Pikachu靶场——文件上传漏洞(Unsafe upfileupload)

已于 2023-10-04 09:39:01 修改
阅读量1.9k 收藏 13
点赞数 11
分类专栏: Pikachu 文章标签: 网络安全 系统安全 安全 pikachu 靶场 文件上传漏洞 web安全
于 2023-10-04 09:24:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58783105/article/details/133543730
版权

文章目录

1. Unsafe upfileupload

漏洞描述

文件上传是Web应用必备功能之一,如头像上传,附件分享等。如果服务器配置不当或者没有进行足够的过滤,Web用户就可以上传任意文件,包括恶意脚本文件,exe程序等等,这就造成了任意文件上传漏洞。

漏洞原理

大部分的网站和应用系统都有上传功能,而程序员在开发文件上传功能时,并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。

漏洞危害

可能会导致用户信息泄露,被钓鱼,甚至使攻击者可以直接上传WebShell到服务器,进而得到自己想要的信息和权限。最终达到对数据库执行、服务器文件管理、服务器命令执行等恶意操作,甚至完全控制服务器系统。

1.1 客户端检查(client check)

上传一个一句话木马的php文件

image-20230827192217817

发现只能上传图片

image-20230827191535960

修改文件的后缀名为.png,然后进行抓包。

image-20230827192240556

修改上传文件的后缀名。

image-20230827192332755

上传成功

image-20230827192343421

使用中国蚁剑进行连接

image-20230827192456013

虚拟终端

image-20230827192947351

1.1.1 源代码分析

clientcheck.php

image-20230916205708800

说明:这里过滤方式是白名单过滤,但是放在了前端进行校验。前端的一切过滤都可以被绕过。

1.2 服务端检查(MIME type)

MIME(Multipurpose Internet Mail Extensions,多用途互联网邮件扩展类型)

是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问时,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。

MIME 在传输数据时使用两个主要的元素:类型和子类型。前面是数据的大类别,例如声音audio、图像image等,后面定义具体的种类,常见的MIME类型,比如:

超文本标记语言文本.html texthtml

普通文本.txt text/plain

RTF文本.rtf application/rtf

GIF图形.gif image/gif

JPEG图形.ipeg.jpg image/jpeg

说明:服务端会对上传的数据中的content-type字段进行检测,判断其是否为指定的文件格式。

随便上传一个文件,回显出限制上传的文件格式。

image-20230828214945555

这里只能上传jpg,jpeg,png格式的文件,典型的白名单。

这里我们上传一个wuhu.php文件,然后点击开始上传的时候抓包。

修改Content-Type值为:image/jpeg

image-20230828215544666

然后文件就上传成功了,页面显示出了文件的上传路径。

image-20230828215605845

使用中国蚁剑进行连接

image-20230828215727739

1.2.1 源代码分析

servercheck.php

image-20230916200114909

说明:$mime是一个包含合法MIME类型的数组,也就是MIME类型白名单。然后将这个白名单作为参数传入了upload_sick()函数进行服务器端的检测。

uploadfunction.php

image-20230916202748991

upload_sick()函数的定义如下,该函数不安全之处在于两点:

  1. 仅检查了MIME类型,可以通过抓包修改进行绕过。

  2. 保存文件的时候没有重命名文件,这样即使网页不回显文件保存路径,也有很大概率可以被攻击者猜测到。

如果上传文件的路径被攻击者获得了,那么就可以连接shell了。

1.3 getimagesize()

