实验室:通过扩展黑名单绕过 Web shell 上传

最新推荐文章于 2025-11-20 11:16:44 发布
原创 最新推荐文章于 2025-11-20 11:16:44 发布 · 3.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

本文描述了一种针对Apache服务器的安全漏洞利用方法。通过上传伪装成.htaccess的文件,并设置特定的MIME类型,可以将任意自定义扩展名映射为可执行的PHP代码。在示例中,作者展示了如何通过修改上传请求,绕过服务器对.php文件的禁用,成功上传并执行.l33t扩展的文件,从而获取敏感信息。

前言:
服务器通常不会执行文件,除非它们已被配置为这样做。例如,在 Apache 服务器执行客户端请求的 PHP 文件之前,开发人员可能必须将以下指令添加到他们的/etc/apache2/apache2.conf文件中:

LoadModule php_module /usr/lib/apache2/modules/libphp.so
AddType application/x-httpd-php .php
  • 许多服务器还允许开发人员在各个目录中创建特殊的配置文件,以便覆盖或添加一个或多个全局设置。例如,Apache
    服务器将从一个名为(.htaccess如果存在)的文件中加载特定于目录的配置。

同样,开发人员可以使用web.config文件在 IIS 服务器上进行特定于目录的配置。这可能包括如下指令,在这种情况下允许将 JSON 文件提供给用户:

<staticContent>
    <mimeMap fileExtension=".json" mimeType="application/json" />
</staticContent>

Web 服务器在存在时使用这些类型的配置文件,但通常不允许您使用 HTTP 请求访问它们。但是您可能偶尔会发现无法阻止您上传自己的恶意配置文件的服务器,在这种情况下,即使您需要的文件扩展名被列入黑名单,您也可以欺骗服务器将任意自定义文件扩展名映射到可执行的 MIME 类型。

第一步:登录网站,上传文件e.php失败,网站禁止上传.php类型文件。
在这里插入图片描述
第二步:打开 Burp 的代理历史记录,设置过滤器,找到POST /my-account/avatar用于提交文件上传的请求发送到“重发器”。在响应中,请注意标头显示您正在与 Apache 服务器通信。
在这里插入图片描述
第三步:进行以下更改:
1.filename将参数 的值更改为.htaccess
2.Content-Type将标头 的值更改为text/plain.
3.将上传文件的内容替换为以下 Apache 指令:AddType application/x-httpd-php .l33t)
这会将任意扩展名 ( .l33t) 映射到可执行 MIME 类型application/x-httpd-php。由于服务器使用该mod_php模块,它已经知道如何处理这个问题。
在这里插入图片描述
第四步:复制请求到浏览器,找到请求并修改filename参数值,更改exploit.php为exploit.l33t。再次发送请求,发现文件上传成功。
在这里插入图片描述

第五步:复制到浏览器响应,切换到包含GET /files/avatars/<文件名>请求。观察响应中返回了 Carlos 的秘密。
1.首先将修改后的请求复制到浏览器
2.找到GET请求
在这里插入图片描述
在这里插入图片描述
将密码提交,实验完成!
文中有的地方可能讲的不对,还希望大佬多多保函,给予改正,万分感谢!

