CTFHUB-技能树-Web题-文件上传(前端验证—MIME绕过、00截断、00截断-双写后缀)

已于 2024-05-09 21:12:52 修改
阅读量3.4k 收藏 49
点赞数 66
分类专栏: CTFHUB解题思路 文章标签: 前端
于 2024-04-16 21:45:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Static______/article/details/137840987
版权
文章讲述了在Web开发中,前端验证如何被MIME绕过,包括00截断和双写后缀的技巧,展示了通过修改Content-Type、利用C语言解析特性以及绕过黑名单策略来上传恶意文件的过程。通过实例解析和工具使用,详细展示了攻击者如何利用这些漏洞获取控制权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CTFHUB-技能树-Web题-文件上传(前端验证—MIME绕过、00截断、00截断-双写后缀)

文章目录

前端验证—MIME绕过
有关MIME

web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类

MIME的作用

使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。

简单来说就是一种校验机制,当文件进行上传的时候对文件的Content-Type进行校验,如果是白名单中所允许的类型则能够成功上传,如果不是则无法上传。

解题时有很多种思路

方法一

直接上传木马文件,把mime类型改为前端可验证的

方法二

也就是直接传入前端可验证文件,抓包修改为PHP脚本文件

题目解析

既然是Content-Type验证,就需要进行抓包

依旧上传php一句话木马文件,并抓包

这里,修改Content-Type字段的值为image/jpeg(也可以是别类型)

在这里插入图片描述

放包,发现上传成功
在这里插入图片描述

访问一下,发现执行成功
在这里插入图片描述

用蚁剑进行连接,寻找flag即可

在这里插入图片描述

html中发现flag

在这里插入图片描述

MIME绕过—00截断
关于00截断

截断原理:
0x00是字符串的结束标识符,攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断,而后面的内容又可以帮助我们绕过检测。
00截断的限制条件:
PHP<5.3.29,且GPC关闭

参考链接:http://www.admintony.com/%E5%85%B3%E4%BA%8E%E4%B8%8A%E4%BC%A0%E4%B8%AD%E7%9A%8400%E6%88%AA%E6%96%AD%E5%88%86%E6%9E%90.html
00截断有限制,php版本得低于5.3,并且GPC得关闭,一般在url上。
两种方法,%00和0x00,后台读取是遇到%00就会停止。
举个例子,url中输入的是upload/post.php%00.jpg,那么后台读取到是upload/post.php,就实现了绕后目的。
————————————————
参考链接:https://blog.youkuaiyun.com/m0_52432374/article/details/113850458

00截断简单来说,就是由于php解释器是由C语言编写的,所以遵循C语言解析文件时遇到ascll码0时停止解析,而%00表示ascll码中的0,所以php解释器在解析文件时遇到%00就会默认文件名已经解析结束,所以我们可以利用这一原理进行上传。

题目解析

这里直接上传php一句话木马文件,不可行,显示文件类型不匹配

在这里插入图片描述

查看源代码发现,设置了白名单

在这里插入图片描述

根据提示,我们使用00截断进行绕过。

首先使用bp抓包

我们找到文件名,在文件名后面,在POST请求后面,都加上我们的截断(让他后面的代码不在执行。),1.php%00;.jpg

在这里插入图片描述

放包,上传成功

在这里插入图片描述

虽然这次页面没有提示我们的文件存放在哪里,但是根据之前的题目。我们可以判断出我们上传的文件摆放在upload目录下面。我们直接访问/upload/1.php,发现代码执行成功

在这里插入图片描述

然后我们使用蚁剑进行连接一句话木马,寻找flag

在这里插入图片描述

MIME绕过—00截断-双写后缀
关于双写

双写后缀绕过,这里适用于前后端都对文件的扩展名做了限制。我们可以通过双写文件的扩展名,达到绕过的目的。例如:xxx.php=>xxx.pphphp.

用于只将文件后缀名,例如"php"字符串过滤的场合; 
例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】,那么过滤了第一个"php"字符串"后,开头的'p'和结尾的'hp'就组合又形成了【php】。
题目解析

先规矩的上传一个php文件,发现上传成功

在这里插入图片描述

但文件后缀名被过滤了(原先我的文件名字是1.php)

查看源代码,发现使用了黑名单机制

在这里插入图片描述

如果是文件名被过滤,我们就可以直接利用双写来绕过。我们回到我们的文件,将后缀进行两次写入,使用双写后缀绕过。

两种方法:

