web漏洞之文件上传漏洞

news2024/11/15 21:50:14

文章目录

  • 一、漏洞原因
  • 二、漏洞危害
  • 三、漏洞利用
    • 1.三个条件
    • 2.利用方式
    • 3.绕过方式
      • a.绕过JS验证
        • ① BP绕过
        • ② F12绕过
        • ③ 菜刀上传实操
      • b.绕过MIME-Type验证
      • c.绕过黑名单验证
        • ① 直接修改后缀名绕过
        • ② htaccess绕过(有拦截)
        • ③ 大小写绕过(有拦截)
        • ④ 空格绕过
        • ⑤ .号绕过
        • ⑥ 特殊符号绕过
        • ⑦ 路径拼接绕过
      • d.Linux webshell测试工具
        • Webacoo
        • weevely
  • 四、文件上传漏洞防护措施
  • 五、文件包含漏洞
    • 1.特征
    • 2.实操
    • 3.危害
    • 4.防护措施

一、漏洞原因

由于对上传文件未作过滤或过滤机制不严(文件后缀或类型),导致恶意用户可以上传脚本
文件,通过上传文件可达到控制网站权限的目的

二、漏洞危害

攻击者可获得网站控制权限,可获得查看、修改、删除网站数据,可通过提权漏洞可获得主机权限

三、漏洞利用

1.三个条件

首先需要满足三个条件,攻击者才能成功入侵利用:
木马上传成功,未被杀;
知道木马的路径在哪;
上传的木马能正常运行(解析)。
Webshell是否能成功解析验证方法

<?php @assert($_POST["fname"]);?>

或<?php @eval($_POST["fname"]);?>
可先在本地验证,F12使用hackbar验证phpinfo
在这里插入图片描述

出现以上界面说明解析成功
利用文件上传漏洞,通过向服务端提交一句简短代码,配合本地客户端实现webshell功能
在这里插入图片描述

2.利用方式

服务器MIME类型检测
服务器目录路径检测
服务器文件扩展名检测
服务器文件内容检测

3.绕过方式

a.绕过JS验证

① BP绕过

对于JS前端验证,直接删除掉JS代码之后就可以绕过JS验证,BP抓包时删除所有JS
在这里插入图片描述

② F12绕过

利用浏览器的审查工具F12剔除JS相关限定后,保存为新文件然后进行文件上传。(实操)
打开pykachu
在这里插入图片描述

发现只能上传图片,F12看下
在这里插入图片描述

试着把这个删除再上传,发现可以上传其他格式了

在这里插入图片描述在这里插入图片描述

③ 菜刀上传实操

在这里插入图片描述

打开后主界面右键添加,输入webshell在服务器的完整地址和连接参数,这里是fname
完整路径可看上传界面回显,然后根据目录层次拼接即可
在这里插入图片描述

如果出现http500错误,需要把pykachu php缓存版本5就ok了
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

b.绕过MIME-Type验证

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。用于系统默认文件打开方式设置,服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的,我们可以通过抓包修改文件类型可绕过限制
在这里插入图片描述

小技巧,可以先成功上传一个案例,观察服务器允许的mime的类型,然后再抓包修改重放测试
在这里插入图片描述

重放后可以发现上传成功
在这里插入图片描述

菜刀验证一下
在这里插入图片描述在这里插入图片描述

注意:验证成功后记得把上传的测试文件删除

c.绕过黑名单验证

对于文件上传模块来说,尽量避免上传可执行的脚本文件,为了防止上传脚本需要设置对应的验证方式,如后缀名验证。
① 后缀名绕过
通过httpd.conf自定义后缀名绕过
可通过pikachu-设置-配置文件-httpd.conf-Apache2.4.39修改添加可用后缀名类型

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

比如我们上传一个phtml后缀的webshell,上传一般是成功的,然后用菜刀连接(不能用F12了),也一样可以连接成功

① 直接修改后缀名绕过

先上传一个jpg
在这里插入图片描述

bp修改后缀名
在这里插入图片描述

F12 Hackbar调用成功
在这里插入图片描述

菜刀连接成功
在这里插入图片描述

② htaccess绕过(有拦截)