PortSwigger靶场(四)文件上传漏洞
weixin_52835927的博客
10-20 475
Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为asp、jsp和php。
PortSwigger 文件上传靶场解题思路
weixin_42451330的博客
11-15 1746
本文介绍PortSwigger靶场中文件上传漏洞解题思路,纯文本介绍,如有疑问请私聊。
实验室:通过混淆文件扩展上传 Web shell
Loser5的博客
03-20 3471
前言: 即使是最详尽的黑名单也可能被经典的混淆技术绕过。假设验证代码区分大小写并且无法识别它exploit.pHp实际上是一个.php文件。如果随后将文件扩展名映射到 MIME 类型的代码不区分大小写,则这种差异允许您将恶意 PHP 文件偷偷通过验证,最终可能由服务器执行。 还可以使用以下技术获得类似的结果: 提供多个扩展。根据用于解析文件名的算法,以下文件可能被解释为 PHP 文件或 JPG 图像:exploit.php.jpg 添加尾随字符。一些组件会去除或忽略尾随空格、点等:exploit.php.
实验室:通过 Content-Type 限制绕过 Web shell 上传
Loser5的博客
03-18 856
网站可能尝试验证文件上传的一种方法是检查此特定于输入的Content-Type标头是否与预期的 MIME 类型匹配。例如,如果服务器只需要图像文件,它可能只允许image/jpeg和之类的类型image/png。当此标头的值被服务器隐式信任时,可能会出现问题。如果不执行进一步的验证来检查文件的内容是否实际匹配假定的 MIME 类型,则可以使用 Burp Repeater 等工具轻松绕过这种防御。 第一步:登录进网站 第二步:上传指定文件 当网站只允许上传指定的文件格式时,我们上传其他格式文件就会被阻止。.
PortSwigger靶场之绕过内容类型限制上传 Web shell靶场通关秘籍
最新发布
m0_65361643的博客
11-20 421
摘要:该实验演示了基于Content-Type验证的文件上传漏洞。服务器仅通过检查用户可控的Content-Type头来验证文件类型,导致恶意PHP脚本可通过伪装成图片类型(如图片/jpeg)成功上传。实验步骤包括:1) 使用凭证登录;2) 构造PHP WebShell;3) 通过Burp拦截修改Content-Type;4) 上传并执行脚本读取敏感文件。漏洞核心在于单一维度的验证机制,防御建议应结合扩展名检查、文件内容检测等多重验证方式。
53.网络安全渗透测试—[文件上传篇3]—[扩展名黑白名单穷举-突破上传]
qwsn
08-07 2252
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、黑白名单的绕过 1、解题过程: 2、扩展名字典
portswigger_文件上传漏洞
(∪.∪ )...zzz的博客
05-13 1374
这里写自定义目录标题一、是啥1. 什么是文件上传漏洞2. 文件上传漏洞如何出现3. web服务器如何处理静态的文件请求二、类型1. 任意上传以部署webshelllab:上传webshell进行远程代码执行2. 文件类型验证存在缺陷lab:上传webshell 通过Content-Type 限制绕过3. 防止文件执行lab:上传webshell通过目录遍历4. 黑名单不足4.1 覆盖服务器配置lab: 通过黑名单之外的上传webshell——.htaccess4.2 混淆文件后缀lab5:文件后缀混淆来绕过
RCE:命令注入 过滤空格 远程代码执行 php://input 读取源代码
qq_69100706的博客
08-12 1168
命令注入是一种常见的技巧,用于实现远程代码执行(RCE)。命令注入发生在Web应用或服务接受用户输入并将其用于执行操作系统命令的场景中,如果用户输入未被妥善清理或验证,攻击者可以注入额外的命令,从而执行任意代码。
文件上传漏洞攻击与防范方法
热门推荐
m0_38103658的博客
08-30 4万+
文件上传漏洞攻击与防范方法 文件上传漏洞简介: 文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。 文件上传漏洞危害: 上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞 , 攻击者上传...
【应用层攻击手册】:靶机渗透中的Web攻击实战
本文全面介绍了Web攻击的基础知识、理论与技术、防御策略、实战攻击过程以及法律与伦理问题。首先阐述Web攻击的基本概念和分类,重点分析了SQL注入和跨站脚本攻击(XSS)的原理与分类。接着,探讨了Web攻击工具和...
[NSSCTF 2nd]php签到 详细题解
weixin_73904941的博客
10-28 964
所以当传入例如 1.php. 的文件时,结果就是空字符串,因为最后一个点后面没有数据,可以利用这一点绕过 题目环境是Apache/2.4.25 (Debian) 在Linux系统下1.php.是一个合法的文件名,系统不会像windows系统自动把最后的点去掉然后把文件当成php文件执行,虽然可以绕过waf()函数,但是不会被当作php文件执行,所以点绕过在这里是不可行的 如果把1.php. 换成 1.php/. 也可以绕过waf()函数,然后经过file_put_contents()函数会被解析
[NSSCTF 2nd] 2023 web方向和misc方向题解 wp
Jay17的博客
08-29 2582
[NSSCTF 2nd] 2023 web方向和misc方向题解 wp 全
PHP的两个特性导致waf绕过注入(有趣的知识点)
Exploit的小站~
07-04 8218
1、HPP HTTP参数污染 HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如: user.php?id=111&id=222 如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。 2、一个CTF题目 http://drops.wooyun.org/tips/
