🎼个人主页:金灰
😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨
专注网络空间安全服务,期待与您的交流分享~
感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️
🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~
免责声明:本文仅做技术交流与学习...
目录
上传过程
构造
---发现:
漏洞
例子:双写绕过
1 php的文件上传绕过 黑名单绕过
2 php文件上传的 00截断
3 iconv字符转换异常后造成了字符截断
4 文件后缀是白名单的时候的绕过
web服务器的解析漏洞绕过
apache(-httpd)
a 多后缀解析漏洞
b ImageMagic组件白名单绕过
nginx
IIS
上传过程
构造
<?php
var_dump($_FILES); //显示上传的信息.
//所有的上传信息都是放到$_FILES超全局变量里面.
<form action="index.php" enctype="multipart/form-data" method="post">
<input name="file" type="file"/>
<input type="submit" value="upload"/>
</form>
强制上传---访问
---->返回上传的所有的信息.
<?php
var_dump($_FILES); //显示上传的信息.
//array(1) {
// ["file"]=>
// array(5) {
// ["name"]=>
// string(5) "1.txt"
// ["type"]=>
// string(10) "text/plain"
// ["tmp_name"]=>
// string(22) "C:\Windows\phpE5EF.tmp"
// ["error"]=>
// int(0)
// ["size"]=>
// int(6)
// }
//}
$file = $_FILES['file']; //file与html的name属性一致.
//echo $file['name'];
move_uploaded_file($file['tmp_name'],"./upload/".$file['name']); //核心--移动上传的文件到指定的目录.
//移动文件,从临时目录里移动.(用就拿走,不用就删了)
//成功上传
//上传图片试一下也, 访问/upload/文件名字 -->成功实现图片上传
# 从数组里面拿字段:
//$file['name']; //上传的原始文件名称'
//$file['tmp_name']; //上传后,临时存放文件的路径. (改不了)
//$file['type'];
echo '<br>';
echo $file['name'];
echo '<br>';
echo $file['tmp_name'];
echo '<br>';
echo $file['type'];
?>
---发现:
我们客户端只有name 和 type 可以改, tmp_name 字段是改不了的.
<form action="index.php" enctype="multipart/form-data" method="post">
<input name="file" type="file"/>
<input type="submit" value="upload"/>
</form>
<!--
文件上才能的参数名字 file 是否可以修改? --可以改呀
$file = $_FILES['file'];
与php文件里的名字一样就行.
(保证两者是一致的就行,默认是file)
-------就是个名字,与前面参数的value值保持一致就行.
-->
漏洞
文件上传---对服务端的一个写操作
例子:双写绕过
一个文件上传按钮
会将php改为空
.php
.php2php
.phpphp
.pphphp (中间加一个php---双写绕过)
1 php的文件上传绕过 黑名单绕过
1 php的文件上传绕过 黑名单绕过
后缀替换为空时,我们通过提交 1.pphphp 替换php为空后,得到1.php 成功写入木马
php不行时:上传 看看能不能解析.
php3 php5 phps phtml
php后缀替换为txt时,我们无法双写绕过 ----- 1.pphphp 1.ptxthp(无法解析)
2 php文件上传的 00截断
2 php文件上传的 00截断
(非常古老,需要版本符合)考虑到吗能
hello world
hello空格world\n\00 (真实字符)\00为一个字符,表示结束.
123.php 明显不让直接上传.
123.php%00.jpg ---那么后台判断的时候,取最后一个点后面的字符作为后缀 jpg 看起来是合法的文件名称.
./upload/123.php%00.jpg -> ./upload/123.php
00字符截断需要的版本:
php版本小于5.3.4 而最新的php版本已经达到8.3及以上
java版本小于7u40,而最新的java版本已经达到20以上
3 iconv字符转换异常后造成了字符截断
3 iconv字符转换异常后造成了字符截断(老版本才适用)
(函数)
php在文件上传场景下的文件名字符集转换时,可能出现截断问题
utf-8字符集---> 默认的字符编码范围的是 0x00-0x7f
iconv转换的字符不在上面这个范围之内,低版本的php会报异常,报了异常以后,后续字符不再处理,就会造成截断问题.
123.php%df.jpg 123.php
php版本低于5.4才可以使用
4 文件后缀是白名单的时候的绕过
web服务器的解析漏洞绕过
apache(-httpd)
a 多后缀解析漏洞
当我们上传apache不认识的后缀时,apahce会继续往前找后缀,找到认识的就解析执行.
123.txt.ctfshow --> 123.txt 文本文档形式解析
123.php.ctfshow --> 123.php 就交给中间件处理php脚本
b ImageMagic组件白名单绕过
...真鸡肋啊
前提:
目标主机按照了这个漏洞版本的 ImageMagic插件 <=3.3.0
在php.ini中启用了这个插件,
通过了php new Imageick 对象的方式来处理图片时,
且 php版本大于 5.4时,
才可以使用,上传特定的svg图片,来实现组件的缺陷导致任意代码执行.
nginx
基于错误的nginx配置 和 php-fpm配置
nginx 基于错误的nginx配置 和 php-fpm配置,当我们访问 123.txt/123.php ,如果是php后缀,就交给php-fpm,
cgi.fix_pathinfo 默认开启.
解析123.txt/123.php ,当123.php不存在时,会找/前面的文件进行php解析,这时候,就成功解析了123.txt为php脚本了
上传 123.txt ,访问时 /123.txt/123.php 即可.
IIS
iis6.0版本
iis(windows自带--启用或关闭windows功能里) Windows下使用
iis6.0版本中,如果解析的目录名字为 xxx.asp
那么里面的所有文件,都会按照asp来解析 123.txt WindowsXP Windows Server 2003
----> (控制一个目录为xxx.asp 就行了)