使用getimagesize() 进行文件内容检测,只检测文件头部

文件幻数

getimagesize()函数判断一个文件是否是图片的时候,采用的是文件幻术。

在这里插入图片描述

所有的GIF文件都是47 49 46 开头的。

这里我们上传一个以png结尾的一句话木马,然后使用bp抓取数据包,在文件内容里面的头部添加GIF89a

在这里插入图片描述

上传成功

在这里插入图片描述

虽然上传成功了,但是现在蚁剑还是连接不上,需要结合文件包含漏洞去实现。

http://192.168.188.183/pikachu/vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/2023/09/09/76459764fc0cb7785d8730212793.png&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2

image-20230909142324425

蚁剑连接成功

image-20230909142227816

1.3.1 源代码分析

getimagesize.php

image-20230916195229968

说明:指定了两个白名单,$_type是文件后缀名的白名单,$_mime是MIME type的白名单,然后将两个白名单和一些其他参数一起传入到uploadfunction.php文件中的upload()函数。

uploadfunction.php

image-20230916195134244

说明:在upload()函数中使用了getimagesize()方法来判断是否是图片,使用文件幻数也可以进行绕过。

1.4 文件上传漏洞防御

  • 采用白名单的方式验证文件的后缀名。
  • 限制上传文件的大小,限制上传文件的类型。
  • 验证文件的上传方式。
  • 对文件进行一定复杂的重命名。
  • 进行二次渲染,过滤图片木马
  • 不要暴露文件上传后的路径。

