2020小迪培训(第21天 WEB 漏洞-文件上传之后端黑白名单绕过)

最新推荐文章于 2023-01-28 14:19:20 发布
最新推荐文章于 2023-01-28 14:19:20 发布
阅读量722 收藏 6
点赞数 1
分类专栏: 2020小迪培训 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45889197/article/details/120149114
版权

WEB 漏洞-文件上传之后端黑白名单绕过

前言

3139a6041f23d50d18a1fb1bc558e63d-1

文件上传常见验证

后缀名,类型,文件头等

后缀名:黑名单,白名单

黑名单:明确不允许上传的格式后缀

asp php jsp cgi war…

缺陷:在定义不完整的时候,可以使用其他格式达到绕过效果

白名单:明确可以上传的格式后缀

jpg png zip rar gif

相对于黑名单,验证会更安全一些

文件类型:MIME 信息(检测类型,不严谨,可以进行伪造)

Content-Type为MIME信息,通过这个信息来猜测你的文件是什么格式的,什么后缀(验证方式之一)

有时候我们可以通过改变其值,实现欺骗操作,从而成功绕过。

image-20210830102307454

文件头:内容头信息(检测内容,不严谨,可以进行伪造)

对应详解:https://blog.csdn.net/chinabinlang/article/details/11797587?utm_source=blogxgwz3

image-20210830102719547

简要上传表单代码分析解释

image-20210830110455643

$_FILES函数详解:https://www.cnblogs.com/laijinquan/p/8682282.html

演示案例(基于代码分析)

uploadlabs 关卡分析
Pass-01(白名单)
方式一

  • 尝试上传php文件发现上传不了,对代码进行分析,发现验证代码时用前端js编写的

    image-20210830205257770

  • 这时候我们上传一个图片格式(内有后门代码),直接打开bp进行抓包操作,修改filename后缀,发现成功上传!

    image-20210830205630518

方式二

  • 通过f12将网页代码复制下来发现验证代码时用前端js编写的

    image-20210829231834831

  • 这时候我们在自己本地新建一个文件(存放我们的第一关,防止误删其他重要代码),在代码中我们将验证部分删掉,同时加上对应的提交位置

    image-20210829233400467

    image-20210829233614684

    image-20210829233315295

  • 进行上传操作,在对应文件看到php文件,成功上传!

    image-20210829233802030

Pass-02(MIME 信息验证)(白名单)

  • 我们先上传PHP文件,发现提示:文件类型不正确,请重新上传!

    image-20210830215642237

  • 通过分析代码,我们知道验证的地方是Content-Type这个地方,进行修改后成功将文件上传!

    image-20210830220341319

    image-20210830220152389

Pass-03(黑名单)(特殊解析后缀)

  • 我们先上传PHP文件,发现提示:不允许上传.asp,.aspx,.php,.jsp后缀文件!

  • 基础:trim函数详解

    strrchr() 函数详解

    image-20210830220732932

  • 通过分析代码,我们知道过滤方式为截图这些,我们首先要把代码读懂,发现这里限制条件并没有包括过滤php5后缀(Apache能够解析php5,但前提是apache的httpd.conf中有如下配置代码, AddType application/x-httpd-php .php .phtml .phps .php5 .pht .php3 .txt)

    image-20210830225729123

  • 尝试修改下后缀名为php5,上传成功!

    image-20210830225442903

Pass-04(黑名单)(.htaccess解析

  • 查看代码,我们对其进行分析,发现其过滤的文件后缀更多,但是没有过滤 .htaccess

  • 创建并上传.htaccess文件,文件内容为下面,然后上传带有shana的文件名(自定义),就会被解析成php

    <FilesMatch "shana">
  SetHandler application/x-httpd-php
</FilesMatch>
    • 成功上传.htaccess文件和xshana.jpg文件
    image-20210830231107506
    • 成功访问,解析php代码成功!

    image-20210830231528429

Pass-05(黑名单)(大小写绕过)

