Netbook-第二章Web进阶-Web文件上传漏洞

最新推荐文章于 2025-03-23 19:44:35 发布
最新推荐文章于 2025-03-23 19:44:35 发布
阅读量1k 收藏 23
点赞数 20
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67565639/article/details/135287068
版权

参考文章:从0到1CTFer成长之路-第二章-Web文件上传漏洞-icode9专业技术文章分享

先观察题目


文件上传章节练习题
选择文件:
<?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件
require_once('pclzip.lib.php');

if(!$_FILES){

        echo '

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <meta http-equiv="X-UA-Compatible" content="ie=edge" />
    <title>文件上传章节练习题</title>
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@3.3.7/dist/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
    <style type="text/css">
        .login-box{
            margin-top: 100px;
            height: 500px;
            border: 1px solid #000;
        }
        body{
            background: white;
        }
        .btn1{
            width: 200px;
        }
        .d1{
            display: block;
            height: 400px;
        }
    </style>
</head>
<body>
    <div class="container">
        <div class="login-box col-md-12">
        <form class="form-horizontal" method="post" enctype="multipart/form-data" >
            <h1>文件上传章节练习题</h1>
            <hr />
            <div class="form-group">
                <label class="col-sm-2 control-label">选择文件:</label>
                <div class="input-group col-sm-10">
                    <div >
                    <label for="">
                        <input type="file" name="file" />
                    </label>
                    </div>
                </div>
            </div>
                
        <div class="col-sm-8  text-right">
            <input type="submit" class="btn btn-success text-right btn1" />
        </div>
        </form>
        </div>
    </div>
</body>
</html>
';

    show_source(__FILE__);
}else{
    $file = $_FILES['file'];

    if(!$file){
        exit("请勿上传空文件");
    }
    $name = $file['name'];

    $dir = 'upload/';
    $ext = strtolower(substr(strrchr($name, '.'), 1));
    $path = $dir.$name;

    function check_dir($dir){
        $handle = opendir($dir);
        while(($f = readdir($handle)) !== false){
            if(!in_array($f, array('.', '..'))){
                if(is_dir($dir.$f)){
                    check_dir($dir.$f.'/');
                 }else{
                    $ext = strtolower(substr(strrchr($f, '.'), 1));
                    if(!in_array($ext, array('jpg', 'gif', 'png'))){
                        unlink($dir.$f);
                    }
                }
            
            }
        }
    }

    if(!is_dir($dir)){
        mkdir($dir);
    }

    $temp_dir = $dir.md5(time(). rand(1000,9999));
    if(!is_dir($temp_dir)){
        mkdir($temp_dir);
    }

    if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){
        if($ext == 'zip'){
            $archive = new PclZip($file['tmp_name']);
            foreach($archive->listContent() as $value){
                $filename = $value["filename"];
                if(preg_match('/\.php$/', $filename)){
                     exit("压缩包内不允许含有php文件!");
                 }
            }
            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                   exit("解压失败");
                   check_dir($dir);
            }

            check_dir($dir);
            exit('上传成功!');
        }else{
            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
            check_dir($dir);
            exit('上传成功!');
        }
    }else{
        exit('仅允许上传zip、jpg、gif、png文件!');
    }
}

先进行代码审计

<?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件
require_once('pclzip.lib.php');  //加载一个php文件,百度查发现和文件压缩有关。

if(!$_FILES){    //如果没有提交数据则展示输出前端页面和PHP代码

     echo "前端代码";

    show_source(__FILE__);    //展示PHP代码
   
        
     
}else{                  
    $file = $_FILES['file'];       //获取上传文件

    if(!$file){                    //如果上传文件为空,则输出'请勿上传空文件',并结束程序;
        exit("请勿上传空文件");
    }
    $name = $file['name'];         //获取文件名

    $dir = 'upload/';             //dir表示目录                      
    $ext = strtolower(substr(strrchr($name, '.'), 1));     //获取文件名后缀
   
