【网络安全】文件上传绕过思路

这篇具有很好参考价值的文章主要介绍了【网络安全】文件上传绕过思路。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

引言

分享一些文件上传绕过的思路,下文内容多包含实战图片,所以打码会非常严重,可多看文字表达;本文仅用于交流学习, 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

案例一

一次项目渗透时,通过往 png 后缀随便加个字符可知该上传点为白名单上传,正常情况下无法绕过

【网络安全】文件上传绕过思路

通过观察接口信息,发现接口名字为 UploadImg,猜测该接口用于图片上传,按照开发的习惯,保不准会存在 temp、test,这类的接口,随后通过 fuzz 找到存在的上传接口(file),但此时的接口(file)上传文件仍旧存在限制,需要绕过。

【网络安全】文件上传绕过思路

由于黑名单限制不够严谨,经过多个伪后缀尝试,发现.cer 后缀可绕过限制并被解析

【网络安全】文件上传绕过思路

然后就 getshell 进内网,后面的操作就不多说了。

【网络安全】文件上传绕过思路

很多师傅看到白名单上传就会认为这个上传点足够安全,无法绕过,但其实不然,在存在多个上传接口的情况下,或许会存在没做限制,或者限制不严格的上传点也不一定,关键的是我们要如何发现这些接口,在此类接口存在限制时,如何去进行绕过,下面再举一个和接口绕过相关的例子。

【一>所有资源获取<一】

1、200 份很多已经买不到的绝版电子书

2、30G 安全大厂内部的视频资料

3、100 份 src 文档

4、常见安全面试题

5、ctf 大赛经典题目解析

6、全套工具包

7、应急响应笔记

8、网络安全学习路线

案例二

upload_2018.php 接口白名单上传,在正常情况下,改变后缀会导致上传失败,如下

【网络安全】文件上传绕过思路

再进一步测试时发现存在多个上传接口,删除_2018 使用 upload 接口进行文件上传,可导致任意文件上传

【网络安全】文件上传绕过思路

进一步传 shell 时发现存在 waf(某讯云),需进一步绕过。

【网络安全】文件上传绕过思路

通过寻找域名真实 IP,使用真实 IP 进行文件上传,绕过 waf 限制,为防止有心人,这里直接把 IP 给打码盖住了,以防万一。

【网络安全】文件上传绕过思路

很多时候有一些开发为了便捷性,在部署上传接口时限制不够严谨或压根没做限制,这导致一旦被绕过限制传 shell,都会导致非常严重的后果,当然,我们可以找一些 temp、test 这类上传接口,因为此类接口多数是开发过程中用作测试的,这种接口几乎都是无限上传文件类型的,同样的我们也可以找一些 api 文档进行上传接口的发现,这或许会有惊喜也说不定

案例三

这是一个把图片转 base64 的文件上传类型,具体绕过如下:

【网络安全】文件上传绕过思路

通过抓包发现图片是以 base64 进行上传的,观察了下数据包,发现可通过更改 upload_0 字段内容上传任意文件

【网络安全】文件上传绕过思路

访问 HTML 页面,成功被解析,可进一步上传 shell 获取权限。

【网络安全】文件上传绕过思路

一句话 shell 上传后发现无法执行命令,之后通过上传 PHPinfo 发现其存在 disable_functions,利用某斯拉绕过限制,getshell

【网络安全】文件上传绕过思路

【网络安全】文件上传绕过思路

【网络安全】文件上传绕过思路

#案例四

一个关于 nginx 解析漏洞的利用,这个漏洞是很久之前挖到的,这种漏洞现在应该不会存在了,单单是 waf 都能栏掉,这个就作为思考开拓说一下:

一次外网打点时发现了目标的一个核心系统,通过踩点发现了某上传功能,但上传接口存在白名单限制,且无其它的上传接口,由于这个站的 shell 比较重要,必须拿到,之后通过漏洞挖掘,发现目标存在 nginx 解析漏洞,结合图片上传点成功获取到了内网据点。

【网络安全】文件上传绕过思路

【网络安全】文件上传绕过思路

【网络安全】文件上传绕过思路

其它场景 &总结

有些时候文件上传成功后端没有返回路径,只回显了一个 id 号,这时候如果目标存在注入的话,我们尝试可以用 sqlmap 的--search 参数或者 SQLshell 对返回的 ID 号进行搜索,这样说不定就能找到 shell 地址了,之前在关于Swagger-UI下的渗透实战 23也说过,感兴趣的可以去看看;也有文件上传成功却只回显一个文件名的,在前不久的一次攻防就遇到这种情况,后来是用了 fuzz 找到了完整的 shell 路径,另外在某些时候,上传文件可以跨目录,那么我们可以通过../进行跨目录上传,运气好的话,或许会在几个../后把 shell 传到域名的根目录下,如果当前上传文件夹无执行权限,那么跨目录上传 shell 也是个不错的思路;另外,如果上传目录可控,可上传文件到任意目录的话,在 linux 场景我们可上传一个 ssh 秘钥用于远程登录,极端一点的话,可考虑上传 passwd、shadow 文件覆盖系统用户,但前提是权限要足够大。

如果不能跨目录,站点又没有注入的话,那么我们可以尝试寻找网站日志文件,例如泛微 E-COLOGY 日志的日志,像这种日志文件是有规律可循的,可以用 burp 进行日志爆破,或许在日志文件中能找到 shell 路径也说不定。