可参考我写的另一篇文章里面对改漏洞有详细说明:任意文件上传

来日可期x
关注
  • 11
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Pikachu靶场——文件上传漏洞
知世郎
08-21 1574
​ 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞
Pikachu靶场01-文件上传漏洞详解
AkangBoy的博客
12-02 2160
本文主要介绍离线靶场Pikachu中的文件上传漏洞的原理和绕过姿势
文件上传漏洞pikachu靶场中的文件上传漏洞通关
最新发布
qq_68163788的博客
05-28 2089
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。
任意文件上传
来日可期的博客
08-29 2316
任意文件上传漏洞(Arbitrary File Upload Vulnerability)是指攻击者通过某种方式绕过服务器端对上传文件类型和路径的合法性检查,成功地上传恶意文件到目标服务器上,并执行其中的恶意代码。这种漏洞广泛存在于许多Web应用程序中,特别是那些允许用户上传文件的网站或Web应用。
pikachu文件上传
qq_62078839的博客
04-03 2550
Client check 打开靶场尝试直接上传一句话木马发现无法上传 正在上传…重新上传取消 又看到此道题目题名为Client check,猜想是在前端对上传文件进行判断,我们直接禁止使用js,再尝试上传文件,发现上传成功 正在上传…重新上传取消 使用phpinfo()来确认木马的可用性 正在上传…重新上传取消 MIME type 正在上传…重新上传取消 这里我们看到标题是MIME type就可以想到通过更改文件content-type来成功上传小马 正在上传…重新上传取消 成功上
任意文件读取/下载漏洞总结
热门推荐
未完成的歌~的博客
04-01 1万+
任意文件读取/下载漏洞(Arbitrary File Read/Download Vulnerability),是指攻击者可以通过某些漏洞,绕过应用程序的限制,直接读取或下载应用程序之外的文件。这种漏洞通常是由于应用程序没有对用户输入进行充分的验证和过滤而导致的。攻击者可以通过构造恶意的请求来利用该漏洞,从而读取或下载他们本来无权访问的文件,如密码、私钥、证书等,会提供攻击者更多可用信息,提高被入侵的风险。
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场全通关教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu靶场环境
02-12
在"Pikachu靶场"中,用户通常会遇到各种网络安全挑战,包括但不限于Web应用漏洞挖掘(如SQL注入、XSS跨站脚本攻击、文件包含漏洞等)、网络服务漏洞利用(如FTP、SMTP、SSH等服务的漏洞)、密码学概念应用(如加密与...
web渗透教程1:pikachu靶场搭建
11-17
带你手把手搭建pikachu靶场环境
pikachu靶场SQL注入.docx
09-13
"Pikachu靶场SQL注入" Pikachu靶场SQL注入是针对Web应用程序的一种攻击手段,通过对Web应用程序的输入参数进行tampering,来达到访问数据库的目的。下面是Pikachu靶场SQL注入的详细知识点: 一、数字型注入(POST...
Pikachu靶场——文件上传漏洞_pikachu文件上传漏洞,2024年最新网络安全开发中常见的一些问题面试专题
2401_84181481的博客
04-10 746
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Pikachu靶场——不安全的文件下载(Unsafe Filedownload)
来日可期的博客
10-04 1195
文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。如果后台在收到请求的文件名后,将其直接拼接到下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞
文件上传漏洞pikachu靶场实操(全网最详细最全面)
qq_64652650的博客
10-18 848
文件上传漏洞实操
pikachu靶场-7 不安全的文件下载和上传
weixin_52180702的博客
12-13 1020
很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件。但是,如果文件下载功能设计不当,则可能会导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他的敏感文件。文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。
pikachu练习(七)
a987329381的博客
06-03 326
这种情况我们称为"文件包含漏洞”现在的cookie是普通用户的登录态,我们将其复制下来,并在repeater中查找刚刚发过来的post请求,我们将这里的cookie改为我们刚刚复制的普通用户的cookie,这样一来,我们就是以普通用户态来发送请求。固定的图片文件,十六进制的头部的前面的几个字符串基本上是一样的,比如说png格式的图片,所有png格式的图片前面的十六进制都是一样的。可以看到,我们成功访问到了lili的个人信息 ,这便是平行越权,我们登录的是lucy的账号,却访问到了lili的个人信息。
pikachu漏洞练习平台实战
yellowO的博客
12-29 820
文件上传成功文件保存的路径为:{$upload['new_path']}
6.21.3pikachu靶场文件上传
ailkli的博客
06-25 73
绕过方式: 修改客户端 js功能在火狐about:config java enable 改成false将php木马伪装成允许的文件格式挂上代理 抓包改包成php进行放包使用蚁剑或者菜刀进行连接由于后台有判断图片尺寸函数,简单方式不能绕过将一句话木马和图片生成图片木马copy /b 88888.jpg + 123.php xiaoma.jpg保存途径输入地址栏发现不能解析图片结合网站其他漏洞进行比如REC的exec "ping"漏洞远程命令执行漏洞使用rename 命令rename 图片路径 重
0513 8-4 文件上传之getimagesize 绕过案例和防范措施
qq_42764906的博客
05-13 3699
视频中2张图片的16进制 头几个字符串都是一样的 8950 4e47 打开pikachuUnsafe Fileupload 中的getimagesize中 上传图片发现正常 核心:getimagesize 这个函数是检查图片的前面16进制来检查是否为图片。如果说在在16进制后面加入恶意代码,就可以神不知鬼不觉的上传图片和本地文件包含漏洞(改URL的)结合 达到入侵的目的!即制作包含恶意代码的图片...
pikachu靶场文件上传漏洞挖掘怎么防御
04-03
文件上传漏洞是一种常见的安全漏洞,攻击者可以通过上传恶意文件来执行任意代码或者敏感信息。为了防御文件上传漏洞,可以采取以下措施: 1. 验证文件类型和文件名:在后端对上传的文件进行验证,确保文件类型和文件名符合预期。可以使用文件扩展名、MIME类型等方式进行验证。 2. 限制文件上传路径:将上传文件保存在指定的目录下,并限制上传路径的访问权限,避免上传文件到可执行目录或者敏感目录。 3. 文件内容检查:对上传的文件进行内容检查,可以使用文件头部信息、文件内容的特征等方式进行检查,确保文件内容的合法性。 4. 文件大小限制:限制上传文件的大小,避免上传过大的文件导致服务器资源耗尽。 5. 安全配置:确保服务器的安全配置正确,禁用不必要的文件上传功能,限制上传文件的大小和类型。 6. 文件重命名:将上传的文件重命名,避免使用原始文件名,防止攻击者利用文件名进行攻击。 7. 定期更新和维护:及时更新服务器和应用程序的补丁,修复已知的漏洞,保持系统的安全性。 8. 安全审计:定期进行安全审计,检查系统中是否存在文件上传漏洞,并及时修复。 通过以上措施,可以有效防御文件上传漏洞,提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

来日可期x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值