渗透测试-文件上传漏洞

已于 2024-01-10 19:28:55 修改
阅读量80 收藏
点赞数
文章标签: 网络
于 2023-07-31 10:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xnxqwzy/article/details/132005074
版权

简介

文件上传漏洞,字如其意,就是 ** 可能出现在一切允许上传文件的功能点** ;

它是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。

** 靶场推荐**

** 漏洞危害**

允许上传脚本语言文件且解析 ==> getshell

允许上传html ==> xss、csrf、登陆劫持…

允许上传压缩包 ==> 压缩包DOS、解压文件getshell

允许上传pdf ==> pdf xss

允许上传swf ==> swf xss

允许上传excel、docx ==> xxe

https://twitter.com/Eyhuss1/status/1492507581084053508

asp, aspx, php : webshell, rce
svg: stored xss, ssrf, xxe
gif: stored xss, ssrf
csv: csv injection
xml: xxe
avi: lfi,ssrf
html, js: html injection, xss, open redirect
png: pixel flood attack, dos
zip: rce via lfi, dos
pdf: ssrf, blind xxe, Stored XSS

** 挖掘判断**

主要过程还是上传正常的图片抓包,再判断一下后端的过滤规则有哪些,再针对这些规则来分析绕过

黑白名单

内容是否有判断

是否二次渲染

是否有解析漏洞

图自:https://github.com/c0ny1/upload-labs/raw/master/doc/sum_up.png

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dtQVk7Te-1690687210948)(https://image.3001.net/images/20220513/1652424599_627dff97472fd0e3aa95d.png!small?1652424599682)]

** 绕过方法**

图自:https://github.com/c0ny1/upload-labs/blob/master/doc/mind-map.png

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9fBraiUj-1690687210949)(https://image.3001.net/images/20220513/1652424795_627e005b23a8a96d0aceb.png!small?1652424797969)]

** 可解析后缀**

语言

|

可解析后缀

—|—

asp/aspx

|

asp,aspx,asa,asax,ascx,ashx,asmx,cer,aSp,aSpx,aSa,aSax,aScx,aShx,aSmx,cEr

php

|

php,php5,php4,php3,php2,pHp,pHp5,pHp4,pHp3,pHp2,html,htm,phtml,pht,Html,Htm,pHtml

jsp

|

jsp,jspa,jspx,jsw,jsv,jspf,jtml,jSp,jSpx,jSpa,jSw,jSv,jSpf,jHtml

** Content-Type**

常见类型见下:

文件类型

|

Content-type

—|—

超文本标记语言文本

|

.html,.html text/html

普通文本

|

.txt text/plain

RTF文本

|

.txt text/plain

GIF图形

|

.gif image/gif

JPEG图形

|

.jpeg,.jpg image/jpeg

au声音文件

|

.au audio/basic

MIDI音乐文件

|

.mid,.midi audio/midi,audio/x-midi

RealAudio音乐文件

|

.ra, .ram audio/x-pn-realaudio

MPEG文件

|

.mpg,.mpeg video/mpeg

AVI文件

|

.avi video/x-msvideo

GZIP文件

|

.gz application/x-gzip

TAR文件

|

.tar application/x-tar

** 文件头**

文件幻数是用来唯一标识文件类型的一系列数字(十六进制),也就是我们常说的文件头,当白名单限制了文件幻数时,我们就要给我们的文件制造可以通过检测的文件头即可:

.jpg Value = FF D8 FF E0
.gif Value = 47 49 46 38 ==> GIF89a
.png Value = 89 50 4E 47
.html Value = 68 74 6D 6C 3E 10
.xml Value = 3C 3F 78 6D 6C

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4yN4akbu-1690687210950)(https://image.3001.net/images/20220513/1652424803_627e00636ac7720e35865.png!small?1652424803751)]