【网络安全】文件上传绕过思路

【网络安全】文件上传绕过思路

【网络安全】文件上传绕过思路

再者就是文件包含和文件读取了,文件读取的话可以通过读取日志和配置文件来发现 shell 地址,但是成功率太低了,至于文件包含,除了靶场和 ctf,实战还没碰过。

还有一个关于 burp 的使用技巧,这是真实遇到的,上传 shell 后没有回显路径,但是通过 http history 搜索 shell 的名字发现了完整的 shell 路径,因为传上去的文件,如图片这类的总归是显示出来的,这时候可以先在 web 应用到处点点,多加载一些数据包,然后再到 http history 搜索 shell 的名字,或许会有惊喜也说不定。

某些时候上传黑名单不严谨,那么我们可用伪后缀进行绕过,其它多的就不说了,大概思路就这样,当绕过限制拿到 shell 时,总会给我带来乐趣,或许这就是我喜欢渗透的原因。

【网络安全】文件上传绕过思路文章来源地址https://www.toymoban.com/news/detail-420484.html

到了这里,关于【网络安全】文件上传绕过思路的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全-pikachu之文件上传漏洞2

    进入到第二个文件上传漏洞,发现名字是MIME type,并且查看前端源代码没发现限制,所以是后段,盲猜通过抓包就可以绕过后段限制。 先知道MIME type是什么,通过查找资料发现是:Content-Type是返回消息中非常重要的内容,表示后面的文档属于什么MIME类型。Content-Type: [type]/[

    2024年02月21日
    浏览(40)
  • 网络安全进阶学习第五课——文件上传漏洞

    大部分的网站和应用系统都有上传功能,如用户头像上传,图片上传,文档上传等。 由于对上传文件 未作过滤 或 过滤机制不严(文件后缀或类型) ,导致恶意用户可以上传 脚本文件 ,通过上传文件可以达到控制网站权限的目的。 攻击者可获得网站控制权限; 查看、修改

    2024年02月06日
    浏览(35)
  • 【网络安全】文件上传漏洞及中国蚁剑安装

    文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。如常见的头像上传,图片上传,oa 办公文件上传,媒体上传,允许用户上传文件,如果过滤不严格,恶意用户利用文件上传漏洞,

    2024年02月04日
    浏览(50)
  • 网络安全各类WAF绕过技巧

    即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。 例如,当发现某网站存在一个反序列化漏洞时,但是无回显,被waf拦截了 利用脏数据插入5000个x字符,可以成功绕过。 对请求进行并发,攻击请求会被负载均衡

    2024年02月09日
    浏览(42)
  • 网络安全-CDN绕过寻找真实IP

    CDN就是CDN加速,就是根据你的目标让你访问的更快 CDN,即内容分发网络,主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说得简单点,就是一组在不同运营商之间的对接节点上的高速缓存服务器,把用户经常访问的静态数据资源(例如css,HTML)直接缓存

    2024年02月04日
    浏览(54)
  • [网络安全] Windows Server 设置文件屏蔽防止黑客利用漏洞上传特定类型的非法文件(.asp .aspx .jsp .php)

    [网络安全] Windows Server 设置文件屏蔽防止黑客利用文件上传漏洞上传特定类型的非法文件(.asp .aspx .jsp .php) 我在负责网站运维期间,遇到过一次黑客利用公司网站内使用的开源文件上传工具漏洞上传非法文件(可执行脚本) 我是通过设置文件屏蔽来防止此类事件的再次发生。

    2024年02月12日
    浏览(54)
  • 【网络安全】https与证书原理 | SSL Pinning及其绕过

    参考: https://segmentfault.com/a/1190000009002353?sort=newest https://zhuanlan.zhihu.com/p/353571366 https://juejin.cn/post/6863295544828444686 HTTPS=HTTP+TLS,其它的协议也类似,如FTPS=FTP+TLS 1) ClientHello Client 首先发送本地的 TLS 版本、支持的加密算法套件,并且生成一个随机数 R1 。 2)Server Hello Server 端确

    2024年02月05日
    浏览(46)
  • Socks5代理与网络安全:保护隐私、绕过限制与爬虫应用

    1. Socks5代理简介 Socks5代理是一种网络协议,允许数据在客户端与服务器之间进行传输。与HTTP代理不同,Socks5代理不仅支持TCP连接,还可以处理UDP流量,因此在某些需要实时数据传输的场景中表现出色。它能够代理各种应用层协议,为用户提供更灵活的网络体验。 2. 保护隐私

    2024年02月07日
    浏览(45)
  • web安全第六天:绕过白名单监测实现文件上传

    3.1黑名单概念(随机构造一个后缀名,能上传即为黑名单) 一般情况下,代码文件里会有一个数组或者列表,该数组或者列表里会包含一些非法的字符或者字符串,当数据包中含有符合该列表的字符串时,即认定该数据包是非法的。 3.2如何确认黑白名单 因为黑名单是不允许

    2024年02月11日
    浏览(39)
  • 24 WEB漏洞-文件上传之WAF绕过及安全修复

    safedog BT(宝塔) XXX云盾 宝塔过滤的比安全狗厉害一些,在真实情况下现在很多网站都是用宝塔 Content-Disposition: 表单数据,一般可更改 name:表单参数值,不能更改,改完之后,数据包是有问题的,跟前端的表单值会对不上,这样后端会无法判断你上传的地方,如果要更改,那

    2024年02月10日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包