在线时间:8:00-16:00
迪恩网络APP
随时随地掌握行业动态
扫描二维码
关注迪恩网络微信公众号
前言文件上传漏洞大多出现在可以进行文件上传的地方,如用户头像上传,文档上传处等。该漏洞是一个危害十分大的漏洞,通过文件上传,攻击者可以上传webshell并进行getshell操作,从而获得系统shell,可执行任意命令。也为后续大型木马的上传,特权提升提供了一个良好的基础。 文件上传漏洞的一些场景接下来针对文件上传漏洞的一些waf过滤的场景进行说明并进行绕过和利用。 场景一:前端js代码白名单判断.jpg|.png|.gif后缀在该场景下,防御的姿势是通过js代码对上传的文件后缀进行判断,如果不是 绕过方式: 将带有一句话木马的文件后缀名改为 场景二:后端PHP代码检查Content-type字段在该场景下,防御的姿势是通过js代码对上传文件请求的 绕过方式: 将上传一句话木马文件的request包进行拦截,添加或修改 场景三:代码黑名单判断.asp|.aspx|.php|.jsp后缀在该场景下,防御姿势是通过后台代码对上传的文件后缀进行判断,如果是 绕过方式: 当apache的配置文件httpd.conf中存在如下配置时: AddType application/x-httpd-php .php .phtml .phps .php5 .pht 说明可以通过上传 关于AddType命令的作用: AddType 指令 作用:在给定的文件扩展名与特定的内容类型之间建立映射 场景四:代码扩大黑名单判断在该场景下,防御姿势是通过后台代码对上传的文件后缀进行判断,如果是
这些后缀的文件则不允许上传 绕过方式——htaccsess:使用 .htaccsess文件的作用: .htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在httpd.conf文件中配置。 .htaccsess文件的使用条件: mod_rewrite模块开启。 AllowOverride All 构造 AddType application/x-httpd-php .jpg 这里代码的意思可以让 .jpg后缀名文件格式的文件名以php格式解析,因此达到了可执行的效果。所以我们可以把要上传的php文件的后缀名改为.jpg格式从而绕过 绕过方式——大小写绕过:如果在黑名单中没有针对大小写进行限制,则可以进行大小写绕过,如将 场景五:一些复合判断在该场景下,防御姿势除了基本的黑/白名单外,还包括了对一些特定字符的限制,具体情况可以进行fuzz或者有条件可以进行代码审计 空格、点绕过(windows)当接收文件时,后台代码的限制条件中没有去除文件名首尾的空格(或是没有对.进行拆分)时,可以利用windows系统的命名规则进行绕过:如,将文件后缀改为 在windows下xx.jpg[空格] 或xx.jpg.这两类文件是不允许存在的,若这样命名,windows会默认去除空格或点 还有些情况具体就需要看代码逻辑,比如如果代码只删除一次点且只去除一次首尾空格,在windows环境下就可以用 ::$DATA绕过(windows)::$DATA绕过同样利用了windows的特性 NTFS文件系统包括对备用数据流的支持。这不是众所周知的功能,主要包括提供与Macintosh文件系统中的文件的兼容性。备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中,此默认数据流称为:$ DATA。 即在 双写绕过当防御的代码中存在将某些特定后缀进行空字符替换时(如利用 这时候可以将后缀双写,即将 %00截断00截断绕过方式需要满足以下条件 php版本小于5.3.4 php.ini的magic_quotes_gpc为OFF状态 使用move_uploaded_file函数且参数受用户控制 此时move_uploaded_file函数遇到0x00会截断 可以将上传文件后缀改为 %0a绕过%0a绕过方式需要满足以下条件 Apache httpd 2.4.0至2.4.29 FileMatch正则匹配.php|.php5等后缀 该版本apache会通过 可以将上传文件后缀改为 图片马绕过window的cmd命令制作图片马 copy 1.jpg /b + shell.php /a shell.jpg 或是利用其他图片马生成器生成 二次渲染绕过判断图片格式后用 绕过方式: 抓包找到二次渲染中未被改动的地方,将一句话马插入该地方, 注:gif文件最简单,直接用ue等16进制编辑器就可以改,但是jpg和png需要特殊的构造脚本 先将一张正常的jpg图片上传,上传后将服务器存储的二次渲染的图片保存下来。 条件竞争当上传文件逻辑为:先move_uploaded_file函数将上传文件临时保存,再进行判断,如果不在白名单里则unlink删除,在的话就rename重命名。此时会存在条件竞争 绕过方法: /.绕过当 以上就是php安全攻防利用文件上传漏洞与绕过技巧详解的详细内容,更多关于php文件上传漏洞利用与绕过技巧的资料请关注极客世界其它相关文章! |
2022-08-17
2022-11-06
2022-07-30
2022-08-18
2022-08-15
请发表评论