浅谈文件解析及上传漏洞

简介:

1240

中国菜刀


    在web渗透中,我最期待两种漏洞,一种是任意命令执行漏洞,如struct2漏洞等;另一种是文件上传漏洞,因为这两种漏洞都是获取服务器权限最快最直接的方法。而对于任意命令执行漏洞,如果是通过内网映射出来的,那么可能还需要使用不同的手段进行木马文件上传,从而获取webshell,通过webshell进行端口转发或者权限提升。
    本文主要是介绍文件上传中的个人利用技巧经验汇总,讲解分为两部分:一部份是文件解析漏洞,另一部份是文件上传漏洞。

文件解析漏洞

    解析漏洞主要是一些特殊文件被iis、Apache、Nginx等服务在某种情况下解释成脚本文件格式并得以执行而产生的漏洞。

iis 5.x/6.0解析漏洞

    iis6.0解析漏洞主要有以下三种:
 1. 目录解析漏洞 /xx.asp/xx.jpg
    在网站下创建文件夹名字为.asp、.asa的文件夹,其目录内的任何扩展名的文件都被iis当做asp文件来解析并执行。因此只要攻击者可以通过该漏洞直接上传图片马,并且可以不需要改后缀名!
2. 文件解析 xx.asp;.jpg
    在iis6.0下,分号后面的不被解析,所以xx.asp;.jpg被解析为asp脚本得以执行。
3. 文件类型解析 asa/cer/cdx
    iis6.0 默认的可执行文件除了asp还包含这三种asa、cer、cdx。

Apache解析漏洞

    Apache对文件的解析主要是从右到左开始判断并进行解析,如果判断为不能解析的类型,则继续向左进行解析,如xx.php.wer.xxxxx将被解析为PHP类型。

IIS 7.0/ Nginx <8.03畸形解析漏洞

    在默认Fast-CGI开启状况下上传名字为xx.jpg,内容为:
<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
    然后访问xx.jpg/.php,在这个目录下就会生成一句话木马shell.php。

Nginx<8.03空字节代码执行漏洞

    nginx如下版本:0.5., 0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37在使用PHP-FastCGI执行php的时候,URL里面在遇到%00空字节时与FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码。
    另一种Nginx文件漏洞是从左到右进行解析,既可绕过对后缀名的限制,又可上传木马文件,因此可以上传XXX.jpg.php(可能是运气,也可能是代码本身问题,但在其他都不能成功的条件下可以试试)。如下:
Content-Disposition: form-data; name="userfiles"; filename="XXX.jpg.php"

htaccess文件解析

    如果Apache中.htaccess可被执行并可被上传,那么可以尝试在.htaccess中写入:
<FilesMatch "shell.jpg"> SetHandler application/x-httpd-php </FilesMatch>
    然后再上传shell.jpg的木马,这样shell.jpg就可被解析为PHP文件了。

操作系统特性解析

    由于windows会将文件的后缀中的空格以及点进行过滤,如果遇到是黑名单校验的,如限制不允许上传PHP文件,而系统又是windows系统,那么我们可以上传xx.php ,或者xx.php.,通过这种方式就可以绕过黑名单检验的文件上传!

文件上传漏洞

前端上传限制

   有的网站由于对文件上传的地方只做前端的一个校验,导致可轻易绕过,因为前端的一切限制都是不安全的!

   如下是一个只对前端进行校验的一个上传测试点:

wKioL1mX0EWgfzAEAACfMTzbCoY510.jpg-wh_50

  在这里我是开启了burp抓包的,但是我一点击上传就提示无法上传,而burp未抓到任何数据库,这说明这是一个前端校验的一个上传,在这里我们通过禁用js来直接上传php的webshell,我们也可以先将我们的php的webshell进行后缀名更改,如更改为jpg,然后上传,通过burp抓包,然后发往repeater中进行测试,如图:

wKiom1mX0PeCFvxdAAJ0K-6bgD0281.jpg-wh_50

  此时我们在将我们上传的文件更改为我们的原本后缀名php,即可成功上传!

wKioL1mX0SXRVeOpAAI3DRfocYI594.jpg-wh_50

文件头欺骗漏洞

    在一句话木马前面加入GIF89a,然后将木马保存为图片格式,可以欺骗简单的waf。

从左到右解析

    我们在上传文件的时候,还有遇到服务器是从左到右进行解析的漏洞,也就是说服务器只检查文件名的第一个后缀,如果满足验证要求即可成功上传,但是我们都知道,只有最后一层的后缀才是有效的,如1.jpg.php,那么真正的后缀应该是PHP文件,根据这个我们可绕过相关验证进行上传。