如果黑名单中没有过滤htaccess
则先配置下httpd.conf
在这里插入图片描述

.htaccess文件内容
<FilesMatch “2.jpg”>
SetHandler application/x-httpd-php

先上传它
在这里插入图片描述

然后使用文本编辑工具写入php代码:

<?php @eval($_POST["fname"]);?>

保存为2.jpg进行上传即可
在这里插入图片描述

则可直接使用jpg后缀打开webshell
http://127.0.0.1/pikachu/vul/unsafeupload/uploads/2.jpg,如果没有过滤应该没有报错

③ 大小写绕过(有拦截)

在这里插入图片描述

如果黑名单中没有大小写转换过滤,可以使用这种方法

④ 空格绕过

使用Burpsuite截断HTTP请求之后,修改对应的文件名并添加空格
在这里插入图片描述在这里插入图片描述

⑤ .号绕过

Windows系统下,文件后缀名最后一个点会被自动去除
在这里插入图片描述在这里插入图片描述

上传后.号会被去除

⑥ 特殊符号绕过

如1.php::$DATA

⑦ 路径拼接绕过

如 1.php.+空格+.
在这里插入图片描述在这里插入图片描述

可以看出成功上传了23.php

d.Linux webshell测试工具

Webacoo

使用WeBaCoo生成Webshell: webacoo -g -o a.php上传Webshell
使用Webacoo连接上传成功的Webshell:webacoo -t -u Webshell地址

weevely

使用weevely生成Webshell并上传。
命令:weevely generate 密码 路径 文件名

四、文件上传漏洞防护措施

检测的重点放在文件内容检测
路径/扩展名检测一定要用白名单
不能有本地文件包含漏洞
随时注意更新Web应用软件

五、文件包含漏洞

在PHP中,使用include、require、include_once、require_once函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。
文件包含漏洞常常会导致任意文件读取与任意命令执行;

1.特征

文件包含的特征是url里有以下参数
?page=
?file=
?home=

2.实操

上传123.gif
内容是:
GIF98A

<?php phpinfo(); ?>

上传23.php

<?php $filename = $_GET['filename']; if(isset($filename)){ include("$filename"); }else{ echo "file not found!"; } ?>

然后在链接里用123.gif作为包含文件
在这里插入图片描述

3.危害

严重:本地文件包含不仅能够包含web文件目录中的一些配置文件(比如Web应用、数据库配置文件、config文件),还可以查看到一些Web动态页面的源代码,为攻击者进一步发掘web应用漏洞提供条件,甚至一旦与路径遍历漏洞相结合,还可能直接攫取目标系统的用户名与密码等文件。并且能执行任意代码,甚至控制服务器。

4.防护措施

a.包含文件的参数过滤
① 文件名过滤:白名单或者黑名单过滤
②不使用动态变量进行包含操作,设置字典等静态处理
③文件名后缀固定
b.路径限制
①目录限制,在用户提交的变量前增加固定的路径,限制用户可调用的目录范围
②目录回退符过滤,避免回退符生效导致路径变化
c.中间件的安全配置
①PHP版本小于5.4在php.ini中设置magic_quotes_gpc=on(5.4 以后被放弃用)
magic_quotes_gpc设置是否自动为GPC(get,post,cookie)传来的数据中的’"\加上反斜线
②限制访问区域:php.ini 中设置 open_basedir 来限制用户访问文件的活动范围等;
apache 也有相关配置
③设置访问权限:限制当前中间件所在用户的访问权限,例如;web 服务器独立用户,并且只拥有访问目录和使用中间件的权限,从而有效避免越权访问其他文件;
d.搭建RASP阻止代码注执行

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/673210.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