  • 查看代码,我们对其进行分析,相对于前面少了这行代码

      $file_ext = strtolower($file_ext); //转换为小写

  • 过滤很充分,也过滤了.htaccess和.ini,但是没有将文件后缀名转换为小写,故大写绕过即可

    image-20210830231913360

Pass-06(黑名单)(空格绕过)

  • 查看代码,我们对其进行分析,相对于前面少了这行代码

    $file_ext = trim($file_ext); //收尾去空

  • 我们可以在文件名后缀最后面加上空格,来绕过黑名单的过滤。到服务器后,会强制将空格去除,从而在服务器上是正常的文件!
    image-20210830233010182
    image-20210830233111137

Pass-07(黑名单)(点绕过)

  • 查看代码,我们对其进行分析,相对于前面少了这行代码

    $file_name = deldot($file_name);//删除文件名末尾的点

  • 少了对点的过滤,因此直接在文件名后缀后面加上.即可实现上次

    image-20210830233505961

  • 上传到对应网站后,系统会强制将点去掉,所以在那边我们看到的文件是正常的格式(最后没有一个点)

Pass-08(白名单)(::DATA 绕过)

  • ::DATA

    php在 windows中如果文件名 + " : : D A T A " 之 后 的 数 据 当 成 文 件 流 处 理 , 不 会 检 测 后 缀 名 , 且 保 持 " : : DATA"之后的数据当成文件流处理,不会检测后缀名,且保持" : : DATA",,"::DATA"之前的文件名,它的目的就是不检查后缀名(Windows文件流特性)

  • 查看代码,我们对其进行分析,相对于前面少了这行代码

  $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
  • 我们直接上传a.php,然后抓包进行修改(如下图),实现绕过!
    image-20210830234527832
Pass-09(黑名单)

  • 基础知识

    deldot函数

  • 查看代码,我们发现和之前的没有太大区别,这时候我们从代码进行入手,对代码进行分析

    获取对应文件名->设立黑名单数组->首位去空->删除末尾的点->截取.后面的字符(包括点)->转换成小写->去除字符串::$DATA->首位去空

    image-20210831095647355

  • 主要思路:我们可以通过在末尾加点、空格来实现上传脚本的操作!在这里我们使用bp进行抓包,对其进行修改。

    image-20210906141027452

    变化过程:

    1234.php.空格 . ——>1234.php.空格. ——>1234.php.空格——>1234.php.——>1234.php(window特性)

Pass-10(黑名单)
  • 查看代码,我们发现其中有句语句是将黑名单中后缀改成空格的语句,但这里只执行一次,我们以此为突破口

image-20210906142146741

  • 主要思路:上传php文件,使用bp进行抓包,对其进行修改。将后缀改成pphphp即可

image-20210906145006941

Pass-11(白名单)(%00截断)

  • 基础知识

    substr

    strrpos

  • %00和0x00的区别

    前者用于地址方面的(get和post提交数据的位置进行修改)(修改位置有所不同,详情看第11和12关),后者是用于文件命名(在filename位置进行修改)

  • 查看代码,进行对应分析
    image-20210906150553620

  • 使用bp进行抓包发现这两个地方好像有点关联,我们尝试在后面加上x,1.jpg都不行,我们尝试使用截断 …/upload/1.jpg%00 (get会自动解码),发现能够成功上传!
    image-20210906145938991

    • 分析
      image-20210906151058682
Pass-12(白名单)
  • 跟Pass-11的方法类似,不过这个是post提交,POST不会像GET那样对%00进行自动解码,post内容修改为下面画框的位置。因此,我们需要在burp中选中%00右击->url ->urldecode->go 即可。
    image-20210906152245274
     

最后感谢小迪师傅的视频!!

