php安全攻防利用文件上传漏洞与绕过技巧详解
作者:1A_ 发布时间:2023-07-23 12:08:06
前言
文件上传漏洞大多出现在可以进行文件上传的地方,如用户头像上传,文档上传处等。该漏洞是一个危害十分大的漏洞,通过文件上传,攻击者可以上传webshell并进行getshell操作,从而获得系统shell,可执行任意命令。也为后续大型木马的上传,特权提升提供了一个良好的基础。
文件上传漏洞的一些场景
接下来针对文件上传漏洞的一些waf过滤的场景进行说明并进行绕过和利用。
场景一:前端js代码白名单判断.jpg|.png|.gif后缀
在该场景下,防御的姿势是通过js代码对上传的文件后缀进行判断,如果不是.jpg|.png|.gif
这三个后缀的文件则不允许上传至后台
绕过方式:
将带有一句话木马的文件后缀名改为xxx.jpg|png|gif
,在上传处通过BurpSuite进行包拦截并改包,将文件后缀名改为php|jsp
等脚本的后缀。上传成功后访问该文件的路径即可getshell。
场景二:后端PHP代码检查Content-type字段
在该场景下,防御的姿势是通过js代码对上传文件请求的Content-type
字段进行检查,如果不是image/jpeg
则不允许上传至后台
绕过方式:
将上传一句话木马文件的request包进行拦截,添加或修改Content-type
字段为image/jpeg
场景三:代码黑名单判断.asp|.aspx|.php|.jsp后缀
在该场景下,防御姿势是通过后台代码对上传的文件后缀进行判断,如果是.asp|.aspx|.php|.jsp
这四个后缀的文件则不允许上传
绕过方式:
当apache的配置文件httpd.conf中存在如下配置时:
AddType application/x-httpd-php .php .phtml .phps .php5 .pht
说明可以通过上传.phtml|.phps|.php5|.pht
这些后缀名的文件,且他们都会被解析称后缀为.php
的文件。所以可以尝试使用上传xxx.php5
这类的文件进行绕过
关于AddType命令的作用:
AddType 指令
作用:在给定的文件扩展名与特定的内容类型之间建立映射
语法:AddType MIME-type extension [extension] …
AddType指令在给定的文件扩展名与特定的内容类型之间建立映射关系。MIME-type指明了包含extension扩展名的文件的媒体类型。
AddType 是与类型表相关的,描述的是扩展名与文件类型之间的关系。AddType 是与类型表相关的,描述的是扩展名与文件类型之间的关系。
场景四:代码扩大黑名单判断
在该场景下,防御姿势是通过后台代码对上传的文件后缀进行判断,如果是
.php|.php5|.php4|.php3|.php2|.php1|.html|.htm|.phtml|.pht|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|.pHp1|
.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|
.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf
这些后缀的文件则不允许上传
绕过方式——htaccsess:
使用.htaccsess
文件进行绕过
.htaccsess文件的作用:
.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在httpd.conf文件中配置。
.htaccsess文件的使用条件:
mod_rewrite模块开启。
AllowOverride All
构造.htaccess
文件,内容如下:
AddType application/x-httpd-php .jpg
这里代码的意思可以让 .jpg后缀名文件格式的文件名以php格式解析,因此达到了可执行的效果。所以我们可以把要上传的php文件的后缀名改为.jpg格式从而绕过
绕过方式——大小写绕过:
如果在黑名单中没有针对大小写进行限制,则可以进行大小写绕过,如将.php
后缀改为.PhP|.PHP
后缀
场景五:一些复合判断
在该场景下,防御姿势除了基本的黑/白名单外,还包括了对一些特定字符的限制,具体情况可以进行fuzz或者有条件可以进行代码审计
空格、点绕过(windows)
当接收文件时,后台代码的限制条件中没有去除文件名首尾的空格(或是没有对.进行拆分)时,可以利用windows系统的命名规则进行绕过:如,将文件后缀改为xxx.php
、xxx.php.
、xxx.php .
在windows下xx.jpg[空格] 或xx.jpg.这两类文件是不允许存在的,若这样命名,windows会默认去除空格或点
还有些情况具体就需要看代码逻辑,比如如果代码只删除一次点且只去除一次首尾空格,在windows环境下就可以用xxx.php. .