  我们上传通过burp抓包并在repeater中进行尝试上传:

wKiom1mX06myD9PmAAJJKs46idY716.jpg-wh_50

   此时我们将后缀改为php试试:

wKioL1mX08GgNf_eAAIrBb1htaA419.jpg-wh_50

   发现上传失败,这是我们可以试试上传一个.jpg.php的PHP文件:

wKiom1mX0_igzx--AAIzvqnDoUY603.jpg-wh_50

   我们可以发现,文件成功上传!

filepath漏洞

    filepath漏洞主要用来突破服务器自动命名规则,主要有以下两种利用方式:
    1、改变文件上传后路径(filepath),可以结合目录解析漏洞,路径/x.asp/
    2、直接改变文件名称(都是在filepath下进行修改),路径/x.asp;.

  对于第一种我们使用较多,如下是一个上传测试页面:

wKiom1mXyVKAki2CAAAwhgHmrAI095.jpg-wh_50

   我们使用burp进行抓包并且发往repeater里面,如图:

wKioL1mXyX2T4VZrAAN-k1tHWco846.jpg-wh_50

   此时我们上传是不成功的,而请求的头里面显示了上传后的目录,此时我们在此目录下新增一个eth10.php的目录,然后将filename改为图片格式,如jpg,但是如果直接这样的话还是上传不成功,于是我们可以结合00截断来进行上传,在新建的目录后面使用00截断,如图上传成功:

wKiom1mXylPRhjMJAAEW-LQljM8547.png-wh_50

    另外有一种情况我们我们在原目录下新建一个eth10.php的文件,然后直接使用00截断,这样我们依旧可以上传php文件,因为上传是使用filepath以及filename来控制的,filename白名单,那么我们就可以从filepath入手!利用手法和上面一样,唯一的区别是在00截断前不加最后一个斜杠(/),

00截断

    00截断的两种利用方式:
    1、更改filename,xx.php .jpg,在burpsuit中将空格对应的hex 20改为00
    2、更改filename,xx.php%00.jpg,在burpsuit中将%00进行右键转换-url-urldecoder

filetype漏洞

    filetype漏洞主要是针对content-type字段,主要有两种利用方式:
    1、先上传一个图片,然后将content-type:image/jpeg改为content-type:text/asp,然后对filename进行00截断,将图片内容替换为一句话木马。
    2、直接使用burp抓包,得到post上传数据后,将Content-Type: text/plain改成 Content-Type: image/gif

    我们经常使用的一般是第二种,主要是将conten-type改为服务器accept的类型。如下图是一个简单的上传测试页面:

wKiom1mXwZvyJGAhAABuY-yxI4g855.jpg-wh_50

    我们直接上传一个PHP的文件,使用burp进行抓包,然后发往repeater里,如图:

wKioL1mXweCg1GJiAAItoxcQ8rg969.jpg-wh_50

    此时显示的是非图片文件,此时我们将conten-type改为服务器accept的图片类型,即可成功上传php文件,图中显示的flag你可以当成是实战中生成成功后的路径,从而getshell,如图:

wKioL1mXwiaQxlBCAAJ2e9u4ojU652.jpg-wh_50

iconv函数限制上传

    如果某天你上传文件发现,不管你上传什么文件,上传后的文件都会自动添加一个.jpg的后缀,那么我们可以怀疑是否是使用iconv这个函数进行了上传的限制,此时我们可以使用类似00截断的方法,但是这里不是00截断,二是80-EF截断,也就是说我们可以修改HEX为80到EF中的某一个来进行截断,如果真是使用这个函数的话,那么恭喜你上传任意文件成功!如上传一个xx.php ,然后截断抓包将后面的空格对应的十六进制改为80到EF中的任意一个!

双文件上传

    再一个文件上传的地方,右键审查元素,首先修改action为完整路径,然后复制粘贴上传浏览文件(<input ......),这样就会出现两个上传框,第一个上传正常文件,第二个选择一句话木马,然后提交。!参考链接

表单提交按钮

    我们有时扫描发现上传路径,可是只有一个浏览文件,却没有提交按钮,此时我们就需要写入提交按钮。
    写入表单:
    F12审查元素,在选择文件表单下面添加提交按钮代码。
<input type="submit" value="提交" name="xx"> 本文转自 eth10 51CTO博客,原文链接:http://blog.51cto.com/eth10/1956032