 /*
         strrchr($name,'.')表示获取字符串中点出现的最后位置,并返回点后面的字符串(包括点),例如, $name= abc.dce.php ,则返回 .php
         substr函数用作截取字符串, substr($string,$start,$length), substr(strrchr($name,'.'),1))  表示strrchr处理后,截取字符串下标1之后的数据。例如:$name=abc.dce.php,则经过第两次函数处理后为 PHP

         strtolower函数表示将字符串全部转化为小写

*/
   


    $path = $dir.$name;    //将目录名与文件名拼接


     //这个函数的作用是检查$dir这个目录下是否存在非法文件,有则将其删除   
    function check_dir($dir){             
        $handle = opendir($dir);
        while(($f = readdir($handle)) !== false){
            if(!in_array($f, array('.', '..'))){
                if(is_dir($dir.$f)){
                    check_dir($dir.$f.'/');
                 }else{
                    $ext = strtolower(substr(strrchr($f, '.'), 1));
                    if(!in_array($ext, array('jpg', 'gif', 'png'))){
                        unlink($dir.$f);
                    }
                }
            
            }
        }
    }
 
    /*
        使用opendir打开指定的目录。
使用while循环和readdir迭代目录的内容。
对于目录中的每个项目,检查它是否不是'.'或'..'(表示当前目录和上级目录)。
如果项目是子目录(使用is_dir检查),则递归调用check_dir函数处理该子目录。
如果项目是文件,提取文件扩展名并转换为小写。
如果文件扩展名不在数组('jpg'、'gif'、'png')中,则使用unlink删除该文件。
需要注意的几点:

函数假设传递给它的目录路径以目录分隔符("/") 结尾。这可以从在递归调用check_dir时使用$dir.$f.%
   */


   //是否存在$dir变量,有则创建以$dir为名字的目录
   //$dir="upload/",猜测应该是操作系统把"/"删去,所以目录名应该为upload
    if(!is_dir($dir)){         
        mkdir($dir);
    }

   //获取一个随机数与$dir变量拼接,并创建一个目录
    $temp_dir = $dir.md5(time(). rand(1000,9999)); 

    if(!is_dir($temp_dir)){                        
        mkdir($temp_dir);
    }


       /* 这两行代码的作用:在当前目录下创建一个upload的目录,
接着在upload这个目录下创建一个的目录(目录名未知)
         
       */




    if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){  
      //判断获取的文件后缀名是否为zip,jpg,gif,png 
 
        if($ext == 'zip'){     //如果为zip文件则检查压缩包中是否含有php文件,如果存在则退出程序
            $archive = new PclZip($file['tmp_name']);
            foreach($archive->listContent() as $value){        //加强for遍历zip中每一个文件
                $filename = $value["filename"];
                if(preg_match('/\.php$/', $filename)){    //正则检查文件后缀名是否为php
                     exit("压缩包内不允许含有php文件!");
                 }
            }
            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {                                           //尝试将zip文件解压到$temp_dir这个目录下
                   exit("解压失败");
                   check_dir($dir);      //检查$dir目录,即检查upload这个目录下是否有非法文件
            }

            check_dir($dir);             //检查upload目录           
            exit('上传成功!');
        }else{         //如果不为zip文件,则将其上传到$temp_dir这个目录下
            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
            check_dir($dir);               //检查upload目录
            exit('上传成功!');
        }
    }else{
        exit('仅允许上传zip、jpg、gif、png文件!');
    }
}

代码审计后,大致上传过程:

1.先在当前目录下创建一个upload目录,紧接在upload目录下创建一个目录(目录名未知)

2.之后对上传文件进行白名单检查:

    (1)如果为zip文件,则检查zip文件下是否存在php文件,有则退出程序,没有则zip文件解压,并把解压之后的文件上传到$tmp_dir这个目录下,上传完成后,再检查uplad这个目录下是否存在非法文件(白名单)。

    (2)如果为jpg,gif,png文件,则进行上传,上传完成后同样检查upload这个目录。

这里可以发现,上传过程中一直进行的白名单过滤。

一般白名单过滤绕过方法:

1.MIME绕过

2.%00截断    (有可控上传路径)

3.图片木马        (需要配合文件包含漏洞)

简单观察之后发现以上方法均没有用

再看看代码有没有逻辑漏洞。

在上传zip文件时,他会检查文件后缀名,但是是黑名单过滤,这里很好绕过。但是zip文件会被上传到$tmp_dir这个目录下,我们并不知道目录路径。但是但是我们可以使用目录穿越将文件上传到upload目录。

简单举个例子:

目录穿越:通过目录控制序列 ../ 或者文件绝对路径来访问存储在文件系统上的任意文件和目录的一种漏洞。   (   ../在此处表示返回上一级目录   )

假设我们上传之后的文件保存在upload这个目录下,程序员设置upload目录下文件不能被php解析

,那么我们可以构造 文件名为  ../1.php 将文件上传到www这个目录下( ../   表示上级目录   ./  表示当前目录) ,这样我们的文件就能被解析

但是很快我们发现每次上传成功后,都会检查upload目录下是否有非法文件,所以不能上传到upload目录。emmm,那我们只能上传到upload的上一个目录,即当前目录。

很好接着我们有很多种办法绕过黑名单绕过.

方法1;我们可以使用特殊后缀(例如php5,php4,php6)

方法2.使用大小写绕过(window操作系统)

方法3.点绕过(window操作系统)

方法4. ::DATA绕过(window操作系统)

方法5.空格绕过(window操作系统)

方法6:使用 .htaccess 或者 .user.ini绕过  (服务器特性)

方法7:apache解析漏洞

这里先尝试使用apache解析漏洞。

先简单介绍一下apache解析漏洞:

Apache默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别(不在mime.types内),则继续向左识别。

当我们请求一个文件:1.php.xxx.yyy

yyy -> 无法识别,向左

xxx -> 无法识别,向左

php -> 可以识别,交给php处理该文件。

所以我们创建一个zip文件,并创建一个文件名为 /../../abc.php.abc的文件名。当程序解压到这个文件时,会将文件解压到upload的上一级目录,解压之后文件名为abc.php.abc  ,当我们访问这个文件时,利用apache解析漏洞就能将文件解析为php进行执行。

在window下我们无法创建含有一个 /和 . 的文件

这里我们就要用到一款工具010 editor

010 Editor汉化破解版 v9.0下载(附注册机及汉化补丁) - zd423

010editor是一款十六进制编辑器,和 winhex 相比支持更灵活的脚本语法,可以对文件、内存、磁盘进行操作,是二进制分析中十分强力的工具,能够解析多种文件格式并以友好的界面呈现。其强大的内部引擎使得任何人都可以定制所需的解析脚本或解析模板。

使用这款工具我们可以对文件名进行修改。

我们先创建一个 文件名为  "123456789123456789"  的文件(要与修改之后的文件名字节数相同),文件中包含一句话木马,并将其打包成zip文件。

接着使用我们的工具打开这个zip文件

接着我们找到修改他的文件名

注意是修改start不为0的那个(这里不太清楚原因)

接着保存并将zip文件上传

可以直接访问,也可以使用蚁剑连接。

这里先用蚁剑连接。

连接不上!!!

