文件上传漏洞(五)

已于 2022-05-21 17:16:25 修改
阅读量323 收藏 1
点赞数
分类专栏: OWASP TOP10 文章标签: web安全
于 2022-05-21 14:37:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51730169/article/details/124898026
版权
"本文介绍了两种常见的文件上传漏洞利用方式:一是利用Windows环境的特性,通过特殊符号如".jpg>>>"绕过黑名单过滤;二是利用后缀名双写如"pphphp"绕过黑名单检查。分析了相关代码并提供了绕过上传的实例,强调了上传安全的重要性。"
摘要由CSDN通过智能技术生成

十、利用 windows 环境的叠加特征绕过

1、简介

在 windwos 中如果上传文件名 phpinfo.php:.jpg 的时候,会在目录下生产空白的文件名 phpinfp.php,再利用 php 和 windows
环境的叠加属性。
以下符号在正则匹配时相等:
双引号" 等于 点号. 
大于符号> 等于 问号?
小于符号< 等于 星号*
文件名.< 或 文件名.<<< 或 文件名.>>> 或 文件名.>><空文件名

2、代码分析

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

同样是黑名单匹配,把.去掉,把空格过滤了,::$data 也过滤了。

3、绕过上传

首先抓包上传 a.php:.jpg 上传会在目录里生成 a.php 空白文件,接着再次提交把a.php 改成 a.>>>

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

十一、双写后缀名绕过

1、简介

在上传模块,有的代码会把黑名单的后缀名替换成空,例如 a.php 会把 php 替换成空,但是可以使用双写绕过例如 asaspp,pphphp,即可绕过上传。

2、代码分析

同样是黑名单过滤。str_ireplace 对上传的后缀名是黑名单内的字符串转换成空。

在这里插入图片描述

3、绕过攻击

抓包上传,把后缀名改成 pphphp 即可绕过上传

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

Aτθ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件上传漏洞-(下)
wobushini的博客
03-21 377
Pass-10:双后缀名绕过 效果如下: 尝试双写后缀名绕过: Pass-11:%00截断 使用了白名单方式: 先上传php文件试试看看: url里多了一个“save_path”变量,我们使用%00来绕过: 咦,并没有上传成功呢?原来php.ini文件中有个配置项: magic_quotes_gpc=On 它的作用是将单引号、双引号、反斜杠与NULL等进行转义。 我们先将On改为Off,重启服务...
文件上传漏洞
frinck的博客
09-18 307
文件上传漏洞 1.简介 文件上传漏洞就是说用户上传了一个可以执行的脚本文件,并通过这个文件拿到了执行服务器端命令的能力,正常情况下上传功能是一个正常业务需求,对于网站来说,很多时候确实需要用户将文件上传到服务器中,但是由于往回走那对上传部分控制不足或者存在缺陷,从而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件。 1.1 漏洞成因 web脚本语言: 上传文件时web脚本语言,服务器...
文件上传绕过的一次思路总结(两个上传点组合Getshell)
qax
06-21 2808
这是朋友的一个渗透测试的项目,有个上传的黑名单,我就试了一下,本文章是一遍测试一遍记录的,对于一些知识点总结的不全,只是提供了一个渗透中碰到上传的思路,文章无排版,是笔记的形式做记录。......
文件上传绕过
qq_45557130的博客
10-13 4288
文件上传绕过
文件上传漏洞--upload-labs靶场复现(8-17关)
pakho_C的博客
02-18 560
靶场下载链接 相关原理 ① ::$DATA绕过 php在windows系统下如果文件名+"::$DATA" 会把:: $ DATA之后的数据当成文件流处理,不会检测后缀名,并且保留::$DATA之前的文件名 这样就可以达到绕过后缀名检测的目的 第9关 源码及提示 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = arra
文件上传漏洞——upload-labs 1-19 (详解)
m0_62879498的博客
02-19 6976
upload-labs-1 删除 js 进行绕过 上传图片,发现上传成功 上传 shell 发现: 发现是白名单,所以由前面我们知道,极有可能在前端存在过滤,我们检查一下: 发现 checkFile() 起到了检查过滤的效果,我们将其删去并提交 发现: 然后用中国以蚁剑 进行链接 发现成功 发现成功 同时我们发现仅仅在前端进行过滤是远远不够的,我们可以轻易的删去,所以除了前端,后端也必须进行校验 如果我们在使用蚁剑发现了返回值为空说明一句话木马语法错误,如果我们发现返回值是一串乱码 则是链接地址
计算机网络安全文件上传漏洞及防御措施.pdf
09-19
计算机网络安全文件上传漏洞及防御措施 计算机网络安全文件上传漏洞是一种常见的Web安全漏洞,攻击者可以通过上传恶意代码的文件来获取服务器的控制权。为了防御这种攻击,需要对文件上传进行严格的校验检测,...
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务器安全,避免文件解析漏洞。 2....
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞的检测方法 检测WebShell 文件上传漏洞的方法包括: 1. 代码审查:对Web应用程序的代码进行审查,以检测是否存在文件上传漏洞。 2. 渗透测试:通过渗透测试来检测Web应用程序是否存在...
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
文件上传漏洞的思维导图
04-19
文件上传漏洞是网络安全领域中的一个重要话题,主要涉及服务器上的文件管理与权限控制。攻击者通过这类漏洞能够上传恶意文件,从而可能对系统造成严重破坏,包括执行任意代码、获取敏感信息甚至完全控制服务器。以下...
.htaccess 文件不工作_文件上传漏洞uploadlabs靶场712关
weixin_35786759的博客
12-27 254
Less7 利用点号进行绕过0x01 Less7说明查看源代码$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".h...
CTF-网页上传
weixin_45441727的博客
03-18 1697
1.根据下方代码上传名为1.php的文件 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type']
上传漏洞 upload-labs
lonmar的博客
03-23 777
pass-1 前端js验证 前端js过滤文件后缀名,页面禁用js即可 pass-2 后端MIME验证 Content-Type 实体头部用于指示资源的MIME类型 media type ,在响应中,Content-Type标头告诉客户端实际返回的内容的内容类型。 常见Content-Type https://www.cnblogs.com/klb561/p/10090540.html 源码:...
文件上传漏洞靶场upload-labs学习(pass6-pass10)
AFCC_的博客(Web_Dog)
03-06 3136
0X00 Pass6 第6关从后缀绕过的角度考察,源码为: $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3"
前端判断上传的文件是否为同一个文件_文件上传漏洞uploadlabs靶场16关
weixin_39959126的博客
12-16 1129
文件上传漏洞upload-labs靶场文件上传靶场环境:https://github.com/c0ny1/upload-labsLess1 前端JS绕过0x01 Less1说明查看源代码function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file =...
文件上传漏洞(一) upload-labs靶场练习
好好睡觉
03-18 5922
常见文件上传漏洞类型总结、upload-labs靶场
网络安全售前入门06安全服务——基线检测服务方案
最新发布
打工人
08-30 1595
安全基线检查可以帮助单位认清自身风险现状和漏洞隐患,使业务系统的风险维持在可控范围内。根本目的是保障业务系统的安全,是为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险而制定的安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。
【网络安全漏洞挖掘
anquan2233的博客
08-29 1356
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值