在上传前,将后缀名改为pphphp

在上传时,用bp抓包,将filename文件名改为1.pphphp

注意,双写一定要在php里面在写一个php,不能两个php连着写,不然两个php都会被识别,两个都会被过滤掉

这里使用bp抓包的方法

将filename文件名改为1.pphphp

在这里插入图片描述

放包,上传成功

在这里插入图片描述

访问,发现代码执行

在这里插入图片描述

使用蚁剑连接,寻找flag

在这里插入图片描述
在这里插入图片描述

CTFHub技能树 Web-文件上传 详解
weixin_45808483的博客
11-15 3094
验证 启动环境 我们上传一句话木马 <?php @eval($_POST['shell']);?> 提示了相对路径, 我们直接使用蚁剑连接。 找到flag。 前端验证 上传php文件,前端校验不允许上传php文件 审计代码,只允许上传图片类型 我们先将后缀改为 .jpg 上传成功 再通过burp抓包,修改filename="1.php"和Content-Type: php 发送数据包,页面显示上传成功 使用蚁剑连接 成...
CTFHUB-技能树-WEB通关
Alita_lxz的博客
11-11 7862
Web 目来自ctfhub技能树web部分 Web前置技能 操作系统 数据库 HTTP协议 请求方式 HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。 ​ 1.OPTIONS   返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性,如获取当前URL所支持的方法。若请求成功,则它会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET,POST”。  2.HEAD   向服务
CTFHUB-技能树-Web-文件上传前端验证—文件头检查)
Static______的博客
04-17 1511
由此可见,只要是相同类型的文件,他的文件头就是一样的,这样代表了这个文件是属于什么类型,既然本用到的是文件头检查,那我们制作一个图片马,将我们的一句话代码放入图片里面然后进行上传。我们先创造一个名为1.png的图片,然后一个名为1.php的一句话代码,把他们放到同一目录下,用cmd生成一个名为2.php的图片马。右侧开头%PNG就是这个文件的文件头,这也代表了这个文件是一个png文件,打开一个jpg文件。简单来说,就是每个文件的最开头部分,就是文件头,他代表了这个文件的是属于什么类型,例如。
CTFHub技能树-文件上传
最新发布
star3119391396的博客
04-23 909
● 一般来说,配置文件的作用范围都是全局的,但Apache提供了一种很方便的、可作用于当前目录及其子目录的配置文件——.htaccess(分布式配置文件),● 提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。● 简单来说,就是我上传了一个.htaccess文件到服务器,那么服务器之后就会将特定格式的文件以php格式解析。根据前端提示,发现上传类型限制成了jpg,png,gif文件,并且如果文件类型被允许,构造目标路径(
CTFHUB-技能树-Web-文件上传(无验证,JS前端验证前端验证
Static______的博客
04-15 1925
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。】后,弹出的【另存为】对话框,在【文件名】一栏中输入【.htaccess】,【保存类型】选择【所有文件】,然后选择要保存的路径,单击【保存】按钮!上传后显示相对路径,访问此路径,发现可以访问,且木马执行成功。此时,再上传一句话木马,并把文件改为png格式。
CTFHub | 前端验证
尼泊罗河伯的博客
02-25 2194
前端验证是通过对客户端输入数据的合法性进行检查来确保数据是有效且安全的。通常,它会通过一系列简单的规则,如长度检查、格式检查、正则表达式匹配等,验证用户输入是否符合要求,以提高应用程序的安全性和可用性。
CTFHUB——文件上传前端验证
wuuconix's blog
09-01 1128
网页源码 <body> <h1>CTFHub 文件上传 - js前端验证</h1> <form action="" method="post" enctype="multipart/form-data" onsubmit="return checkfilesuffix()"> <label for="file">Filename:</label> <input type="file"
CTFHUB技能树文件上传——前端验证
weixin_73049307的博客
10-21 636
(小插曲:本来我想着直接删除onsubmit处的代码的,但是删了之后还是会触发checkfilesuffix()函数对上传的文件进行验证)可以看出对上传的文件做了限制,只能上传.jpg、.png、.gif文件。看到提示是js前端验证。可以看到文件上传成功。
CtfHub-wp(web
01-23
文件上传漏洞允许我们上传PHP一句话木马,通过前端验证绕过(例如在Firefox中禁用前端代码),或者利用`.htaccess`文件实现文件解析漏洞,将木马文件以非正常扩展名上传。 `.htaccess`文件是Apache服务器上的一个...
CTFHub-Web-文件上传
qq_54037445的博客
11-29 3381
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能;前端验证,只能上传图片中列出的类型将文件名后缀含有的这些全部替换为空。
ctfhub-web-文件上传
m0_52484587的博客
08-28 1011
● 一般来说,配置文件的作用范围都是全局的,但Apache提供了一种很方便的、可作用于当前目录及其子目录的配置文件——.htaccess(分布式配置文件),● 提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。● 是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。只能上传.jpg,.png,.gif三种格式的文件,前端上传jpg,修改数据包进行上传。
CTFHUB技能树文件上传——00截断
weixin_73049307的博客
10-23 863
在upload/后面加上0500jieduan.php%00。直接指明是00截断方法绕过
CTFHub | 00截断
尼泊罗河伯的博客
04-08 2393
