文件上传漏洞之——二次渲染逻辑性漏洞绕过

最新推荐文章于 2025-09-10 10:01:41 发布

原创最新推荐文章于 2025-09-10 10:01:41 发布 · 3k 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#安全漏洞

渗透测试(web渗透) 专栏收录该内容

39 篇文章

订阅专栏

探讨了二次渲染逻辑中的安全漏洞，详细说明了通过条件竞争进行爆破上传的复现步骤，包括上传图片马并利用特定参数进行攻击。

漏洞形成
二次渲染的缘分逻辑存在漏洞，先将文件上传，之后再判断，符合就保存，不符合删除，可利用条件竞争来进行爆破上传
复现
1.上传一个图片马，抓包，访问图片马，抓包，发送到inturde添加?a=1爆破点
在这里插入图片描述

2.运行一万次，可看到有部分访问成功

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

bbq,

关注关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
5
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

WEB漏洞——文件上传

qq_63594215的博客

04-09

2167

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类，当该扩展名文件被访问的时候，浏览器会自动使用知道应用程序来打开。多用于知道一些客户端自定义的文件名，以及一些媒体文件打开方式。网站允许上传任意文件，然后检查上传文件是否包含Webshell，如果包含删除文件。网站允许上传任意文件，但是如果不是指定类型，那么使用unlink删除文件。

DVWA靶场通过——文件上传漏洞

sucker的博客

11-27

2378

文件上传漏洞发生在Web应用程序允许用户通过表单上传文件时，如果文件上传机制没有进行严格的验证和限制，攻击者可以上传恶意文件。通过严格的规则来控制上传的文件类型，允许的扩展名可以是特定的静态文件类型（如 .jpg、.png、.txt 等），而拒绝其他动态文件类型（如 .php、.asp、.jsp 等）。1，high难度下对文件上传的限制与过滤更加严格，还是挂上burp suite的proxy，一句话木马文件命名为1.png，上传木马文件并在burp suite截获文件。确保上传的文件类型是预期的类型。

5 条评论您还未登录，请先登录后发表或查看评论

【文件上传绕过】--二次渲染

nareku的博客

04-07

8955

二次渲染原理在我们上传文件后，网站会对图片进行二次处理（格式、尺寸，保存，删除要求等），服务器会把里面的内容进行替换更新，处理完成后，根据我们原有的图片生成一个新的图片（标准化）并放到网站对应的标签进行显示。绕过方法 1.配合条件竞争漏洞 ...

【漏洞靶场】文件上传后端检测二次渲染绕过--upload-labs

m0_46344990的博客

05-06

1998

一、漏洞描述在upload-labs第十七关使用了了二次渲染的方法对图片作了处理，将上传的png，jpg，gif图片进行尺寸等操作做成新图片。可以通过不同文件格式的特性对图片做处理，让服务端不改变插入语句的位置，然后再用文件包含的漏洞利用。这里详细对gif格式做处理。二、漏洞发现先在本地写php脚本若上传成功，且知道上传后文件在网站保存的路径，可通过网页访问获得服务器配置信息，命名为z.php。但是在这里不能用php文件直接上传，需要制作图片马来绕过服务器检测文件二进制头信息。有两种方法，但

ctfshow-web-文件上传漏洞（二）

热门推荐

weixin_45588247的博客

07-28

1万+

copy a.png /b + a.php /a 1.png: http://www.xue51.com/soft/47175.html =================================================== 1. png图片组成： png图片由3个以上的数据块组成。 PNG定义了两种类型的数据块，一种是称为关键数据块(critical chunk)，这是标准的数据块，另一种叫做辅助数据块(ancillary chunks)，这是可选的数据块。关键数据块定义

WEB漏洞-文件上传之内容逻辑数组绕过

xhscxj的博客

01-21

904

文件上传常见验证：后缀名：类型，文件头等后缀名：黑名单，白名单文件类型：MIME信息文件头：内容头信息

文件上传漏洞总结

LiBai__的博客

06-02

1231

黑名单，顾名思义只要出现在名单之中的后缀，都不能上传成功，这就是黑名单的过滤方式。在upload-labs中以上便是一个常见的黑名单写法，下面是在用if语句来验证获得的文件后缀是否在数组里。这种过滤方式的弊端也很明显。如果过滤方式写的不严谨，内容不齐全。根据他的规则，只要没出现在黑名单中的后缀文件都可以上传成功。我们可以借助一些特殊的方式或者后缀。例如解析漏洞、特殊解析后缀php5(达成一些条件，也能解析成php文件)否则，只能利用一些特殊的绕过方法。例如%00截断，::$DATA。

