小迪安全03 - 文件上传漏洞绕过方法

原创 已于 2022-04-15 22:20:16 修改 · 3.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2022-04-15 17:40:36 首次发布
本文探讨了前端JS文件格式验证及其可能的绕过方法,包括修改文件后缀和禁用JS脚本。同时,介绍了后端验证中的MIME类型与文件头检查,以及如何通过文件头篡改和利用Apache文件解析漏洞进行绕过。此外,还讨论了大小写绕过、服务器白名单绕过中的文件截断技巧,特别是针对PHP的00截断漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 前端:

JS检测绕过:

前端网页JS对文件格式进行验证:

<script type="text/javascript">
    function checkFile() {
        var file = document.getElementsByName('upload_file')[0].value;
        //获取到文件名
        if (file == null || file == "") {
            alert("请选择要上传的文件!");
            return false;
        }
       
        var allow_ext = ".jpg|.png|.gif";
         //定义允许上传的文件类型
        
        var ext_name = file.substring(file.lastIndexOf("."));
        //提取上传文件的类型。
        //通过lastIndexOf取到“.”的索引,再使用substring函数截取 .后缀名
       
        if (allow_ext.indexOf(ext_name) == -1) {
        //如果 allow_ext 中没有 ext_name字符串,则返回-1
            var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
            alert(errMsg);
            return false;
        }
         //判断上传文件类型是否允许上传
    }
</script>

绕过方法:

1.抓包将原“合法”文件后缀名改回 php再forward就可以上传WebShell到服务器。

2.禁用浏览器JS脚本(浏览器插件)。

后端验证:

1.服务端MIME绕过:

相关概念:Content-Type,即互联网媒体类型,也叫做MIME类型。在互联网中有成百上千中不同的数据类型,HTTP在传输数据对象时会为他们打上称为MIME的数据格式标签,用于区分数据类型。

在HTTP协议消息头中,使用Content-Type来表示请求和响应中的媒体类型信息。它用来告诉服务端如何处理请求的数据,以及告诉客户端(一般是浏览器)如何解析响应的数据,比如显示图片,解析并展示html等等。

常见的content-type有:

  • HTML文档标记:text/html;
  • 普通ASCII文档标记:text/html;
  • JPEG图片标记:image/jpeg;
  • GIF图片标记:image/gif;
  • js文档标记:application/javascript;
  • xml文件标记:application/xml;

 burp抓包,将报文中的Content-Type改成允许的类型即可

2.文件头绕过:

相关概念:文件均有一个特殊的、可识别的文件头(又称文件幻数)。图片格式往往不是根据文件后缀名去做判断的。文件头是文件开头的一段二进制,不同的图片类型有不同的文件头。

常见的文件头:


JPEG (jpg),文件头:FFD8FF
PNG (png),文件头:89504E47
GIF (gif),文件头:47494638
XML (xml),文件头:3C3F786D6C
HTML (html),文件头:68746D6C3E

 绕过方法:
在脚本文件开头补充图片对应的头部值,或在图片后写入脚本代码。

3.服务器扩展名黑名单绕过:

1.大小写绕过:

服务端没有对后缀名转化为统一格式进行对比,导致可以上传后缀为pHp的文件,又因为windows对大小写不敏感,所以.pHp扔回被当成PHP文件解析。

2.Apache文件解析漏洞:

2.1黑名单不允许上传.asp,.aspx,.php,.jsp后缀的文件,apache的httpd.conf中如果配置如下代码,就可以上传.phtml .phps .php5 .pht文件。

AddType application/x-httpd-php .php .phtml .phps .php5 .pht

2.2  .htaccess这个文件作为一个配置文件,可以用来控制所在目录的访问权限以及解析设置。如下,所有的jpg后缀会被当做php执行。

 - AddType application/x-httpd-php.jpg

4.服务器白名单绕过:

