文件上传漏洞各种姿势分析

已于 2022-10-26 21:06:35 修改
阅读量708 收藏 1
点赞数
分类专栏: 网络安全 文章标签: apache php java 网络安全 安全性测试
于 2022-10-25 21:52:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46591320/article/details/127522475
版权

文件上传,最主要的漏洞是图片上传,如果能上传对应开发语言的文件,那极大可能会获取到服务器的权限,即getshell。各上传功能点多少都有做过滤,这次做个总结,也方便以后查笔记,包括各语言、中间件及稀奇古怪的方法。

0x01 常用后缀变异绕过

语言可解析后缀
asp/aspxasp、aspx、asa、asax、ascx、ashx、asmx、cer、aSp、aSpx、aSa、aSax、aScx、aShx、aSmx、cEr
phpphp、php2、php3、php4、php5、pHp、pHp5、pHp4、pHp3、pHp2、html、htm、phtml、pht、Html、Htm、pHtml
jspjsp、jspa、jspx、jsw、jsv、jspf、jtml、jSp、jSpx、jSpa、jSw、jSv、jSpf、jHtml

0x02 中间件解析漏洞上传绕过

  1. IIS6.x解析漏洞

    基于目录名,默认将*.asp/目录下的所有文件当成asp解析

    基于文件名,默认会将*.asp;jpg当成asp解析,原理是服务器默认不解析;号及后面的内容,相当于截断。

  2. IIS7.5解析漏洞

    任意文件php解析,此版本在Fast-CGI运行模式下,在任意文件后面加上/.php都能解析为php,例如test.jpg/.php

  3. Nginx配置文件错误导致的解析漏洞

    对于任意文件名,在cgi.fix_pathinfo默认开启的状态下,访问路径添加/xx.php(xx为任意字符)后,即可将该文件作为php解析,例如:test.jpg/xxx.php

  4. Apache未知扩展名解析漏洞

    Apache默认一个文件可以有多个以点分割的后缀,当最右边的后缀无法识别(不在mime.types文件内),则 文 继续向左识别,直到识别到合法后缀才进行解析。比如访问phpinfo.php.xxx。

  5. Apache addhandler导致的解析漏洞

    如果在Apache的conf里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php就以php文件执行。

0x03 其他各种姿势的绕过

  1. 客户端校验

    上传即提示文件格式不支持,bp抓不到包,大多是前端JS校验,上传合法文件再改后缀即可。

  2. 服务端校验Content-Type

    bp抓包修改文件类型

  3. %00截断(php版本必须小于5.3.4php.ini中的magic_quotes_gpc设置为Off)

    截断注释,/payload/x.php%00.jpg,%00需要转化为URLencode,在有些函数执行时,会把这个字符(%00或0x00)当做结束符。GET请求使用%00,POST请求使用0x00。

  4. 服务端验证逻辑漏洞(此处有多种可能,比如后端未进行大小写转换、或只是去除关键词)

    后缀名大小写变化,如Php、asP等

    双写后缀,phphpp,asaspp等

  5. 服务端为windows环境可尝试

    在上传文件名后缀添加空格

    在上传文件名后缀添加.

    在上传文件名后缀添加::$DATA

  6. 可修改/覆盖apache解析配置文件.htaccess

    上传.htaccess,重写文件解析,可以直接上传图片自动解析成php文件

    例如:.htaccess内容写入,SetHandler application/x-httpd-php,这行配置表示将所有后缀名都解析为php

  7. .user.ini配置覆盖

    服务器脚本语言为PHP,并且使用CGI/FastCGI模式,php版本>5.3.0,上传目录下要有可执行的php文件。

    .user.ini,它会影响php.ini中的配置,从而将指定的文件内容按php来解析,影响的范围该文件所在的目录以及子目录。需要等待php.ini中的user_ini.cache_ttl设置的时间或重启Apache才能生效,且只在php5.3.0之后的版本才生效。.user.ini比.htaccess用的更广,不管是nginx/Apache/IIS,只要是以fastcgi运行的php都可以用这个办法。

    上传一个.user.ini

    auto_prepend_file = xxx.jpg

    然后再上传一个图片马xxx.jpg

    <script language='php'>system('whoami');</script>

    如果在上传目录中还有一个可执行的php文件,访问php文件,就达到了执行系统命令的效果。

    总结一下:上传目录中有一个可执行的php文件,我们先上传一个.user.ini文件,这个文件的内容为auto_prepend_file=xxx.jpg。起到的作用相当于在可执行的php文件前插入图片马中的内容。然后图片马中的恶意代码也会被当做PHP解析