相关文章
|
6月前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
180 2
|
6月前
|
SQL 安全 网络安全
网络安全的护城河:漏洞防御与加密技术的深度解析
【10月更文挑战第37天】在数字时代的浪潮中,网络安全成为守护个人隐私与企业资产的坚固堡垒。本文将深入探讨网络安全的两大核心要素——安全漏洞和加密技术,以及如何通过提升安全意识来强化这道防线。文章旨在揭示网络攻防战的复杂性,并引导读者构建更为稳固的安全体系。
273 1
|
6月前
|
SQL 安全 测试技术
网络安全的盾牌与剑——漏洞防御与加密技术解析
【10月更文挑战第28天】 在数字时代的浪潮中,网络空间安全成为我们不可忽视的战场。本文将深入探讨网络安全的核心问题,包括常见的网络安全漏洞、先进的加密技术以及提升个人和组织的安全意识。通过实际案例分析和代码示例,我们将揭示黑客如何利用漏洞进行攻击,展示如何使用加密技术保护数据,并强调培养网络安全意识的重要性。让我们一同揭开网络安全的神秘面纱,为打造更加坚固的数字防线做好准备。
98 3
|
5月前
|
人工智能 自然语言处理 Java
FastExcel:开源的 JAVA 解析 Excel 工具,集成 AI 通过自然语言处理 Excel 文件,完全兼容 EasyExcel
FastExcel 是一款基于 Java 的高性能 Excel 处理工具,专注于优化大规模数据处理,提供简洁易用的 API 和流式操作能力,支持从 EasyExcel 无缝迁移。
806 65
FastExcel:开源的 JAVA 解析 Excel 工具,集成 AI 通过自然语言处理 Excel 文件,完全兼容 EasyExcel
|
5月前
|
安全 Ubuntu Shell
深入解析 vsftpd 2.3.4 的笑脸漏洞及其检测方法
本文详细解析了 vsftpd 2.3.4 版本中的“笑脸漏洞”,该漏洞允许攻击者通过特定用户名和密码触发后门,获取远程代码执行权限。文章提供了漏洞概述、影响范围及一个 Python 脚本,用于检测目标服务器是否受此漏洞影响。通过连接至目标服务器并尝试登录特定用户名,脚本能够判断服务器是否存在该漏洞,并给出相应的警告信息。
327 84
|
3月前
|
Java API 数据处理
深潜数据海洋:Java文件读写全面解析与实战指南
通过本文的详细解析与实战示例,您可以系统地掌握Java中各种文件读写操作,从基本的读写到高效的NIO操作,再到文件复制、移动和删除。希望这些内容能够帮助您在实际项目中处理文件数据,提高开发效率和代码质量。
75 4
|
4月前
|
Serverless 对象存储 人工智能
智能文件解析:体验阿里云多模态信息提取解决方案
在当今数据驱动的时代,信息的获取和处理效率直接影响着企业决策的速度和质量。然而,面对日益多样化的文件格式(文本、图像、音频、视频),传统的处理方法显然已经无法满足需求。
184 4
智能文件解析:体验阿里云多模态信息提取解决方案
|
5月前
|
SQL 安全 算法
网络安全之盾:漏洞防御与加密技术解析
在数字时代的浪潮中,网络安全和信息安全成为维护个人隐私和企业资产的重要防线。本文将深入探讨网络安全的薄弱环节—漏洞,并分析如何通过加密技术来加固这道防线。文章还将分享提升安全意识的重要性,以预防潜在的网络威胁,确保数据的安全与隐私。
128 2
|
6月前
|
安全 算法 网络安全
网络安全的盾牌与剑:漏洞防御与加密技术深度解析
在数字信息的海洋中,网络安全是航行者不可或缺的指南针。本文将深入探讨网络安全的两大支柱——漏洞防御和加密技术,揭示它们如何共同构筑起信息时代的安全屏障。从最新的网络攻击手段到防御策略,再到加密技术的奥秘,我们将一起揭开网络安全的神秘面纱,理解其背后的科学原理,并掌握保护个人和企业数据的关键技能。
245 3
|
6月前
|
SQL 监控 安全
网络安全的盾牌与利剑:漏洞防御与加密技术解析
在数字时代的洪流中,网络安全如同一场没有硝烟的战争。本文将深入探讨网络安全的核心议题,从网络漏洞的发现到防御策略的实施,以及加密技术的运用,揭示保护信息安全的关键所在。通过实际案例分析,我们将一窥网络攻击的手段和防御的艺术,同时提升个人与企业的安全意识,共同构筑一道坚固的数字防线。

推荐镜像

更多