绕过方法:文件截断

00截断利用的是php的一个漏洞。在 php<5.3.4>版本中,存储文件时处理文件名的函数认为0x00是终止符。于是在存储文件的时候,当函数读到 0x00(%00) 时,会认为文件已经结束。

比如,当我们上传一个1.php%00.jpg 的文件时,前端检测的后缀名检查结果为jpg,可以绕过前端的检测;后端判断文件名后缀的函数会认为其是一个.jpg格式的文件;但是保存的时候,处理文件名的函数在遇到%00字符认为这是终止符,于是1.php%00.jpg文件被保存为1.php储存在服务器里。

black^sugar
关注
文件上传漏洞绕过手法
dreamthe的博客
12-05 1万+
1.文件上传原理 有一些网站提供上传服务,比如头像的设置就是上传图片,或者上传文档,上传压缩包等等。一般网站是希望上传图片格式或者文本格式的,当如果检测手段不全面,就会导致攻击者直接上传了恶意的脚本代码,并执行了脚本代码,或者可以配合其他漏洞,上传代码文件,导致服务器被拿下。下面我们来说说文件上传的检测和绕过都有哪些。 2.文件上传检测方法 文件上传检测分为前端检测和后端检测。前端检测的绕过非常好绕过,前端检测就是在网页有一段检测代码,在你点击上传之前就会有一个检测,我们只需要将木马文件先改成正常的图
文件上传漏洞常用绕过方式
qq_62078839的博客
04-07 1万+
目录 文件上传漏洞原理 常用防御方式和常用防御方式的绕过 一、前端JS检测 二、MIME检测 三、白名单检测 %00截断 0x00截断 四、黑名单绕过 文件拓展名绕过 .htaccess文件绕过 .user.ini.绕过 apache解析漏洞 IIS解析漏洞 Nginx解析漏洞 widows系统文件命名规则的特殊利用 五、文件内容检测 ①文件头检测 ②shell检测 六、条件竞争 靶场实战 文件上传漏洞原理 由于网站在对文件的上传功能中没...
文件上传漏洞绕过方式】
qq_55213436的博客
08-01 1万+
目前,文件上传往往在业务中不可避免,也是极其容易出现上传漏洞。根据owasptop10中的排名,文件上传漏洞(属于攻击检测和防范不足)高居其中。今天和大家分享常见的文件上传绕过方式。未知攻焉知防。最后给大家推荐几个在线练习文件上传漏洞的靶场。瑞斯拜!!!......
upload-labs通关笔记-第12关 文件上传之白名单GET型%00截断绕过
最新发布
mooyuan的网络安全博客
05-19 1214
本文通过《upload-labs靶场通关笔记系列》来进行upload-labs靶场的渗透实战,本文讲解upload-labs靶场第12关白名单GET法渗透实战。
文件上传漏洞常见绕过方式
qq_45317844的博客
07-14 2967
文件上传漏洞学习笔记
文件上传漏洞-绕过方式总结
Echo__h的博客
04-29 1629
文件上传绕过方式 图片马制作
<小安全>21-文件上传漏洞之后端黑白名单绕过
hackerXxxt的博客
03-20 255
文件上传常见验证:后缀名,类型,文件头等后缀名:黑名单,白名单文件内容:MIME信息文件头:文件头信息黑名单:明确不让上传的格式后缀当黑名单后缀名不完整,可以通过其他后缀名达到相同的效果php5,Phtml白名单:明确可以上传的格式后缀。
安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全
weixin_73760178的博客
03-07 1306
那么当我们写入1.php.jpg时,表面上的图片,但由于管理员的配置,所以会将此文件解析为php。上传带有后门的图片,再后面输入/*.php(*指任意),即可被执行。此时发现,原本的图片被解析为.asp格式,因此也可以从此进行利用。因此我们可以利用文件上传,上传此文件类型,访问图片,生成后门。、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等。1.上传文件能不能修改上传目录或上传的文件名能增加命名。上传文件,在后面Hex里修改相关参数,进行绕过过滤。此时的图片是可以正常运行的,是一个正常的图片形式。