php 反序列注入,CTF中PHP反序列化和命令注入的一次简单利用
weixin_31796803的博客
04-07 824
代码来自第六届防灾科技学院网络安全技能大赛,侵删。php目标获取Linux服务器根目录下的flagpython代码/*home.php*/class home{private $method;private $args;function __construct($method, $args) {$this->method = $method;$this->args = $args;}f...
文件上传
m0_63166189的博客
06-22 1382
其中’cmd‘是可以自行更改这只是其中一种一句话木马,其余详见csdn-ctf-php一句话木马集合直接将一句话木马文件上传,在使用中国蚁剑即可 显然此处只允许上传jpg、png、gif后缀文件那么就将所写的一句话木马文件后缀改为以上三种之一,如jpg,此处需搭配burpsuite,在上传的时候使用burpsuite进行抓包,注意所抓包为前端向后端请求的包, 从而更改所上传的文件后缀改为php,后续就使用蚁剑即可ps:此处因为是前端验证所以所上传文件只要通过前端验证即可首先理解何为MIME?MIME:
include waf.php,一道ctf题的总结
weixin_34377697的博客
03-10 1034
周末偶然看到学弟们在群里发的一道web题目,心血来潮决定做做,还是学到点东西,做个记录,题目地址。0x01Git源代码泄露该站点存在git源代码泄露,通过githack直接跑出代码文件。关注点有三个文件,一个是index2.php,一个是class.php,一个是waf.php,贴下关键代码。index.php12345678910111213141516171819202122232425262...
文件上传绕过 web shell
2302_78011926的博客
08-02 608
:$DATA 表示文件的默认数据流,在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当 成文件流处理,上传时将一个有害文件的文件名改为 evil.php::$DATA。非法用户可以上传的恶意文件控制整个网站,甚至是控制服务器,这个恶意脚本文件,又被称为 webshell上传 webshell 后门很方便地查看服务器信息,查看目录,执行系统命令等;文件上传漏洞是指由于程序员再开发时,未对用户上传的文件进行严格的验证和过滤,而导致用户可以 上传可执行的动态脚本文件。
绕过content-type检测文件类型上传webshell
→_→
08-22 3869
声明:以下内容均来自“实验吧”免费公益渗透平台,该平台至今仍旧在维护,估计~~,为此把以前保留的笔记拿来分享下。 [实验目的] 1) 理解绕过Content-Type检测文件类型上传的原理 2) 学习绕过Content-Type检测文件类型上传的过程 [实验原理] 当浏览器在上传文件到服务器的时候,服务器对所上传文件的Content-Type类型进行检测,如果是白名单允许的,则可以正常上传,否则上传失败。 绕过Content-Type文件类型检测 ,就是用B...
buuctfupload-labs通关
03-17
### 关于 NULL 的本质 NULL 的本质可以被理解为一种特殊的指针值,其核心在于它并不表示任何有效的内存地址。具体来说,NULL 被定义为 `(void *)0` 或者简单的 `0`,这实际上是一个特殊的整数值,在 C 和 C++ 中用来表示空指针[^1]。 在计算机体系结构中,`0x00000000` 通常被认为是一个非法或者保留的内存地址,因此将指针赋值为 NULL 实际上是为了表明该指针当前不指向任何有效对象或内存区域。需要注意的是,尽管 NULL 的值通常是零,但它并不是作为普通的整数零来处理,而是一种特定的标记用于指示“无指向”。 关于 BUU CTF 的 Upload-Labs: Upload-Labs 是一个经典的文件上传漏洞学习平台,主要目的是让参与者通过解决不同级别的挑战来掌握常见的 Web 安全问题以及如何利用这些漏洞完成攻击模拟。以下是针对此实验室的一些通用解题思路和技巧: #### 文件扩展绕过 许多服务器端脚本会基于白名单/黑名单机制过滤掉危险类型的文件(比如 `.php`, `.jsp`)。然而如果实现不当,则可能存在多种方式去规避这种检测逻辑。例如尝试提交带有双扩展名如 `shell.php.jpg` 或者使用 Unicode 编码混淆真实意图。 #### MIME 类型伪造 除了检查文件后缀之外, 应用程序还可能验证上传数据的实际 Content-Type 是否匹配预期格式 (image/jpeg 等) 。但是一些服务并未严格校验客户端声明的内容类型与实际二进制流之间的一致性,从而允许恶意用户发送看似合法却隐藏着可执行代码的数据包。 #### 零宽字符注入 有时开发者会在保存之前对原始输入做简单替换操作(删除某些特殊符号),但如果忽略了不可见字符的影响就可能导致路径拼接错误进而触发本地包含等问题。可以通过附加一些非打印 ASCII 字符串到目标资源名称上来测试是否存在此类缺陷。 ```bash curl --form "file=@evil%EF%BC%8Ejpg" http://example.com/upload ``` 以上命令演示了怎样借助 URL 百分号编码技术嵌入一个几乎看不见的小圆点替代标准句号达到欺骗目的的效果。 #### 后门植入分析 部分题目可能会要求参赛选手思考更深层次的安全隐患——即使成功突破防御措施并将自定义脚本放置到了远程主机目录下也未必能够立即获得完全控制权因为还有额外防护层有待克服比如说PHP open_basedir限制等等情况都需要单独考虑解决方案。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值