文件上传——常规bypass绕waf

Zlirving_的博客

06-13

1356

文件上传是常用getshell的路径之一，因为可以通过上传一句话木马实现控制主机这里从uploads-lab靶场的实验下，用文字总结并讲述一些常用的上传及bypass。顺便拓展一丢丢东西这里借用uploads-lab的图片一用首先针对前端 (也就是客户端) 的绕过 js绕过在F12下，在js添加文件后缀或删除方法抓包修改文件后缀绕过可以将要上传的php文件改后缀名为jpg|png|gif上传，绕过js验证后，再用burp抓包修改文件后缀首先针对后端 (也就是服务端) 的绕过

文件上传漏洞之upload-labs打靶笔记

m0_60716947的博客

05-07

1649

（一）文件上传漏洞（1）文件上传漏洞的定义 文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的，“文件上传” 本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。（2）webshell 的定义 WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称之为一种网页后门。攻击者在入侵了一个网站后，通常会将这些asp或

文件上传白名单绕过（图片马 - 图片二次渲染绕过）

lza20001103的博客

05-27

828

文件上传白名单绕过（图片马 - 图片二次渲染绕过）

文件上传内容逻辑数组绕过

在下小黄的博客

06-29

768

大家好！我是小黄，很高兴又跟大家见面啦！拒绝水文，从我做起！！！！今天更新的是： 文件上传内容逻辑数组绕过微信公众号回复：【靶机】，即可获取本文全部涉及到的工具。创建时间：2021年6月29日软件： MindMaster Pro、kali 文件上传内容逻辑数组绕过前言：思维导图中的内容及其他、解析漏洞、CVE漏洞等一、图片马：图片马：图片一句话木马制作方法：第14关：上传图片马进行绕过制作图片马：二、文件头检测：图像文件信息判断：第15题第16题：php内置函数获取图片类型

文件上传- 二次渲染

feiwujiushiwo的博客

08-13

350

文件上传后被渲染，与源文件不同

文件上传常用绕过方式

weixin_43077878的博客

04-02

6888

1.前端。

图片码二次渲染绕过

m0_59049258的博客

09-10

1134

以upload-labs靶场第十七关为例。

文件上传--Upload-labs--Pass16--图片二次渲染

2302_79800344的博客

02-19

755

图片二次渲染，开始上难度了。

不安全文件下载与上传之——上传漏洞之——二次渲染绕过

温柔小薛的博客

04-07

1060

上传漏洞之二次渲染绕过二次渲染与检测大概流程获得上传文件的基本信息，文件名，类型，大小，临时文件路径 // 获得上传文件的扩展名 //判断文件后缀与类型，合法才进行上传操作 //使用上传的图片生成新的图片 $im = imagecreatefromjpeg($target_path); //给新图片指定文件名 //显示二次渲染后的图片（使用用户上传图片生成的新图片） ...

文件上传二次渲染&c32对法

qq_58463518的博客

03-03

214

工具项目地址 GitHub - Yang1k/upload-labs-Pass16 原图片upload-labs-Pass16-master\jpg\demo 此处发现phpinfo();上传通过burp进行查看，phpinfo（）可以执行然后图片保存本地与原图片对比右边的图片为上传后图片，只需要按tab+ctrl 进行来回替换发现有变动的位置及可插入后门<?=eval($_POST[x]);?> 然后通过burp post方法进行请求 ...