笔记来源视频:点击这里

是阿明呐
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
第24WEB漏洞-文件上传之WAF绕过及安全修复1
08-03
Content-Disposition:一般可更改name:表单参数值,不能更改filename:文件名,可以更改Content-Type:文件 MIME,视情
java ip 白名单_Java代码中对IP进行白名单验证
weixin_42538752的博客
02-16 1319
public classipUtil {//IP的正则,这个正则不能验证第一组数字为0的情况//private static Pattern pattern = Pattern//.compile("(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\."//+ "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\."//+ "(1\\d{...
java判断文件类型_Java安全编码实践总结
weixin_39777540的博客
11-29 424
Java作为企业主流开发语言已流行多年,各种java安全编码规范也层出不穷,本文将从实践角度出发,整合工作中遇到过的多种常见安全漏洞,给出不同场景下的安全编码方式。本文漏洞复现的基础环境信息:jdk版本:1.8 ,框架:springboot1.5,数据库:mysql5.6和mongodb3.6,个别漏洞使用到不同的开发框架会特别标注。安全编码实践Sql注入防范常见安全编码方法:预编译+输入验证预编...
文件上传/JS/MIME/名单/白名单/htaccess/00截断详解篇[代码审计]
qq_60115503的博客
04-15 2067
文件上传漏洞定义 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力,这种攻击方式是最为直接和有效的,"文件上传"本身没有问题,有问题的是文件上传后,服务器怎么处理,解析文件,如果服务器的处理逻辑做的不够安全,则会导致严重的后果 文件上传漏洞危害 上传文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,导致代码执行 上传文件是病毒或者木马时,主要用于诱骗用户或者管理员下载执行或者直接自动运行 ...
java后台添加上传白名单
xiaofengfeng_24的博客
05-24 3698
Java 后台添加后台上传白名单,通过文件后缀来对比文件byte前8位判断是否可以上传。
文件上传漏洞的过滤绕过
JunDao73的博客
02-10 5551
这里总结一下文件上传漏洞的各种过滤机制的绕过。我找到的实验环境是upload-labs。 下载地址是GitHub - Tj1ngwe1/upload-labs: 一个帮你总结所有类型的上传漏洞的靶场 界面还是很美观的如图1-1,总共19个关卡。 图1-1 这里说一下我环境配置过程中遇到的一个小问题,就是网站的根地址设置。如图1-2 图1-2 记得把config.php文件中的$site_root改成自己的目录,不然这个美丽的界面是加载不出来的,这个是我自己更改过后的模样。另外如果文件执行
第39WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
(2)外部文档声明 (1)内部实体声明 (2)外部实体声明 (3)参数实体声明
第28WEB漏洞-XSS跨站之WAF绕过及安全修复1
08-03
WEB 漏洞-XSS 跨站之 WAF 绕过及安全修复#常规 WAF 绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过#自动化
第18WEB漏洞-SQL注入之堆叠及WAF绕过注入1
08-03
1、逻辑问题 2、性能问题 3、白名单
第32WEB漏洞-文件操作之文件下载读取全解1
08-03
1.文件被解析,则是文件包含漏洞 2.显示源代码,则是文件读取漏洞 3.提示文件下载,则是文件下载漏洞
文件上传名单绕过
pigzlfa的博客
07-04 5425
名单绕过方法: 1、大小写绕过 windows对大小写不敏感,所以上传大小写混写的php进行绕过 (因为后端一般验证后缀字符串是否和‘php’相等,(前提是没有将你传入的字符串进行小写转换后再对比),大写字母和小写字母肯定不相等,所以可以利用这一点进行绕过,又因为windows对大小写不敏感,所以.PhP文件被当成php文件解析) 2、重写绕过: 服务端将名单的后缀名替换为空,但是仅替换一次,所以可以上传.phphp p后缀,替换后就成了.php 3、特殊可解析后缀绕过名单规则不严谨,在某些特定.
上传验证绕过——服务端名单绕过
Williamanddog的博客
01-28 839