分析网页源代码可以看到,这段代码检查是否有提交的文件,如果用户点击了 Submit 按钮,那么将获取到上传的文件名,将用户上传的文件名与白名单中的文件(jpg、png、gif)进行比较,并生一个相同扩展名的随机文件名称。
CTFHUB文件上传----前端验证
Y4tacker的博客
07-23 9401
既然是js前端验证那么直接把js禁用就行了,少废话 上传成功去蚁剑或者菜刀等 配置连接 在flag.php文件中得到flag
CTFHub 文件上传 - js前端验证
m0_52432374的博客
02-18 546
CTFHub 文件上传 - js前端验证 直接上传一句话木马yjh.php,发现结果返回很快(js前端验证标志) 解方法: 看到js前端验证,想到 1.查看源代码发现允许jpg文件上传 2.先把一句话木马yjh.php改为yjh.php.jpg 3.打开代理,用bs抓包,得到 此时荧光部分改为yjh.php 4.再点击forward,显示文件上传成功,得到文件上传路径5.构造payload用蚁剑连接: http://challenge-5788ac737f2b5b31.sandbox.ctfhub.c
CTFHub技能树 Web-文件上传详解
千寻的博客
11-21 5540
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问,有问的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 ———————————————— 版权声明:本文为优快云博主「Fasthand_」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:ht
ctfhub-前端验证,.htaccess,MIME绕过,文件头检查,00截断后缀
weixin_55702959的博客
02-02 1487
目录 文件上传-前端验证 文件上传-.htaccess 文件上传-MIME绕过 文件上传-文件头检查 文件上传-00截断 文件上传-后缀 eval执行 文件上传-前端验证 上传文件时,客户端的javascript会对文件的类型进行一个校验,只允许 “.jpg” “.png” ".gif"的文件上传,于是关掉他 about:config 一句木马 <?php @eval($_POST['123']); ?> 命名为1.php之后上传文件,用蚁剑打...
CTFHUB-web-文件上传
2301_79783285的博客
12-23 1980
htaccess是一个纯文本文件,存放着Apache服务器配置相关的指令。.htaccess主要的作用有:URL重、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。.htaccess的用途范围主要针对当前目录。注意:.htaccess文件(特别注意这里文件名不可随意更改,因为 .htaccess 是配置文件)博主这里帮大家把坑踩了,蚁剑死活连不上的原因。
CTFHub技能树web(持续更新)--文件上传--00截断
jiuyongpinyin的博客
12-01 544
00截断 首先我是参考了大佬的链接才知道这道需要在url处也做截断,下面我们使用bp抓包,然后开始构造: 上传成功后我说一个我自己浪费了时间的地方,我以为这道使用蚁剑或者菜刀链接是用我们截断前面的url,但是其实不是,还是要用这个路径: http://challenge-cd509e2ab0730fcc.sandbox.ctfhub.com:10080/upload/hack.php 接下来就获取flag: 注:萌新第一次write up,不足之处还请见谅,不对之处欢迎批评指正。 ...
00截断
03-19
### 什么是00截断及其安全漏洞 #### 基本概念 00截断是一种常见的Web安全漏洞利用技术,主要发生在文件上传过程中。当服务器解析文件名或文件内容时遇到`NULL`字符(即`\x00`),可能会错误地将其视为字符串结束标志,从而忽略后续的内容[^3]。 #### POST方式下的00截断绕过 在POST请求中实现00截断绕过的原理在于,在提交的文件名字段中插入一个`%00`字符。由于某些编程语言或框架会将此字符解释为字符串终止符,因此服务器可能只处理到该字符之前的部分,而忽略了实际的扩展名或其他验证逻辑。例如,如果原始文件名为`test.php.jpg`并附加了`%00`,则最终保存的文件可能是`test.php`,允许执行恶意脚本[^1]。 以下是使用Burp Suite工具进行数据抓包与改包的一个简单示例: ```http POST /upload HTTP/1.1 Host: example.com Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="file"; filename="test.php.jpg%00" Content-Type: image/jpeg <?php echo shell_exec($_GET['cmd']); ?> ------WebKitFormBoundary7MA4YWxkTrZu0gW-- ``` #### GET方式下的00截断绕过 对于GET请求中的00截断,则通常涉及URL参数传递的情况。攻击者可以通过构造特殊的请求路径或者查询字符串来嵌入`%00`字符,试图欺骗应用程序接受非法输入作为合法资源访问的一部分[^2]。 同样以Burp为例展示如何操作此类场景: ```http GET http://example.com/upload?filename=test.php.jpg%00 HTTP/1.1 Host: example.com ``` 这里假设服务端未正确过滤掉百分号编码形式的零字节(`%00`),那么即使前端做了初步校验也可能失败。 #### 防御措施建议 为了防止因00截断引发的安全隐患,可以从以下几个方面着手加强保护机制: - **严格检查上传文件的名字**:移除任何不必要的特殊字符包括但不限于空格、反斜杠以及最重要的null byte(\x00)[^1]. - **限定可接收的MIME类型** 和 扩展列表 :仅允许特定类型的文档被上载至服务器目录下 [^2]. - 使用专门设计用于抵御各种注入威胁的技术手段比如白名单匹配算法而非黑名单排除法;另外考虑部署额外层如云防火墙(Cloud WAF) 来拦截可疑流量模式 .
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

python炒粉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值