技术改变生活,开发者必须掌握这些技能

技术改变生活&#xff0c;开发者必须掌握这些技能 一、前言二、背景三、开发者必须掌握这些技能1. 语言与编程2. 数据结构与算法3. 开发框架与工具4. 应用开发与测试5. 团队协作与沟通 一、前言 随着科技的不断进步和发展&#xff0c;我们的生活方式也在不断地变化。互联网、智…

Session覆盖测试-业务安全测试实操(19)

弱Token设计缺陷测试,Session覆盖测试 Session覆盖测试 测试原理和方法 找回密码逻辑漏洞测试中也会遇到参数不可控的情况,比如要修改的用户名或者绑定的手机号无法在提交参数时修改,服务端通过读取当前session会话来判断要修改密码的账号,这种情况下能否对Session中的内容做…

【架构】洋葱架构

文章目录 前言一、为什么要用洋葱架构&#xff1f;二、原则2.1、依赖性2.2、数据封装2.3、关注点的分离2.4、耦合性 三、洋葱架构层四、领域模型/实体五、领域服务六、应用服务七、基础设施服务八、可观察性服务九、测试策略十、微服务十一、模块化与打包十二、框架、客户端和驱…

基于Java个人博客网站设计实现(源码+lw+部署文档+讲解等)

博主介绍&#xff1a; ✌全网粉丝30W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战 ✌ &#x1f345; 文末获取源码联系 &#x1f345; &#x1f447;&#x1f3fb; 精…

基于Java游戏攻略网站设计实现(源码+lw+部署文档+讲解等)

博主介绍&#xff1a; ✌全网粉丝30W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战 ✌ &#x1f345; 文末获取源码联系 &#x1f345; &#x1f447;&#x1f3fb; 精…

【Unityc#专题篇】之c#进阶篇

&#x1f468;‍&#x1f4bb;个人主页&#xff1a;元宇宙-秩沅 &#x1f468;‍&#x1f4bb; hallo 欢迎 点赞&#x1f44d; 收藏⭐ 留言&#x1f4dd; 加关注✅! &#x1f468;‍&#x1f4bb; 本文由 秩沅 原创 &#x1f468;‍&#x1f4bb; 收录于专栏&#xff1a;uni…

【C#进阶】C# 索引器

序号系列文章13【C#进阶】C# 特性14【C#进阶】C# 反射15【C#进阶】C# 属性 文章目录 前言1、索引器的概念2、索引器的定义3、索引器的基本使用4、索引器的重载5、接口中的索引器6、属性和索引器之间的比较7、索引器的适用场景结语 前言 &#x1f342; Hello大家好啊&#xff0c…

基于Java会员管理系统设计实现(源码+lw+部署文档+讲解等)

博主介绍&#xff1a; ✌全网粉丝30W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战 ✌ &#x1f345; 文末获取源码联系 &#x1f345; &#x1f447;&#x1f3fb; 精…

从零开始 Spring Boot 46:@Lookup

从零开始 Spring Boot 46&#xff1a;Lookup 图源&#xff1a;简书 (jianshu.com) 在前文中&#xff0c;我介绍了 Spring Bean 的作用域&#xff08;Scope&#xff09;&#xff0c;且讨论了将一个短生命周期的 bean &#xff08;比如request作用域的 bean&#xff09;注入到长…

事务小总结

事务定义 是一个数据库操作序列&#xff0c;这些操作要么全部执行,要么全部不执行&#xff0c;是一个不可分割的工作&#xff08;程序执行&#xff09;单元。事务由事务开始与事务结束之间执行的全部数据库操作组成。 事务特性 原子性(Atomicity)一致性(Consistency)隔离性(…

Linux下 文件删除但是空间未被释放 或者 磁盘已满但找不到对应的大文件 的解决方案

Linux下文件删除但是空间未被释放的解决方案 前言1. 查看当前磁盘占用情况2. 模拟进程占用3. 执行rm -rf 命令删除文件4. 查看被删除但是未释放空间的文件5. 执行清空文件操作 前言 linux磁盘空间已满&#xff0c;手动rm -rf 删除了大文件之后&#xff0c;df -h 查看一下发现空…

