重扩展名:攻击者可以将恶意文件的扩展名修改为两个或多个扩展名的组合,例如将`.php`文件修改为`.jpg.php`,这样服务器可能只会检测到第一个扩展名,从而误判文件类型。 4. 使用特殊编码:攻击者可以使用特殊编码对文件进行编码,使得文件头部的标识符被隐藏或者混淆,从而绕过文件类型检测。 为了防止文件上传漏洞的文件头绕过,开发者可以采取以下几种措施: 1. 文件类型检测:在服务器端对上传的文件进行类型检测,可以通过检查文件的魔术数字、文件扩展名、MIME类型等方式来判断文件的真实类型。 2. 文件名过滤:对上传的文件名进行过滤,只允许合法的文件名字符,避免使用特殊字符或者路径分隔符。 3. 文件内容检测:对上传的文件内容进行检测,可以通过解析文件内容或者使用杀毒软件等方式来检测文件是否包含恶意代码。 4. 文件权限设置:限制上传文件的存储路径的访问权限,避免攻击者通过上传恶意文件获取服务器的敏感信息或者执行任意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值