原理：文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。服务器解析漏洞 apache:绕过程序检测：当碰到不认识的扩展名时，将会从后向前解析，直到碰到认识的扩展名为止，如果都不认识，则会暴露其源代码。 iis：当建*.asa ，*.asp，*.cer格式的文件夹时，其目录下的任何扩展名的文件都将被IIS当做asp文件进行解析。 nginx：任意文件名后边加xxx.php，就会被当成php文件解析。绕过方法如何判断是一个黑名单还是白名单：上传一个不存在的后缀名，如果上传成功则表示是黑名单检测，如果上传失败则表示是白名单检测。 1.黑名单 a.后缀名不完整 .php5 .phtml等 b. .htacess配置文件（先把php文件改成png格式上传绕过验证，在上传一个.htaccess()文件，把png 图片当php解析） c.大小写，双写 d.空格，点，空格点 e.特殊字符::$DATA ：不让他检测后缀名。 2.白名单:%00截断1.php%00.jpg,图片马,网站的脚本类型解析图片 3其他：/.绕过，直接加/.，数组加/. 条件竞争（几率很小）二次渲染：原理在我们上传文件后，网站会对图片进行二次处理（格式、尺寸要求等），服务器会把里面的内容进行替换更新，处理完成后，根据我们原有的图片生成一个新的图片并放到网站对应的标签进行显示。给你一个站怎么测： 1.先找到可以文件上传的地方，比如头像，附件啊等等 2.先上传一个正常图片，看功能点是否可以正常使用 3.上传正常图片（抓包修改文件后缀名为对应网站脚本语言）可以检测出网站是否对上传进行了文件后缀名的监测。 4.成功·--->没有 5.失败——>有检测，接着判断白名单or黑名单防御： 1. 对上传文件进行类型和大小验证。 2. 避免直接将文件上传到 Web 目录下。 3. 检查文件名和内容。 4. 重新命名上传的文件。 5. 禁止执行上传的脚本。如何绕过WAF 1、添加垃圾数据 2、多加一个filename 3、交换name和filename的顺序等 H5 条件竞争型的文件上传漏洞查看源码可发现该文件先上传后检查；因此在上传和删除之间存在一个极短的时间差，如果我们能利用这极短的时间差就能导致条件竞争，也就是一直发包让它来不及检查和删除，然后在这期间访问上传的文件再创建一个新文件(它不会检查新生成的文件)，之后我们连接这个新文件。功能是自己创建文件的一句话木马文件: <?php $f=fopen("newnew.php","w"); fputs($f,'<?php @eval($_POST['123']);?>'); ?> 上传抓包在发送到intruder，进行多次发包，然后访问该文件，抓包，发送到intruder，使不断访问 test.php文件，照成文件删除和访问条件竞争，从来产生新文件

