浅谈权限获取方法之文件上传

news2024/11/18 15:30:38

概述

文件上传漏洞是发生在有上传功能的应用中,如果应用程序对用户的上传文件没有控制或者存在缺陷,攻击者可以利用应用上传功能存在的缺陷,上传木马、病毒等有危害的文件到服务器上面,控制服务器。

漏洞成因及危害

文件上传漏洞产生的主要原因是:应用中存在上传功能,但是上传的文件没有经过严格的合法性检验或者检验函数存在缺陷,导致可以上传木马文件到服务器。文件上传漏洞危害极大因为可以直接上传恶意代码到服务器上,可能会造成服务器的网页篡改、网站被挂马、服务器被远程控制、被安装后门等严重的后果。

下面我们就文件上传的几种验证及绕过方法

1.本地验证(前端验证)

前端JS过滤绕过上传漏洞是因为应用程序是在前端通过JS代码进行的验证,而不是在程序后端进行的验证,这样就可以通过修改前端JS代码的方式进行绕过上传过滤,上传木马。

那么如何判断是否为前端验证呢?我个人觉得我们可以看在进行上传抓包的时候是否能到数据包,是否有数据流过,或者可以看上传图片是否页面会显示上传的图片地址等

绕过:将过滤代码删除,修改或禁用Javascript

2.后端验证及绕过

文件上传常见验证:后缀名(直接验证),文件,文件头(间接验证)

2.1 后缀名

2.1.1 黑名单(明确不允许上传的脚本格式后缀)

文件名过滤绕过漏洞主要是因为通过黑名单的方式判断了文件上传的类型,而且并没有完整的过滤,导致攻击者通过上传黑名单类型之外的文件。

黑名单判断方法:上传文件,系统提示不允许上传xxx格式文件

绕过:使用其他格式(php5,Phtml,php3)或者文件大小写,同时也可以加一些干扰符号实现绕过

2.1.2 .htaccess(伪静态协议)-重写解析 (Apache才有并且开启伪静态模块)

.htaccess文件上传是利用.htaccess文件可以对Web服务器配置的功能,实现对jpg、png等后缀的文件当做PHP文件解析的过程。

.htaccess文件(分布式配置文件)提供了一种基于每个目录进行配置更改的方法,包含一个或多个配置指令的文件放在特定的文档目录中,并且文件中的指令适用于该目录及其所有子目录。.htaccess是Web服务器的一个配置文件,可以通过.htaccess文件实现Web服务器中的定义文件的解析方式、重定向等配置。

绕过方法:首先上传1.htaccess文件。2.再上传图片马。

2.1.3 空格绕过

绕过方法:数据包中文件后缀名后加一个空格实现绕过

2.14 . 绕过

绕过方法:跟空格绕过方法类似,数据包中文件后缀名后加一个.实现绕过

2.1.5 ::$data绕过

这是windows特有的一种协议,在window的时候如果文件名+":: D A T A " 会把 : : DATA"会把:: DATA"会把::DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名

2.1.6 循环过滤

绕过:代码将字符串里的php替换为空
如:a.pphphp 会变成->a.

2.1.7 白名单:明确可以上传的格式后缀(更安全)

%00截断、0x00截断(建立在地址上的原理,截断文件后面数据 )00截断绕过只能绕过前端验证。

截断的产生主要原因就是存在%00这个字符,PHP<5.3.4时,会把它当做结束符,导致后面的数据直接忽略,造成截断,上传时如果上传文件的路径可控,可以通过00截断,进行木马上传。

绕过方法(path%00截断):

1.将test改为test.php%00aaa,1.php改为1.jpg这样可以通过验证函数

1655798977_62b17cc119872ff1e3002.png!small?1655798977350

2.test.php%00aaa中的%00进行URL编码,选中%00选择【Convertselection】命令,选择【URL】命令,选择【URL-
decode】命令进行编码

1655799206_62b17da6844749c1c80eb.png!small?1655799206818

3.文件类型验证

3.1 文件头检测:文件头内容信息(如gif89a)

不同的文件都有特定的文件头格式,开发者通过检查上传文件的文件头检测文件类型,但是这种检测方式同样可以被绕过,只要在木马文件的头部添加对应的文件头,这样既可以绕过检测又不影响木马文件的正常运行。

常见的文件头如下:

JPEG 0xFFD8FF
PNG0 x89504E470D0A1A0A
GIF 47 49 4638 39 61(GIF89a)

绕过方法:

1.更改头部信息达到欺骗,如在木马的头文件中添加图片文件的文件头即可绕过检测。
GIF89a

<?php echo`$_REQUEST[cmd]`; ?>

2.制作图片马
1.直接在图片中插入一句话木马,进行上传。———利用文件包含原理
2.使用cmd命令将一张正常图片 1.jpg 与一个包含一句话木马的 a.txt文件,合成一个新的test.php木马文件
cmd命令: copy 1.jpg/b+a.txt test.php

3.2 Content-Type检测

Content-Type用于定义网络文件的类型和网页的编码,用来告诉文件接收方将以什么形式、什么编码读取这个文件。不同的文件都会对应的不同的Content-
Type,比如jpg文件的Content-Type为image/jpeg,php文件的Content-Type为application/octet-
stream。Content-Type是在数据包的请求包头中,开发者会通Content-Type的类型判断文件是否允许上传,

绕过:Content-Type的类型可以通过抓包篡改,这样就可以通过抓包修改数据包的Content-Type来绕过Content-Type判断。
MIME:可以通过判断类型猜测文件后缀名,利用抓包工具将Content-
Type进行篡改,如改为image/pjpeg、image/jpeg、image/gif、image/png四个中的一个即可绕过过滤

4. 内容及其他

4.1 逻辑安全:条件竞争(相当于系统占用)

定义:竞争条件是指多个线程在没有进行锁操作或者同步操作同时访问同一个共享代码、变量、文件等,运行的结果依赖于不同线程访问数据的顺序。先将文件上传到服务器,服务器按照规则对图片选择保存与删除,漏洞点在于文件在保存到服务器之前并没有进行合法性的检查,虽然保存后进行了文件的检查,但是通过竞争条件漏洞,通过上传有写文件功能的木马,在删除木马之前访问已经上传的木马,就可以写入新的木马。

绕过:将文件上传到服务器后,我们就不断进行文件路径访问,由于条件竞争,就会达到上传Webshell的目的,漏洞利用就是发送请求通过不断上传内容,这样的访问会生成新的木马文件,然后再发送另一个请求不断访问此文件,如果竞争条件漏洞利用成功就会生成新的木马。

4.2 目录命名

绕过:通过添加/.后缀让服务器识别文件为文件夹形式,达到上传的目的,如 -x.php/.

5.其他漏洞

脚本函数漏洞-cve
CVE-2017-12615
CVE-2015-5254
CVE-2019-2618

这些漏洞网上都有利用教程,感兴趣的师傅可以去查阅一下资料

6.中间件解析漏洞

6.1 IIS 6.0+解析漏洞

解析漏洞快速判断,/.php看是否有乱码,有则存在,无则不存在

6.1.1 以文件夹执行

正常文件名:image/aa.jpg
绕过:image.asp/aa.jpg aa.jpg就会被当作asp解析

6.1.2 以文件执行

正常文件名:image.jpg
绕过:image.asp;.jpg或xxx.asp;xxx.jpg 此文件会被当作asp执行

asp可以换做php 如果换了php,那么就可以当作php执行

7.WAF绕过

要想绕过WAF,我们需要了解哪些参数可以修改,如
Content-Disposition:一般可修改
name:表单参数值,不能修改
filename:文件名,可以修改
Content-Type(文件自带类型):文件MIME,视情况更改
waf绕过的核心就是在可以修改的参数名后不断修改测试,尝试绕过。

常见绕过方法:

7.1 数据溢出(垃圾数据填充)

利用WAF检测上限,添加大量垃圾数据,让其匹配不到,类似于溢出漏洞,一般可在上传参数后面添加干扰数据,垃圾数据和参数之间要记得添加;,否则数据包会报错

7.2 符号变异('";)

利用程序开发漏洞,对数据包中上传参数中的符号进行替换,添加、删除,达到上传目的。如
如x.jpg;.php 分号代表一个数据的结束

7.3数据截断(%00;换行)

文件后缀名后加个%00(空格)截断,x.php%00.jpg
换行(类似于程序中\n)和数据分块传输差不多,如x.
p
h
p
数据包其实识别的是x.\np\nh\np