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。由于.htaccess还是没有过滤,可以重写文件解析规则绕过,上传一个 .htaccess,文件内容如下,意思。Upload-labs(Pass-03)根据源码可以看出,只是做了个简单的后缀名名单,识别上传文件的类型是。否为 '.asp','.aspx','.php','.jsp' 中的一个,若是其中的一个,则不允许上传。这一关的思路是它没有循环验证,也就是说这些首尾去空,删除末尾的点,去除字符串:$SDATA,转换。
21-WEB漏洞-文件上传后端白名单绕过
MCTSOG的博客
03-05 1797
思维导图 文件上传常见验证 后缀名,类型,文件头等 名单:明确不允许上传的格式后缀 如:$deny_ext = array(’.asp’,’.aspx’,’.php’,’.jsp’); 不允许上传后缀为asp, aspx ,php ,jsp 的文件 白名单:明确只允许上传的格式后缀 如:$ext_arr = array(‘jpg’,‘png’,‘gif’); 只允许上传jpg png gif 文件 文件类型:MIME 信息 MIME(Multipurpose Internet Mail Extens
21)【后端白名单绕过】【WEB 漏洞利用/原理】不懂原理都是没灵魂的方法躯壳?文件上传漏洞利用过程
热门推荐
03-12 1万+
原理是web漏洞上传利用的灵魂,方法是躯壳
小迪安全学习笔记--第21web漏洞-文件上传后端白名单绕过
zr1213159840的博客
12-18 855
文件上传的常见验证 后缀名的白名单 名单:明确哪些文件是不允许上传的,比如asp php jsp aspx cgi war等等。 白名单:明确可以上传的文件,比如jpg png zip rar gif 文件类型:MIME信息 浏览器中的header中有content-type,这就是MIME信息 文件头:内容头信息 文件的头信息,用于指明文件是什么格式 uploads过关记录 第一关:前端判断注释掉过关 第二关:修改MIME过关 第三关:上传php的其他格式来绕过 第四关:.htaccess绕过,只
apache能够解析的后缀php5,Apache后缀名解析漏洞分析和防御方法
weixin_36090805的博客
03-10 741
我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析。我们一般称这个漏洞为windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存在类似的解析漏洞。我们来做下实验,我在本地搭建好了一个apache+php的测试平台:两个文件phpinfo.php php...
WEB漏洞-文件上传后端白名单绕过
weixin_46425310的博客
06-11 675
WEB漏洞-文件上传后端白名单绕过 文件上传常见验证:后缀名,类型,文件头 后缀名:名单,白名单 名单:asp php jsp aspx cgi war… 白名单: txt jpg zip rar gif… 类型:MIME信息 文件头:内容头信息 平台配置文件可能开启了以php解析php3,phtml,php5后缀,所以名单中如果疏漏了这些后缀,就可以绕过。(特殊解析后缀) .htaccess(apache服务器中的一个配置文件)可以通过先上传一个.htaccess文件 <FilesM
文件上传漏洞基础/content-type绕过/名单绕过/
ChenD的学习笔记
10-21 4409
有些上传模块,会对http的类型头进行检测,如果是图片类型,允许上传文件到服务器,否则返回上传失败。在后端检测了上传文件的content-type是不是图片格式,也就是说,我们前面用的删掉前端函数,直接上传方式是用不了的,我们需要发送数据包中的content-type为image/png。①修改脚本后缀,上传,抓包中修改后缀(因为上传的就是图片,所以content-type就是image/png)②直接上传脚本,抓包中直接修改conent-type。②直接上传脚本修改content-type。
21WEB漏洞-文件上传后端白名单绕过
mingyqf的博客
01-05 1853
21WEB漏洞-文件上传后端白名单绕过 知识点 文件上传常见验证:后缀名,类型,文件头等 1.后缀名:名单,白名单 名单:明确不让上传的格式后缀,比如asp,php,jsp,aspx,cgi,war等,但是名单易被绕过,比如上传php5,Phtml等 白名单:明确可以上传的格式后缀,比如jpg,png,zip,rar,gif等,推荐白名单。 2.文件类型:MIME信息 content-type字段校验,可以通过抓包改包方式绕过 3.文件头:内容头信息 每种类型的文件都有自己固定的文件头
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
最新发布
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值