** 图片马**

如果后缀可以为jsp、php等,但是内容必须为图片,那么可以用图片马来进行getshell

或者会解析图片为相关的代码

  • Windows

copy 1.jpg/b+1.php/a 2.jpg

  • *nix(我失败了)

cat file1.txt >> file2.jpg
cat file1.txt file2.jpg >> file3.jsp

** 条件竞争**

如果网站的文件上传的过程是:服务器获取文件–>保存上传临时文件–>重命名移动临时文件
这样的步骤时,就可以通过不断地对文件进行上传和访问,从而使服务器还未重命名移动临时文件时,我们就利用时间差打开了文件,成功执行其中的恶意代码。

** 具体方法:** 并发发包,如Burp、fuff等

** 二次渲染**

二次渲染的工具可能存在RCE等漏洞,如ImageMagick

通过十六进制寻找二次渲染后内容未改变的部分,再在其中插入代码

** 双上传**

和标题一个意思,同时构造两个上传,可能服务端只会验证第一个上传,而第二个上传则直接保存

** 修复建议**

后缀白名单,只允许上传jpg、jpeg、png、gif

内容完整性检测

WAF

** 文件上传FUZZ**

,只允许上传jpg、jpeg、png、gif

内容完整性检测

WAF

** 文件上传FUZZ**

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QmHJut0s-1690687210951)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一:基础入门

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8AhBxSc1-1690687210951)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SplXxy3R-1690687210952)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HdxqrlYy-1690687210953)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zh2zYqqP-1690687210953)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

同学们可以扫描下方二维码获取哦!