7.4 重复数据

相当于函数中的递归 循环,将参数在数据包中写多次原理跟垃圾数据也十分类似

8.防御

1.部署宝塔,waf等安全产品

2.对上传的内容进行严格多次校验

3.对文件内容进行完整性检测

数据分块传输差不多,如x.
p
h
p
数据包其实识别的是x.\np\nh\np

7.4 重复数据

相当于函数中的递归 循环,将参数在数据包中写多次原理跟垃圾数据也十分类似

8.防御

1.部署宝塔,waf等安全产品

2.对上传的内容进行严格多次校验

3.对文件内容进行完整性检测

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/374884.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何进行域名购买,获取免费ssl证书,使用springboot绑定ssl证书

前言 小编我将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识&#xff0c;有兴趣的小伙伴可以关注一下&#xff01;也许一个人独行&#xff0c;可以走的很快&#xff0c;但是一群人结伴而行&#xff0c;才能走的更远&#xff01;让我们在成长的道路上互相学习&#…

Linux修改文件属性和权限

本次我们还是使用CentOS7来进行实验查看文件属性首先我们可以使用ll命令来查看某一文件的属性现在可以拆分一下-rw-r--r--1rootroot3042月27 22:58kaka文件类型文件所有者权限用户组权限其他人权限硬链接次数属主属组文件大小最后修改时间文件名1.文件类型-普通文件&#xff0c…

python同步线程

线程同步可以定义为一种方法&#xff0c;借助这种方法&#xff0c;可以确信两个或更多的并发线程不会同时访问被称为临界区的程序段。 另一方面&#xff0c;正如我们所知道的那样&#xff0c;临界区是共享资源被访问的程序的一部分。 因此&#xff0c;同步是通过同时访问资源来…

MIT 6.S081学习笔记

计划花25天时间学完6.S081课程&#xff0c;从2月20日-3月20日。课程主页Link   xv6 book   GDB User Manual Lecture 1: Introduction and Examples课程主题&#xff1a;设计和实现操作系统   OS的三大功能&#xff1a;多路复用、隔离和交互。 Lab: Xv6 and Unix utiliti…

“ChatGPT之父”Sam Altman:我是如何成功的?

背靠微软&#xff0c;OpenAI能拳打谷歌&#xff0c;脚踢Meta&#xff0c;它背后的男人&#xff0c;必然不简单。 让我们来看一看&#xff0c;Sam Altman是如何一步步成长为今天这个搅动全世界的男人。 山姆奥特曼&#xff08;Sam Altman&#xff09; 成长和创业经历 在YC创始…

数据结构(Java版)绪论

一、数据结构绪论 1、概论 &#x1f34e;数据结构研究计算机的操作对象以及他们之间的关系和操作。 2、算法的定义、特征、设计要求 算法&#xff1a;是对特定问题求解步骤的一种描述&#xff0c;它是指令的有限序列&#xff0c;是一系列输入转化为输出的计算步骤。 算法的特…

篮球杯 双指针专题

总的来说&#xff0c;双指针分为while(1)类型和尺取法类型可以解决各种问题&#xff08;如子序列问题&#xff09;活动 - AcWing思路&#xff1a;while(1)型的双指针基本形式为&#xff1a;while(1){if(l>n||r>n) break;while(条件&&l<n) l;rl;while(条件&…

使用Platform Designer创建Nios II 最小系统

Nios II简介 ​ Nios II 软核处理器十多年前就有了&#xff0c;它和xilinx的MicroBlaze类似&#xff0c;性能相比硬核处理器要差得多&#xff0c;工程应用也不是很多&#xff0c;那还有必须学习一下吗&#xff1f;我个人认为了解一下Nios II开发流程&#xff0c;对intel FPGA开…

9.网站数据统计

1.Redis 高级数据类型&#xff08;1&#xff09;HyperLogLog统计20万个重复数据的独立总数// 统计20万个重复数据的独立总数. Test public void testHyperLogLog() {String redisKey "test:hll:01";for (int i 1; i < 100000; i) {redisTemplate.opsForHyperLog…

8年测开经验面试28K公司后,吐血整理出高频面试题和答案

#01、如何制定测试计划&#xff1f; ❶参考点 1.是否拥有测试计划的制定经验 2.是否具备合理安排测试的能力 3.是否具备文档输出的能力 ❷面试命中率 80% ❸参考答案 测试计划包括测试目标、测试范围、测试环境的说明、测试类型的说明&#xff08;功能&#xff0c;安全&am…