操作系统第四章练习题

第一部分 教材习题&#xff08;P152&#xff09; 1、为什么要配置层次式存储器&#xff1f; 设置多个存储器能够使存储器两头的硬件能并行工作;采用多级存储系统,专门是Cache 技术,是减轻存储器带宽对系统性能影响的最佳结构方案;在微处置机内部设置各类缓冲存储器,减轻对存储…

【Android -- 面试】Android 面试题集锦(Java 基础)

Java 基础 1、Java 的类加载过程 jvm 将 .class 类文件信息加载到内存并解析成对应的 class 对象的过程&#xff0c; 注意&#xff1a;jvm 并不是一开始就把所有的类加载进内存中&#xff0c;只是在第一次遇到某个需要运行的类才会加载&#xff0c;并且只加载一次 主要分为三…

【ARMv8 SIMD和浮点指令编程】NEON 比较指令——比较的方方面面

比较指令是常见的一类指令,NEON 中当然也排除,下面涉及比较和测试位两类指令。 1 CMEQ (register) 按位比较相等(向量)。该指令将第一个源 SIMD&FP 寄存器中的每个向量元素与第二个源 SIMD&FP 寄存器中的相应向量元素进行比较,如果比较相等,则将目标 SIMD&…

基于Python+Django+mysql+html通讯录管理系统

基于PythonDjangomysqlhtml通讯录管理系统 一、系统介绍二、功能展示1.用户登陆2.用户注册3.密码修改4.查询5.添加6.修改7.删除 三、其它系统四、获取源码 一、系统介绍 该系统实现了 用户登陆、用户注册、密码修改、查询信息、添加信息&#xff0c;修改信息、删除信息 运行环…

vue2脚手架可视化小项目

vue2脚手架小项目 这个项目又数据可视化可以通过点击按钮修改数据&#xff0c;同时图形的内容也会随着变化这里面也又保存功能&#xff0c;搜索功能&#xff0c;添加功能用到的框架有vue2脚手架&#xff0c;语言有bootstrap&#xff0c;css&#xff0c;也用了echarts 下面会先…

从Web2.0走向Web3.0还有多远?

Web2.0时代给互联网带来了巨大的变革&#xff0c;让用户成为内容的创造者和共享者。然而&#xff0c;随着技术的不断发展和创新&#xff0c;我们正在逐渐迈向Web3.0时代&#xff0c;这将是一个更加去中心化、透明和安全的数字世界。那么&#xff0c;从Web2.0走向Web3.0还有多远…

202322读书笔记|《给你一个大抱抱:治愈系暖心绘本》——如果事与愿违,请相信一切自由安排

&#xff3b;TOC&#xff3d;(202322读书笔记&#xff5c;《给你一个大抱抱&#xff1a;治愈系暖心绘本》——如果事与愿违&#xff0c;请相信一切自由安排 作者白开水DAWAN&#xff0c;治愈系小说&#xff0c;画面明媚有趣轻松&#x1f92a;&#x1f92a;&#x1f618;&#…

learn C++ NO.10——string(3)

引言&#xff1a; 现在是北京时间2023年6月22日的早上8点。又是一年端午&#xff0c;时光如梭。这一年来发生的变化太多了&#xff0c;遥想去年此时&#xff0c;我还沉浸在被大学录取的喜悦中&#xff0c;转眼间大一就过去了。这里我也衷心的祝愿您和您的家人端午安康&#xf…

Triton教程 --- 自定义操作

Triton教程 — 自定义操作 Triton系列教程: 快速开始利用Triton部署你自己的模型Triton架构模型仓库存储代理模型设置优化动态批处理速率限制器模型管理 自定义操作 Triton 推理服务器部分支持允许自定义操作的建模框架。 自定义操作可以在构建时或启动时添加到 Triton&…