程序员菠萝
关注
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
### 渗透测试上传漏洞经典靶场学习-upload-labs #### 第一关:绕过前端JS限制 **漏洞概要**:此关卡中的漏洞主要体现在仅在前端JavaScript脚本中进行文件类型的简单验证,而服务器端(后端)并未进行任何有效的...
data:image/jpeg;base64 数据流处理,保存至oss
Cpath的博客
04-15 1万+
$img_content = "data:image/jpeg;base64,/9j/4AAQSkZJRgABAQAAAQABAAD/2wBDAAMCAgICAgMCAgIDAwMDBAYEBAQEBAgGBgUGCQgKCgkICQkKDA8MCgsOCwkJDRENDg8QEBEQCgwSExIQEw8QEBD/2wBDAQMDAwQDBAgEBAgQCwkLEBAQEBAQEBAQEBAQEB
文件上传漏洞总结
u014794539的博客
07-19 819
文件上传漏洞 原理 用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。 上传了可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。 上传检测流程 通常一个文件以HTTP协议进行上传时,将以POST请求发送至Web服务器,Web服务器接收到请求并同意后,用户与Web服务器将建立连接,并传输数据。 客户端javascript校验 通过javascript来校验上传文件的后缀是否合法,可以采用白名单,也可以采用
web安全文件上传、文件包含漏洞解析
vivlol918的博客
05-14 1246
文件上传漏洞是指攻击者通过页面上传图片、文件等途径,将恶意脚本等文件上传到服务器上,从而控制服务器,实现攻击目的。
文件上传漏洞总结(全)
Dasdwer的博客
04-21 1302
凡是存在上传文件的地方,都有可能存在文件上传漏洞,并不是说有文件上传就一定有文件上传漏洞
渗透测试成长篇-点击劫持漏洞
m0_51186260的博客
08-26 5178
1.前言 点击劫持就是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。(一般能被劫持就是网站缺少X-FRAME-OPTIONS) ************ 点击劫持一般在渗透测试中比较常见 2.过程 如何测试,有两种方法,今天就讲一种最简单常用的方式(bur.
DVMA-渗透测试漏洞练习平台
12-02
DVMA-渗透测试漏洞练习平台, 其中内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境
渗透测试文件上传漏洞笔记知识梳理图,适用于学习渗透测试初学者学习,仅供参考学习
06-02
渗透测试中的文件上传漏洞网络安全领域的一个重要话题,尤其对于初学者来说,理解并掌握这一技术至关重要。文件上传漏洞允许攻击者将恶意代码以文件的形式上传到目标服务器,从而可能控制服务器、执行任意代码或者...
渗透测试工具-Cobalt Strike
最新发布
03-21
2. **Beacon模块**:Beacon是CS的核心组件,是一个动态的、内存驻留的代理,可以在目标系统上执行多种操作,如文件上传下载、进程控制、键盘记录等。 3. **社会工程学工具**:CS包含多种社会工程学工具,如钓鱼邮件...
【新手引导】Image 的渗透事件
TheBigBoy的博客
05-27 328
初试.... 方法一: 新手引导类的渗透事件,用于判定在Mask的遮挡下,监听到点击,执行Mask下方的事件,最后以达到渗透的目的。 using System.Collections; using System.Collections.Generic; using UnityEngine; using UnityEngine.UI; public class NewBieGuide : MonoBehaviour , ICanvasRaycastFilter { //需要渗透的目标 ..
【web漏洞文件上传
weixin_51614272的博客
02-16 1472
user.ini配置文件可控导致的文件上传漏洞 当前目录里面有php文件的时候,可以运用ini配置文件进行配置这个php文件 文件包含配置项有auto_append_file和auto_pretend_file auto_append_file=1.txt //保存为user.ini,记得抓包时文件名是.user.ini 1.先上传这个user.ini文件,发现上传成功。 2.然后本来不能上传规定外的文件,现在就可以上传了 3.这个1.txt里面就是一句话木马 <?php @ev
base64 php 问题,php – base64编码图像的安全问题
weixin_39725365的博客
03-10 259
我有一个接受base64编码图像数据的API,需要解码数据,保存图像文件,然后从该图像创建缩略图.我担心如果在尝试创建缩略图之前我没有正确验证POST有效内容的内容,恶意代码就会被执行.我到目前为止的基本工作流程如下.是否有足够的验证,我不需要担心安全性?我想我担心某人编码不好的东西,然后当调用下面的图像函数之一时,互联网就会爆炸.$decodedImage = base64_decode($_P...
网络安全笔记-99-渗透-文件上传
wwxxee
01-05 1109
文件上传漏洞 漏洞概述 文件上传是Web 应用的必备功能之一,比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站。如果服务器配置不当或者没有进行足够的过滤,Web 用户就可以上传任意文件,包括恶意脚本文件、exe 程序等,这就造成了文件上传漏洞漏洞成因 服务器配置不当 对上传文件没有限制 没有考虑系统特性和验证以及过滤不严格导致限制被绕过 漏洞危害 非法用户可以利用上传的恶意脚本文件控制整个网站,甚至可以控制服务器。这个恶意脚本文件被称为webshell,也可以将webshell脚本称为一个
Web漏洞之文件包含漏洞
zkaqlaoniao的博客
10-28 7044
公众号:黑客菌 分享更多技术文章,欢迎关注一起探讨学习 一、文件包含漏洞概述 1、漏洞介绍 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。 在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露甚.
什么是文件上传漏洞
Ping_Pig的博客
08-12 2374
漏洞原理 由于程序员在对用户文件上传功能实现代码上没有严格限制用户上传的文件后缀以及文件类型或者处理缺陷,而导致用户可以越过其本身权限向服务器上上传可执行的动态脚本文件: 简单的来说: 服务器端没有对客户端上传的文件进行严格验证或过滤,用户可以上传一个可执行的脚本文件,并通过此脚本获得了执行服务器端命令的能力. 漏洞危害 针对上传功能的Dos攻击 使上传文件在服务器上作为脚本执行 诱...
典型漏洞归纳之上传漏洞
weixin_30911451的博客
02-21 1796
0x01 概要说明 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点防护建议。 from : http:/...
文件上传漏洞
热门推荐
jpygx123的博客
10-14 1万+
上传文件的时,如果未对上传的文件进行严格的验证和过滤,就容易造成文件上传漏洞,上传脚本等。 造成的危害: 导致网站甚至整个服务器被控制,恶意的脚本文件又称为WebShell,WebShell具有强大的功能,如查看服务器目录、执行系统命令等。 JS检测绕过: 原理:调用JS的selectFile()函数,将文件名转化为小写,然后通过substr获取文件名最后一个点好后面的后缀(包括点号)进行判断。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值