03-27

<think>嗯，用户让我解释文件上传漏洞的原理和相关绕过方法，还有如何测试和防御。首先，我需要确保自己理解所有提到的内容，比如服务器解析漏洞中的Apache、IIS、Nginx的不同处理方式。这部分可能需要进一步确认是否正确，例如Apache是否真的会从后向前解析扩展名，而IIS的文件夹解析漏洞是否确实存在。接下来是绕过方法，用户提到黑名单和白名单的检测方式，需要判断用户上传不存在的后缀名来判断属于哪种名单。这里可能需要举例说明，比如上传一个.test后缀，如果成功则是黑名单，失败则是白名单。然后黑名单绕过的具体方法，如不完整后缀、.htaccess文件、大小写、特殊字符等，这些都需要逐一解释清楚。白名单绕过中的%00截断，需要说明这是利用旧版PHP的漏洞，可能现在不太适用，但用户可能想知道历史方法。图片马和二次渲染的概念需要解释清楚，特别是二次渲染如何覆盖原本的恶意代码，导致失效，这时候可能需要使用GIF或手动调整来保留恶意代码。测试步骤部分，用户提到的流程需要结构清晰，先找上传点，传正常图片，再尝试修改后缀。成功与否的判断，进而区分检测类型。防御措施需要强调综合方法，如类型验证、重命名、禁止执行等。绕过WAF的部分，用户提到添加垃圾数据、多个filename字段、交换顺序等，可能需要解释这些方法如何干扰WAF的检测逻辑。条件竞争漏洞要说明时间差的重要性，以及如何利用多次发包和访问来创建持久化的文件。需要注意用户的描述中有一些技术细节是否正确，比如Apache的解析漏洞是否准确，或者IIS的文件夹解析是否存在。例如，Apache的解析漏洞通常是指如果文件名为test.php.xxx，Apache可能会解析为php，但实际行为可能因配置而异。需要确认这些点，避免误导用户。另外，二次渲染的具体例子，比如处理图片时，服务器可能重新生成图片，覆盖恶意代码，所以需要找到未被处理的部分插入代码。可能需要更详细的步骤说明。在防御部分，除了提到的措施，可能还需要补充其他方法，如使用安全的文件存储服务，设置文件权限，定期扫描等。最后，条件竞争的例子中，用户提供的PHP代码是否正确，比如是否应该使用单引号或双引号，以及如何构造Payload。同时，解释如何利用Burp Suite的Intruder进行多次上传和访问请求，以制造竞争条件。需要确保整个回答逻辑清晰，分步骤解释，帮助用户从原理到实践全面理解文件上传漏洞，同时注意技术细节的准确性，避免错误信息。可能还需要提醒用户这些方法仅用于学习目的，切勿用于非法活动。</think>### 文件上传漏洞详解 --- #### **一、漏洞原理** 文件上传漏洞是指攻击者通过上传可执行脚本文件（如PHP、ASP），利用服务器解析特性或检测机制缺陷，使恶意文件在服务器端被执行，从而获取系统控制权。 --- #### **二、服务器解析漏洞** 1. **Apache解析特性** - 若扩展名不被识别（如`.test`），Apache会**从后向前解析**，直到遇到合法扩展名。 - 示例：上传文件`test.php.abc` → 若`.abc`未定义，Apache可能解析为PHP文件。 2. **IIS文件夹解析漏洞** - 创建`*.asp`、`*.asa`等格式的文件夹时，其目录下**所有文件**会被IIS当作ASP脚本解析。 - 示例：文件夹名为`upload.asp`，内部文件`1.jpg`会被解析为ASP。 3. **Nginx解析漏洞** - 若配置不当，文件名后添加`.php`（如`test.jpg/xxx.php`）可能被Nginx当作PHP解析。 --- #### **三、检测绕过方法** ##### **1. 判断黑名单/白名单** - **测试方法**：上传一个不存在的后缀（如`.test`）。 - **上传成功** → 黑名单（未禁止未知后缀）。 - **上传失败** → 白名单（仅允许特定后缀）。 ##### **2. 黑名单绕过** - **a. 不完整后缀** 使用`.php5`、`.phtml`等冷门PHP变种后缀。 - **b. .htaccess攻击** 1. 上传`.htaccess`文件，内容： ```apache AddType application/x-httpd-php .png ``` 2. 上传PNG图片马（实际为PHP代码），服务器将解析为PHP。 - **c. 大小写/双写绕过** - 大小写：`Test.PhP` - 双写：`test.pphphp` → 过滤后变为`test.php`。 - **d. 特殊符号** - 空格：`test.php ` - 点：`test.php.` - `::$DATA`（Windows特性）：`test.php::$DATA` → 文件实际保存为`test.php`。 ##### **3. 白名单绕过** - **a. %00截断** 适用于旧版本PHP，利用空字符截断路径： ```http POST /upload.php HTTP/1.1 Content-Disposition: form-data; name="file"; filename="test.php%00.jpg" ``` → 最终保存为`test.php`。 - **b. 图片马+解析漏洞** 1. 制作包含PHP代码的图片（如`exiftool -Comment="<?php system($_GET['cmd']);?>" image.jpg`）。 2. 结合服务器解析漏洞（如Apache解析特性）执行代码。 - **c. 二次渲染绕过** - **问题**：服务器对图片进行格式转换（如压缩），可能覆盖恶意代码。 - **绕过**： - **GIF格式**：在文件尾部追加代码（GIF89a允许注释区）。 - **手动调整**：生成二次渲染后的图片，对比差异并插入代码到未覆盖区域。 --- #### **四、实战测试流程** 1. **定位上传点** - 头像、附件、富文本编辑器等位置。 2. **上传正常图片** - 验证功能是否正常，确认无基础校验。 3. **修改后缀测试** - 抓包修改文件名为`test.php`，若上传失败则存在检测机制。 4. **判断检测类型** - 通过`.test`测试黑/白名单。 5. **针对性绕过** - 根据黑/白名单选择对应绕过方式。 --- #### **五、防御措施** 1. **严格校验文件类型** - 使用MIME类型、文件头校验（非单纯扩展名）。 2. **重命名文件** - 生成随机文件名（如`md5(时间戳).jpg`）。 3. **隔离存储** - 文件存放到非Web目录，通过代理脚本访问。 4. **禁用脚本执行** - 配置服务器禁止上传目录执行脚本（如`.htaccess`中`php_flag engine off`）。 5. **限制文件内容** - 检查文件内容是否合法（如图片需包含有效像素数据）。 --- #### **六、WAF绕过技巧** 1. **添加垃圾数据** - 在请求中插入大量无用参数，干扰WAF检测。 2. **多filename字段** ```http Content-Disposition: form-data; name="file"; filename="test.jpg" Content-Disposition: form-data; name="file"; filename="test.php" ``` 3. **交换字段顺序** - 将`name`和`filename`顺序调换。 --- #### **七、条件竞争漏洞** - **原理**：文件上传后未及时删除，利用时间差访问并执行。 - **利用步骤**： 1. 上传生成新文件的恶意脚本： ```php <?php $f = fopen("shell.php", "w"); fputs($f, '<?php @eval($_POST["cmd"]); ?>'); ?> ``` 2. 使用工具（如Burp Intruder）**持续上传+访问**，使服务器来不及删除临时文件。 3. 成功生成`shell.php`后，连接蚁剑/菜刀。 --- #### **八、总结** 文件上传漏洞的利用需结合服务器特性、检测机制缺陷及防御绕过技巧。防御需采用**多层级校验**（类型、内容、重命名）并严格限制执行权限。