安全34WEB 攻防-通用漏洞&文件上传&黑白盒审计&逻辑&中间件&外部引用
weixin_73760178的博客
03-10 1401
重命名页面是在html上执行的,之所以绕过是因为,页面上的xxxx.png的限制只是存在于前端,只是一个显示结果,以js的形式,并不是执行在php上。从上传文件分析,它将上传的信息放在了文件头部的位置;发现有个重命名的功能:进行抓包,猜测是以to为标准,所以进行参数修改,去掉.png改为php文件。从.htacess文件中发现,在此目录中对以上的文件,都会给于允许拒绝的权限,从而导致访问失败。当修改type后的,php是成功上传的,就是文件的路径更改了,那对于黑盒基本就寄了。
《小安全》第20天 文件上传:基础及过滤方式
m0_56250796的博客
11-05 244
文件上传的地方,就可能有文件上传漏洞。换句话说有文件上传的地方就可以测试也没有文件上传漏洞。是否存在漏洞取决于对方代码写的够不够完备,一旦疏忽某方面的检测,就可能有空子可钻。
安全32WEB 攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀
weixin_73760178的博客
03-05 1307
原理:首先是因为网站中对关键字符的过滤,使我们不能以正常的payload填入进去(也就是eval等),为此我们利用include函数,去包含一个地址,此地址中的文件里是包含着payload的,由于地址的表达被过滤,所以需要IP地址转换进行绕过。分析:查看路径得知是.php的文件中执行的,这样就解释通之前的“前置”问题,如果路径是/upload/等这样的,就触发不了,需用.user.ini等文件进行触发,这里就包含了一个php文件——文件包含漏洞。、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等。
【小安全】Day24web漏洞-文件上传漏洞之WAF绕过
qq_44312640的博客
11-08 659
介绍文件上传漏洞的WAF绕过方法
文件上传漏洞利用绕过
YIGAOYU的博客
09-25 625
目录文件上传漏洞利用绕过前言一、js绕过1·禁用浏览器js脚本2·Burp suite抓包绕过二、type绕过1·修改包内的Content-Type值三、扩展名绕过1·修改拓展名四、00截断绕过1·00截断五、修改文件头绕过1·用winhex修改文件头结语 文件上传漏洞利用绕过 前言 文件上传漏洞绕过学习笔记、 一、js绕过 1·禁用浏览器js脚本 使用浏览器:Firefox about:config 双击javascript.enabled关闭 2·Burp suite抓包绕过 将一句话的拓展名改
文件上传漏洞绕过
热门推荐
Battery的博客
06-25 14万+
文件上传漏洞:在网站上传普通文件的位置,未对上传的文件进行严格的验证和过滤,导致可以通过绕过上传机制上传任意文件。进而导致用户可以通过上传WebShell(与网站后端语言一致)并执行从而控制服务器文件上传功能能正常使用:能够通过绕过上传机制上传想要上传的文件上传文件保存的路径可知:上传文件时,网页通常会带有一个返回显示上传的文件,可以通过查看网页元素的方式查看上传文件可以被访问:可以通过文件的路径访问到改文件上传文件可以被解析:访问该文件时,不会将源码作为网页元素直接输出客户端Javascript检测:检测
文件上传漏洞绕过检测的方式
seek_2022的博客
05-07 1万+
文章目录一、什么是文件上传漏洞?二、目标会对文件上传哪些防护?(一)客户端检测(二)服务端检测(三)白名单和黑名单的区别三、绕过后端黑名单检测(一)换一个后缀名绕过黑名单检测(二)用.htaccess文件巧妙绕过黑名单(三)用大小写绕过后缀名检测(四)文件后缀加空格或点绕过后缀名检测(五)构造文件后缀绕过后缀名检测(六)双写绕过后缀名检测(七)Windows文件流绕过后缀名检测四、绕过白名单检测(一)%00截断和00截断(二)绕过Content-Type检测(三)用图片木马绕过白名单检测(四)用gif文件