直接访问一下试试

flag直接就显示出来了。

看看什么情况。

这里应该是对上传的文件进行了处理。

试试上传一个将文件名改成 /../../abc.txt.abc 文件。

什么都没有显示

再试试上传一个文件为空的  /../../abc.php.abc 文件

访问发现也是直接显示flag。

这里大致猜测只要上传一个php(php5,php4,jsp没有尝试)文件 到upload的上一个目录就会获得flag。

这题的主要难点是代码审计,

还考了目录穿越,apache解析漏洞绕过黑名单(也可以尝试试试其它方式绕过)。

阿华、.
关注
N1Book-第二章Web进阶-Web文件上传漏洞
weixin_40872714的博客
03-31 4634
N1Book-第二章Web进阶-Web文件上传漏洞 以下内容转自 https://www.icode9.com/content-4-874265.html <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 //会包含文件pclzip.lib.php,感觉这个php里面是有一些针对zip包进行解压等的操作的 require_once('pclzip.lib.php'); //要是没上传文件,就输出
web-文件上传【超详细讲解】
wo41ge的博客
12-01 1846
web151-前端验证 前端验证,抓包修改数据OK web152-前端+MIME 直接抓包修改后缀 web153-.user.ini 对 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样效果。 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的
BUUCTF n1book [第二章 web进阶]文件上传
nareku的博客
07-02 2956
花了一天多才搭好docker的环境,然后再来写这道只能说自己的环境也太香啦 不过这道题也花了一点点点时间琢磨打开题目,发现是一如既往的文件上传界面 习惯性抓个包,界面源码已经完全暴露了,太长了这里就不放了(根据以往的经验和参考其他的师傅的wp 小小地分析了一下) 这样我们上传的文件的路径就是 upload/随机值/上传的文件名首先我们先创建一个文件(不是文件夹!!),文件后缀随便,只要文件名长度满足18即可,这就成功将后缀完全覆盖了 将文件压缩成zip 在010Edtior中打开该压缩包 修改文件名
BUUCTF第二章web进阶文件上传1
最新发布
Tonight_Fantasy的博客
03-23 605
该题已经把原码都给我们了,简单说说就是它会把我们上传的文件放到upload目录下的一个名字随机的临时目录,比如同时它会在我们上传时做过滤,只允许zip,jpg,png,gif文件上传,也不允许空文件上传,如果上传的是zip文件会先检测压缩包内是否有php文件,如果有则终止运行,没有就自动解压,然后上传后它会在临时目录里再次进行过滤,只保留jpg,png,gif文件。
BUUCTF_N1BOOK_[第二章 web进阶]文件上传_详解
weixin_43852034的博客
03-04 1488
最后的小插曲:本来以为上传成功之后,用蚁剑砍进去就完事儿了,结果发现居然会报错:嗯???于是直接访问一下上传后的文件:没想到直接得到了flag…后续又把2.php.xxx文件的内容修改为?尝试了一下,发现访问后也是同样的效果。那大概是环境本身做了限制吧…思路应该是没错的,蚁剑虽然说没砍进去…但你就说flag拿没拿到吧!
Buuctf N1BOOK [第二章 web进阶]文件上传
m_de_g的博客
08-17 3401
Buuctf [第二章 web进阶]文件上传 打开题目,发现源代码泄露,初步判断为条件竞争 <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 require_once('pclzip.lib.php'); if(!$_FILES){ echo ' <!DOCTYPE html> <html lang="zh"> <head> <
[CTF]web进阶文件上传
hclimg的博客
12-03 3095
题目:web进阶文件上传 查看题目,底下已经给出了源代码: 服务器对文件进行了白名单设置,允许上传zip、jpg、gif、png文件!我随便上传几张一句话木马图片,均能够上传成功,说明他只对文件的后缀进行验证。上传不难,难的是上传后找不到文件的路径,无法访问。 观察关于目录的代码发现,文件上传后,会随机生成一个MD5目录,把文件放在这个地方,但是MD5目录无法预知,所以难度大大的加大。 通过解读zip文件代码可知,通过zip上传后,服务器会对zip进行解压,放在upload目录下,然后如果这个目录下
netbook-installer:从 code.google.compnetbook-installer 自动导出
06-19
上网本安装程序 NetbookInstaller 是一种用于已经运行 Mac OS X Snow Leopard 的上网本的实用程序。 它用于将最新的机器补丁应用到您的上网本。 这些可能包括内核扩展(例如驱动程序)、DSDT 补丁或仅 OS X 配置设置...