0x04 测试tips

  • 实战环境下可以考虑后缀fuzz,大多数情况校验的是后缀和Content-Type
  • 多尝试组合验证,跑fuzz,验证黑白名单,逐步排查。正常内容,正常MIME;后门内容,正常MIME;伪造格式+后门内容,正常MIME等等
  • CTF环境可能还会校验文件头,可用GIF89a伪造文件头
  • 二次渲染自动去除图片马,对比上传之前和上传之后图片的十六进制代码,在保留的那部分中插入payload,应用gif文件
Topdayplus
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java web 上传图片漏洞_Web安全:文件上传漏洞
weixin_29310631的博客
02-17 1046
原标题:Web安全:文件上传漏洞一般将文件上传归类为直接文件上传与间接文件上传。直接文件上传就是服务器根本没有做任何安全过滤,导致攻击者可以直接上传小马文件及大马文件(如ASP、ASPX、PHP、JSP及war文件等类型的小马文件及大马文件),从而得到目标站点的shell。间接文件上传就是服务器对用户上传的文件使用了安全策略:第一种安全策略是在程序代码中设置黑名单或者白名单;第二种安全策略是在We...
你不知道的文件上传漏洞php代码分析
12-18
开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。 文件处理一般包含两项功能,用户上传和展示文件,如上传头像。 文件上传攻击示例 upload.php <?php $uploaddir = '...
AWD攻防漏洞分析——文件上传
01-20
概述 这个漏洞在DVBBS6.0时代被hacker们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级高,入侵中上传漏洞也是常见的漏洞。 导致改漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。 上传方法 1、直接上传Webshell 2、绕过客户端检测上传webshell 3、绕过服务器文件扩展名检测上传webshell 4、绕过服务端MIME类型检测上传webshell 5、绕过文件内容检测上传webshell 6、绕过服务端目录路径检测上传webshell 7、绕过服务端漏洞上传webshell 8、利用.htacc
网络安全文件上传漏洞详解】(1),架构师必备
最新发布
2401_83739632的博客
04-14 648
顾名思义,白名单就是服务端明确规定上传格式,比如JPG,GIF,PNG等格式,除此之外其他类型无法上传。通过检查http中包含的Content-Type字段中的值来判断上传文件是否合法,因此可以将此字段改成允许上传的。例2:来到第二关,还是限制只能上传GIF,JPG,PNG格式,但是在禁用JS上传已经不管用了,因为对方用了MIME验证。打开burp抓包,找到Content-Type字段,可以发现其与代码中允许的字段不一致,所以将Content-Type字段改成代码中允许的字段类型提交即可。
文件上传漏洞详解
热门推荐
剁椒鱼头没剁椒的博客
11-28 1万+
文件上传漏洞是web系统中常见的一种功能,通过文件上传能实现上传图片、视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。编辑器也就是在线的web编辑器,比如在搭建博客后需要发布文章,那么用来发布文章的界面就是web编辑器。
文件上传漏洞
weixin_52657559的博客
11-23 2086
本文章供交流学习,另外错误部分还请帮忙评论告知便于更改
文件上传漏洞总结
weixin_48427966的博客
04-22 626
1、上传图片,2、下载服务器渲染过的图片,3、用脚本生成payload.jpg,4、上传图片,传参1=phpinfo();
Web安全 文件上传漏洞测试和利用.(上传一个图片或文件 拿下服务器最高权限.)
网络安全领域___专研者.
03-09 5316
文件上传漏洞的 概括: 现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型. 此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文件后缀)到服务器上,并将恶意文件传递给网站脚本语言去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作.
WebShell文件上传漏洞分析溯源
02-22
WebShell文件上传漏洞
文件上传漏洞常见绕过方法
05-26
1、前端js检测文件格式 2、上传的文件时加入了“Content-Type”验证 3、文件后缀验证 4、文件后缀黑名单 5、文件头验证 6、文件内容初级验证 7、文件上传+文件包含
文件上传漏洞的思维导图
04-19
总结了文件上传漏洞的相关知识
一文爽 文件上传漏洞原理、方法和类型详细解析
MachineGunJoe666
05-23 674
文件上传漏洞是web系统中常见的一种功能,通过文件上传能实现上传图片、视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。
文件上传漏洞的原理和利用(详细)
永不落的梦想
07-05 2070
本文包含文件上传漏洞的原理、利用和防御,绕过文件上传限制的各种姿势可以有效地利用文件上传漏洞,非常全面详细
web安全-文件上传漏洞-图片马制作-相关php函数讲解-upload靶场通关详细教学(3)
ran的博客
01-30 5930
getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。的知识,比如我们平时在进行文件上传时,在我们上传文件后,网站会对图片进行二次处理(格式、尺寸、保存、删除要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片(标准化)并放到网站对应的标签进行显示。
文件上传漏洞--dvwa
m0_62202418的博客
11-25 395
所以尝试使用PHP 代码来生成一个shell 文件,文件内容是一句话木马,然后通过蚁剑来连接shell 文件。上传失败,提示只能上传JPEG、PNG格式的文件,应该是对文件的类型做了限制。修改文件名为1.png ,文件类型为image/png尝试上传。文件上传失败,提示只能上传类型为JPEG、PNG的文件。a. 上传一个dvwa_shell.png 的图片木马。上传一张正常的图片,能够上传成功,文件上传功能正常。上传一张正常的图片,查看一下文件上传功能是否正常。PHP 代码成功运行,尝试蚁剑连接连接成功。
文件上传漏洞例题
agoodboy6的博客
12-02 520
进入环境上传文件(要新建一个php格式的一句话木马)直接上传即可利用蚁剑(中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。简单来说是一款webshell管理工具,当然也有很多类似的工具)连接成功即可获取flag。
网络安全文件上传漏洞详解】
Flipped_Move的博客
01-15 1413
我自认为文件上传漏洞特点是多且杂,不像SQL注入那样成体系只要一步步往下走就行。以上文章只是对文件上传漏洞重点部分原理做了介绍与复现,此外还有大小写绕过、双写绕过,将php解析为php5等绕过方式前文中并没有提。就是说针对不同的过滤规则有不同的绕过方式,掌握原理后灵活应对即可。针对中间件的解析漏洞除了apache和IIS外还有Nginx。因为需要docker环境,笔者比较懒,并且网上有很多中间件所爆出来的漏洞的详细利用过程,因此对中间件没有过多介绍与复现。
文件上传漏洞漏洞分析的需求分析
06-07
文件上传漏洞是指攻击者通过绕过文件上传...5. 总结文件上传漏洞漏洞特征:在分析漏洞后,需要总结文件上传漏洞的特征和规律,例如漏洞出现的常见场景、攻击者利用漏洞的方式等,以便后续的安全防范和漏洞修复工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值