深入解读.NET MAUI音乐播放器项目(三):界面交互

UI设计的本质是对于产品的理解在界面中多种形式的映射&#xff0c;当需求和定位不同时&#xff0c;对相同的功能表达出了不同的界面和交互方式。 作为播放器&#xff0c;界面可以是千差万别的。《番茄播放器》的iOS平台上我开发了传统版本&#xff0c;和基于手势播放的版本。 …

Word处理控件Aspose.Words功能演示:使用 C++ 在 Word (DOC/DOCX) 中添加或删除水印

Aspose.Words 是一种高级Word文档处理API&#xff0c;用于执行各种文档管理和操作任务。API支持生成&#xff0c;修改&#xff0c;转换&#xff0c;呈现和打印文档&#xff0c;而无需在跨平台应用程序中直接使用Microsoft Word。此外&#xff0c; Aspose API支持流行文件格式处…

Nacos未授权访问漏洞

Nacos介绍 Nacos 的官网地址为&#xff1a; https://nacos.io 它是阿里开源的 SpringCloud Alibaba 项目下的一项技术&#xff0c;可以实现服务注册中心、分布式配置中心。 一般来说&#xff0c;nacos被建议部署在内网中&#xff0c;如果在外网出现&#xff0c;会有很大的风险…

NCRE计算机等级考试Python真题(三)

第三套试题1、按照“后进先出”原则组织数据的数据结构是_______A.栈B.双向链表C.二叉树D.队列正确答案&#xff1a; A2、以下选项的叙述中&#xff0c;正确的是&#xff1a;A.在循环队列中&#xff0c;只需要队头指针就能反映队列中元素的动态变化情况B.在循环队列中&#xff…

数学小课堂:虚数的媒介工具作用(虚构一个现实中不存在的概念,来解决现实问题)

文章目录 引言I 预备知识1.1 平方根1.2 三次方程1.3 极坐标II 虚数2.1 虚数的来源2.2 理解虚数存在的必要性2.3 虚数的影响III 复数3.1 人类认知升级的过程3.2 数字的扩展历史3.3 复数的用途引言 虚数的来源和存在的必要性:三次方程是一定有实数解的,因此根号里面负数的问题…

SREWorks前端低代码组件生态演进:monorepo架构重构和远程组件加载实践

作者&#xff1a;王威&#xff08;地谦&#xff09; 文章结构 项目背景演进分析monorepo架构演进 Webpack与Rollup如何平滑迁移构建优化 组件的可扩展与可插拔演进总结版本动态 项目背景 SREWorks是一个面向企业级复杂业务的开源云原生数智运维平台&#xff0c;是大数据SR…

wafw00f 防火墙探测

kali机器自带防火墙探测工具wafw00&#xff0c;它可以通过发送正常以及不正常甚至包含恶意代码的HTTP请求&#xff0c;来探测网站是否存在防火墙&#xff0c;并识别防火墙的厂商及类型。安装&#xff1a;git clone https://github.com/EnableSecurity/wafw00f.git python setup…

Windows下载安装Prometheus

目录 资料 下载 解压 点击prometheus.exe运行 资料 Prometheus是一个开源的系统监控和报警系统&#xff0c;同时也支持多种exporter采集数据&#xff0c;还支持pushgateway进行数据上报&#xff0c;Prometheus性能足够支撑上万台规模的集群。 官网&#xff1a;https://pr…

DSIN模型

DSIN模型提出得动机&#xff1a;用户得行为是由会话组成得&#xff0c;在每个会话内部用户得行为是相似得&#xff0c;会话之间得用户的行为是存在较大差异性得&#xff0c;而其他模型都没有关注这点&#xff0c;所以就有了DSIN模型。 在这里我们来讲下DSIN关键得四层&#xf…

PR9268/300-000库存现货振动传感器 雄霸工控

PR9268/300-000库存现货振动传感器 雄霸工控PR9268/300-000库存现货振动传感器 雄霸工控SDM010PR9670/110-100PR9670/010-100PR9670/003-000PR9670/002-000PR9670/001-000PR9670/000-000PR9600/014-000PR9600/011-000PR9376/010-021PR9376/010-011PR9376/010-011PR9376/010-001…