文件上传漏洞绕过方式详细介绍
weixin_52206305的博客
04-18 1212
通常一个文件以HTTP协议进行上传时,将以POST请求发送WEB服务器,WEB服务器接收到请求并同意后,用户与WEB服务器将建立连接,并传输data。
文件上传漏洞的过滤绕过
JunDao73的博客
02-10 5780
这里总结一下文件上传漏洞的各种过滤机制的绕过。我找到的实验环境是upload-labs。 下载地址是GitHub - Tj1ngwe1/upload-labs: 一个帮你总结所有类型的上传漏洞的靶场 界面还是很美观的如图1-1,总共19个关卡。 图1-1 这里说一下我环境配置过程中遇到的一个小问题,就是网站的根地址设置。如图1-2 图1-2 记得把config.php文件中的$site_root改成自己的目录,不然这个美丽的界面是加载不出来的,这个是我自己更改过后的模样。另外如果文件执行
文件上传常用绕过方式
weixin_43077878的博客
04-02 5970
1.前端。
文件上传绕过方法汇总
xiaoheizi的博客
06-12 9052
先上传1.php,它的目的是让服务器上的php来创建一个2.php,我们在1.php被删除之前访问到他,就可以在服务器中创建2.php,2.php是一个木马文件,但是这个是系统自身创建的,所以不会被删除。假如我不断的上传发包,然后我同时也不断的访问那个我们上传上去的文件的地址,我们就开始和服务器的函数比手速了,函数执行都是要时间的,如果我这边上传上去,且没有删除,那个时间可能很短,然后被我访问到了,岂不是就可以执行PHP了。
文件上传绕过
03-15
### 绕过文件上传安全检测机制的技术分析 在处理文件上传漏洞时,攻击者通常会尝试利用服务器端的安全配置缺陷来实现恶意目的。以下是几种常见的绕过方法及其技术细节: #### 1. **文件名伪装** 许多应用程序会对上传的文件扩展名进行验证,以防止执行脚本类型的文件(如 `.php` 或 `.jsp`)。然而,某些情况下可以通过修改文件名的方式绕过这些限制。例如: - 使用双扩展名:将文件命名为 `test.php.jpg` 可能会让系统将其视为图片文件,但实际上仍会被解释为 PHP 脚本[^1]。 - 添加多余的点号:命名方式如 `file...jpg` 可能在某些解析器中被错误解读。 #### 2. **MIME 类型伪造** 除了文件扩展名外,Web 应用程序还可能依赖 MIME 类型来进行安全性检查。可以尝试发送与实际内容不符的 MIME 头部数据。例如,在 HTTP 请求头中设置如下字段: ```http Content-Type: image/jpeg ``` 即使上传的是可执行脚本文件,只要其头部声明为合法图像格式,则有可能通过初步筛选[^2]。 #### 3. **零字节截断 (Null Byte Injection)** 部分老旧版本的服务软件存在对路径字符串处理不当的问题,允许注入 NULL 字符 (`\0`) 来终止读取操作。这意味着当提交名为 `shell.php%00.jpg` 的文件时,存储过程中可能会只保留前半部分内容作为最终保存名称从而暴露潜在风险。 #### 4. **利用临时目录特性** 对于 Linux 平台上的应用而言,“/tmp” 是常用的临时工作区之一。如果有能力向此位置写入任意代码片段比如 shell script ,那么就可以进一步探索提权可能性 。具体法包括但不限于先期植入工具脚本来辅助后续动作 . #### 示例代码展示 下面给出一段简单的 Java 程序用于演示基本概念而非实战用途 : ```java public class FileUploadBypass { public static void main(String[] args){ String fileName="example..php"; System.out.println("Attempting to bypass with filename:"+fileName); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值