免費分享!GPS/Netbook整合-综合文档
05-25
GPS Netbook整合創商機……
Mystery Netbook Theater-开源
05-03
Mystery Netbook Theater是一个基于Linux Mint的家庭影院和通用多媒体linux发行版,主要针对上网本和家庭影院PC。 矛盾的是,它既适用于非常大的(27-40“ +)屏幕,也适用于非常小的(7-10”)屏幕。
ANYKA-1.90: VNet Netbook系统修复与恢复指南
标题“ANYKA-1.90”和描述“ANYKA-1.90, This restore image allows a VNet Netbook which has stopped working due to ...文件是为解决特定品牌的上网本(VNet Netbook)因操作系统损坏导致无法正常工作的问题而设计的...
KD101N9-40NA-B19 SPEC(20160222).pdf
05-03
- N:NetBook/Notebook/MID 类型等。 - XX:表示产品开发系列号,用两位数字表示,范围从1到99。 - XX:表示接口引脚数量,用两位数字表示,范围从1到99。 - T/N:表示是否配备触摸面板。T 表示配备,N 表示未...
web上传文件
04-17
非常好用的一款上传软件。切没用使用期限限制。
WEB渗透——文件上传漏洞(二)
果子哥丶的博客
03-13 405
文件上传漏洞(二) 清空之前上传的文件 这次加大了难度,单纯的上传一句话木马已经不可行了,因为它限制了类型 代码已经被写死 MIME类型(虽然实际环境中是看不见源代码的)。 **解决方法:**对类型进行修改,绕过他,因此要第三方工具 BURPSUITE。 (BURPSUITE 软件:代理/拦截、爬虫、漏扫、攻击于一体的软件, 专业版才有漏扫) 原理: 利用到代理/拦截的功能,不直接请求访问想...
从0到1CTFer成长之路-第二章-Web文件上传漏洞
黑白的博客
03-01 3937
Web文件上传漏洞 声明 好好向大佬们学习!!! 攻击 文件上传漏洞 摘自 https://book.nu1l.com/tasks/#/ 使用BUUCTF在线环境 https://buuoj.cn/challenges 访问 http://3e8b5e24-d936-4a8f-9d1b-15ee36321db8.node3.buuoj.cn 一个上传文件功能,随便点点看,点到了提交查询,发现只能上传zip、jpg、gif、png,看看怎么绕过过滤上传 我的文件上传本来就薄弱,这个题也确实很打击我.
攻防世界web进阶upload1
gongjingege的博客
07-17 455
文件上传与绕过,一句话木马,菜刀 打开链接后,出来一个上传框,先查看源代码 可以看出只能上传jpg,png格式的文件 用bp抓包,一句话,菜刀直接得到flag 新建一个txt,一句话,后缀改为jpg 在上传中用bp抓包 将fk.jpg改为fk.php,实现对文件格式要求的绕过 菜刀获取目录下的文件 得到flag 还不能熟练了解使用这些工具,对漏洞不了解,继续努力(ง •_•)ง 2020.7.17 公瑾 ...
Web安全文件上传(解析)漏洞
zhdf160916的博客
11-21 8074
教学目标 理解文件上传漏洞原理 掌握几种文件上传绕过方法 一、文件上传漏洞介绍 文件上传文件上传是现代互联网常见的功能,允许用户上传图片、视频、及其他类型文件,向用户提供的功能越多,web受攻击的风险就越大。 1、文件上传漏洞 上传文件时,如果未对上传的文件进行严格的验证和过滤,就容易造成文件上传漏洞,上传脚本文件(asp、aspx、php、jsp等) 注:asp,aspx对应iis解析 php对应apache解析 jsp对应java(tomcat) 恶意上传行为可能导致网站甚至整个服务器被控制。恶
网站常见漏洞 -- 文件上传漏洞
weixin_34387468的博客
09-02 330
 任意文件上传漏洞文件上传漏洞(File Upload Attack)是由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许***者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP 解释器,就可以在远程服务器上执行任意PHP脚本。一套web应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件。 下面是一个简单的文件上传表单 &lt;...
[CTF夺旗赛] BUUCTF N1BOOK 第二章 web进阶
Da1NtY的博客
08-23 1623
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。BUUCTF是一个很好的CTF训练平台,这里介绍的是N1BOOK部分的第二章,后续会陆续更新。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值