进行绕过
::$DATA绕过(windows)
::$DATA绕过同样利用了windows的特性
NTFS文件系统包括对备用数据流的支持。这不是众所周知的功能,主要包括提供与Macintosh文件系统中的文件的兼容性。备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中,此默认数据流称为:$ DATA。
即在php+windows
的环境下,如果文件名+::$DATA
会把::$DATA
之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA
之前的文件名。
双写绕过
当防御的代码中存在将某些特定后缀进行空字符替换时(如利用str_ireplace
函数将.php|.jsp
等后缀替换为空字符)
这时候可以将后缀双写,即将php
改成pphphp
%00截断
00截断绕过方式需要满足以下条件
php版本小于5.3.4
php.ini的magic_quotes_gpc为OFF状态
使用move_uploaded_file函数且参数受用户控制
此时move_uploaded_file函数遇到0x00会截断
可以将上传文件后缀改为xx.php%00
进行绕过
%0a绕过
%0a绕过方式需要满足以下条件
Apache httpd 2.4.0至2.4.29
FileMatch正则匹配.php|.php5等后缀
该版本apache会通过$
匹配后缀,而$
匹配时会正则匹配某字符串结尾或以换行符结尾的一个字符串,即php[换行符]
会被匹配成php
可以将上传文件后缀改为xx.php%0a
进行绕过
图片马绕过
window的cmd命令制作图片马
copy 1.jpg /b + shell.php /a shell.jpg
或是利用其他图片马生成器生成
二次渲染绕过
判断图片格式后用image
函数进行二次渲染
绕过方式:
抓包找到二次渲染中未被改动的地方,将一句话马插入该地方,.jpg|.png|.gif
三种文件格式不同,所以构造马的方式也不同
注:gif文件最简单,直接用ue等16进制编辑器就可以改,但是jpg和png需要特殊的构造脚本
先将一张正常的jpg图片上传,上传后将服务器存储的二次渲染的图片保存下来。
将保存下来经过服务器二次渲染的那张jpg图片,用此脚本进行处理生成payload.jpg
然后再上传payload.jpg
条件竞争
当上传文件逻辑为:先move_uploaded_file函数将上传文件临时保存,再进行判断,如果不在白名单里则unlink删除,在的话就rename重命名。此时会存在条件竞争
绕过方法:
用burp开启两个intruder模块,一个用于重复上传,另一个用于重复访问。会有一定记录返回执行结果
/.绕过
当move_uploaded_file
函数参数可控时,可以尝试/.绕过,因为该函数会忽略掉文件末尾的/.,所以可以构造save_path=1.php/.
,这样file_ext值就为空,就能绕过黑名单,而move_uploaded_file函数忽略文件末尾的/.可以实现保存文件为.php
来源:https://blog.csdn.net/qq_37019068/article/details/120717342
猜你喜欢
- 1、从外部文档中粘贴时,如果不想要其格式,只要文字,可以使用“Edit->paste as text”命令,而不要直接Ctrl+V。2
- 代码如下:---在仓储管理中经常会碰到的一个问题 一、关于LIFO与FIFO的简单说明 ---FIFO: First in, First o
- 1 问题描述最近与诸位聊起,在用户体验网站产品、完成任务的过程中,页面的切换到底是新开窗口,还是当前页面跳转,哪一种是最佳的用户体验。这一讨
- 引言https://github.com/go-chassis/go-chassis是一个微服务开发框架,而微服务开发框架带来的其中一个课题
- 如果是感应触发.就选onmouseover如果是点击触发.就选onclick [把它们两互相替换,就可随时变为感应
- 前言在启动 Django 项目时,Django 默认监听的端口号为 8000,设置的默认 IP 地址为 127.0.0.1 。如果需要修改默
- 怎么样才能设计出漂亮的网页?怎么样才能做好网页设计工作,现在许多人还停留在网页制作的水平上,认为只要用好了网页制作软件,就能搞好网页设计了,
- 先把我的browser信息说明一下:这是在opera里about中显示的“浏览器识别”Opera/9.62 (Windows NT 5.1;
- QL Server事件探查器(Profiler)可以帮助数据库管理员跟踪SQL Server数据库所执行的特定事件,监视数据库的行为;并将这
- 场景一:A网站全站均为UTF-8编码,B网站全站为GB2312编码。A网站提供一段JS代码供B网站调用,该代码会动态生成一个FORM表单,以
- 有过网页制作经验的朋友一定知道:一般来讲,把表格的边框定义为1px时,即border=1,而实际上是2
- clipboardData 对象提供了对于预定义的剪贴板格式的访问,以便在编辑操作中使用。成员表方法 描述 clearData 通过 dat
- 终于开始做用户部分了,先做注册一用户 1.1用户注册 首先在Models里添加用户注册模型类UserRegister 继
- 要很好地领会Ajax技术的关键是了解超文本传输协议(HTTP),该协议用来传输网页、图像以及因特网上在浏览器与服务器间传输的其他类型文件。只
- http://swik.net/Ajax/Ajax+Mistakes在某网站瞎逛时,发现这个链接,进去逛了逛,觉得很有意思,大家也可以去看看
- 靓丽的网页是怎样生成的?也许您会脱口而出,当然是自己设计出来的。没错!不过这其中也有网页制作工具的一部分功劳,因为功能强大的网页制作工具可以
- l当今世界,技术发展迅猛,不论是什么行业,大多数关键数据都是放置于数据库中进行管理的,一来目前数据库技术已经相当成熟,二来其管理功能非常强大
- 接着上一篇,统一思想,遵循标准。如何遵循标准,其实标准有很多,结构标准,表现标准,行为标准。选择标准规范,就优先选择W3C推荐的标准。结构标
- 研究网页编码很长时间了,因为最近要设计一个友情链接检测的VBS脚本,而与你链接的人的页面很可能是各种编码,以前采取的方法是:如果用GB231
- 各位大家好!很荣幸能在这里和大家聊聊!(*^__^*) 嘻嘻……此处省略488字,切入正题。关于网页设计这个行业,在中国来讲这个行业并不成熟