1.1 文件上传之绕过验证

文件上传之绕过


一般防止上传漏洞手法

1、客户端检测:客户端使用JavaScript检测,在文件未上传时,就对文件进行验证

//任何客户端的验证都是不安全的,客户端验证目的是防止用户输入错误、减少

//服务器开销,而服务端验证才可以真正防御攻击者。

2、服务器端检测:服务端脚本一般会检测文件的MIME类型,检测文件扩展名是否合法

客户端检测

客户端验证代码形如下:

<html lang="en">

<head>

<meta charset="UTF-8">

<title>图片上传</title>

<script type="text/javascript">

function checkFile()

{

var flag = false;

var str = document.getElementById("file").value;

str = str.substring(str.lastIndexOf(‘.‘) + 1);

var arr = new Array(‘png‘,‘bmp‘,‘gif‘,‘jpg‘);

for(var i=0;i<arr.length;i++)

{

if(str==arr[i])

{

flag = true;

}

}

if(!flag)

{

alert(‘文件不合法!‘);

}

return flag;

}

</script>

</head>

<body>

<form action="upload.php" method="post" onsubmit="checkFile()" enctype="multipart/form-data">

<input type="file" name="file" id="file" /><br/>

<input type="submit" value="提交" name="submit" />

</form>

</body>

</html>

接收文件的脚本upload.php代码如下:

<?php

if(isset($_POST["submit"]))

{

$name = $_FILES[‘file‘][‘name‘];

$name = md5(date(‘Y-m-d h:m:s‘)).strrchr($name,".");

$size = $_FILES[‘file‘][‘size‘];

$tmp = $_FILES[‘file‘][‘tem_name‘];

move_uploaded_file($tmp,$name);

echo "文件上传成功!path:".$name;

}

?>

绕过:

1、可以用firebug将form表单中的onsubmit事件删除,这样就可以绕过验证。

2、使用Burp Suite:

1)先将木马文件的扩展名改为一张正常图片的扩展名,如1.php/asp --->  1.jpg

2)上传时使用Burp Suite拦截数据包,将木马文件扩展名改为php就可绕过客户端验证。

注意:这里修改文件名字后,请求头中的Content-Length的值也要改

服务端检测

服务端分为6项:

* 黑名单与白名单验证

* MIME验证

* 目录验证

* 截断上传攻击

* .htaccess文件攻击

* 检测文件内容

黑名单与白名单验证

黑名单过滤方式

<?php

$Blacklist = array(‘asp‘,‘php‘,‘jsp‘,‘php5‘,‘asa‘,‘aspx‘); //黑名单

if(isset($_POST["submit"]))

{

$name = $FILES[‘file‘][‘name‘];                  //接收文件名

$extension = substr(strrchr($name, ".") , 1);    //得到扩展名

$boo = false;

foreach($Blaklist as $key => $value)

{

if($value==$extension)

{

//迭代判断是否命中

$boo = true;

break; //命中后直接退出循环

}

}

if(!$boo)

{

//若没有被命中,则进行上传操作

$size = $_FILES[‘file‘][‘size‘];       //接收文件大小

$tmp = $FILES[‘file‘][‘temp_name‘];    //临时路径

move_uploaded_file($tmp, $name);       //移动临时文件到当前文件目录

}

else

{

echo "文件不合法!!";

}

}

?>

对于上面的过滤可以通过如下方法绕过:

  • 从黑名单中找到web开发者忽略的扩展名,如:cer
  • 没有对扩展名进行大小写转换,在window平台依然可以大小写绕过
  • 在window下,若文件名以"."或者空格作为结尾,系统会自动去除"."与空格,
    所以可以上传以“asp.”和“asp_”为扩展名的文件
  • 0x00截断绕过
  • 解析漏洞

白名单过滤方式

<?php

$WhiteList = array(‘rar‘,‘jpg‘,‘png‘,‘bmp‘,‘gif‘,‘jpg‘,‘doc‘);

if(isset($_POST["submit"]))

{

$name = $_FILES[‘file‘][‘name‘];

$extension = substr(strrchr($name,"."),1);

$boo = false;

foreach($WhiteList as $key => $value)

{

if($value==$extension)

{

$boo = true;

}

}

if($boo)

{

$size = $_FILES[‘file‘][‘size‘];

$tmp = $_FILES[‘file‘][‘tmp_name‘];

move_uploaded_file($tmp,$name);

echo "文件上传成功!<br/>path:".$name;

}

else

{

echo "文件不合法!";

}

}

?>

绕过方法:

* 0x00截断绕过

* 此时若在iis6.0,则可以将木马名改为test.asp;1.jpg来上传,从而通过验证

* 配合解析漏洞

MIME验证

对文件MIME类型做验证的PHP代码如下:

<?php

if($_FILES[‘file‘][‘type‘]==" image/jpeg")

{

$imageTempName = $_FILES[‘file‘][‘tmp_name‘];

$imageName = $_FILES[‘file‘][‘name‘];

$last = substr($imageName,strrpos($imageName,"."));

if(!is_dir("uploadFile"))

{

mkdir("uploadFile");

}

$imageName = md5($imageName).$last;

move_upload_file($imageTempName,"./uploadFile/".$imageName);

echo("文件上传成功! path = /uploadFile/$imageName");

}

else

{

echo("文件上传类型错误,请重新上传...");

exit();

}

?>

未修改MIME类型,上传失败:

修改MIME类型,上传成功:

目录验证

文件上传时通常允许用户将文件放到指定的目录中,若目录存在则将文件写入目录,否则新建目录然后写入,若为iis6.0则可以利用这个漏洞,

客户端上传代码如下:

<html>

<head>

<meta charset="UTF-8">

<title>up</title>

</head>

<body>

<form action="upload.php" method="post" enctype="multipart/form-data">

<input type="file" name="file" /><br/>

<input type="hidden" name="Extension" value="up" />

<input type="submit" value="提交" name="submit" />

</form>

</body>

</html>

服务端PHP接收文件的代码如下:

<?php

if($_FILES[‘file‘][‘type‘]=="image/jpeg")

{

$imageTempName=$_FILES[‘file‘][‘tmp_name‘];

$imageName=$_FILES[‘file‘][‘name‘];

$last=substr($imageName,strrpos($imageName,"."));

if($last!=".jpg")

{

echo("mime error!<br/>");

}

$Extension=$_POST[‘Extension‘];

if(!is_dir($Extension))

{

mkdir("./$Extension");

echo "mkidr $Extension succesfully"."<br/>";

}

$imageName=md5($imageName).$last;

move_uploaded_file($imageTempName,"./$Extension/".$imageName);

echo("upload ok! path = /$Extension/$imageName");

}

else

{

echo("type error...");

exit();

}

?>

查看上传到了那个文件:

将文件改名:

截断上传攻击

截断上传攻击在ASP程序中比较常见(在PHP、JSP中也有)

先上传正常后缀的图片马:

更改图片名字:

截断:

上传成功:

.htaccess文件攻击

通过.htaccess文件调用php解析器去解析一个文件名中只要包含"haha"这个字符串的任意文件,论扩展名是什么(没有也行),都以php的方式来解析,.haccess文件代码如下:

<FilesMatch "haha">

SetHandler application/x-httpd-php

</FilesMatch>

或者如下,上传一个文件名为evil.gif的图片马:

<FilesMatch "evil.gif">

SetHandler application/x-httpd-php

</FilesMatch>

检测文件内容

文件幻数检测在文件首部加上如下幻数,后面跟一句话木马即可

JFIF FF D8 FF E0 00 10 4A 46 49 46

GIF89a 47 49 46 38 39 61

PNG 89 50 4E 47

文件相关信息检测

通常用的getimagesize()函数,只需要在幻数基础上加一些文件信息就行了,如下:

GIF89a

(...some binary data for image...)

<?php phpinfo(); ?>

(... skipping the rest of binary data ...)

文件加载检测

服务端会调用API或函数对文件进行加载测试,常见的是图像渲染测试,变态的甚至是二次渲染:

对渲染/加载测试的攻击方式是代码注入绕过

对二次渲染的攻击方式是攻击文件加载器本身

补充

除了上述的.htaccess文件攻击,还可以用.user.ini进行文件攻击

当中间键是以fastcgi运行的php都可以用这个方法,.user.ini能被动态加载,它也有两个配置项:

auto_append_file和auto_prepend_file,只要在.user.ini中添加auto_prepend_file=aa.jpg

这句话,就可以让其他php文件执行前自动包含aa.jpg,和require()类似。

原文地址:https://www.cnblogs.com/bmjoker/p/8970006.html

时间: 2024-09-30 04:15:18

1.1 文件上传之绕过验证的相关文章

ctf基本的文件上传与绕过学习

绕过客户端校验前台脚本检测扩展名上传webs hell 原理: 当用户在客户端选择文件点击上传的时候,客户端还没有向服务器发送任何消息,就对本地文件进行检测来判断是否是可以上传的类型,这种方式称为前台脚本检测扩展名.绕过前台脚本检测扩展名,就是将所要上传文件的扩展名更改为符合脚本检测规则的扩展名,通过 BurpSuite 工具,截取数据包,并将数据包中文件扩展名更改回原来的,达到绕过的目的 实验: 打开要上传的页面,上传要上传的木马文件lurb.php,点击上传. 页面显示错误 返回上传页面,点

SpringMVC中文件上传的客户端验证

SpringMVC中文件上传的客户端验证 客户端验证主要思想:在jsp页面中利用javascript进行对文件的判断,完成验证后允许上传 验证步骤:1.文件名称 2.获取文件的后缀名称 3.判断哪些文件类型允许上传 4.判断文件大小 5.满足条件后跳转后台实现上传 前台界面(验证上传文件是否格式满足要求): <body> <h2>文件上传</h2> <form action="upload01" method="post" 

FTP文件上传下载及验证

FTP文件上传下载及验证 有时候经常用到FTP的上传下载,本身代码相对比较简单,但有时需要考虑到文件上传下载进行验证.大体思路是上传时将FTP日志重定向到本地文件,再根据FTP返回码进行检查,这样有个缺点就是不能检验文件上传的完整性:下载时利用ls,ll命令查看是否存在. 上传代码 uploadFile() { ftp -i -v -n <<! >/tmp/ftp.log open $FTP_IP $FTP_PORT user $USER_ID $PASSWORD prompt cd $

C#大文件上传(转--待验证)

几种常见的方法,本文主要内容包括:    第一部分:首先我们来说一下如何解决ASP.net中的文件上传大小限制的问题,我们知道在默认情况下ASP.NET的文件上传大小限制为2M,一般情况下,我们可以采用更改Web.Config文件来自定义最大文件大小,如下: 这样上传文件的最大值就变成了4M,但这样并不能让我们无限的扩大 MaxRequestLength的值,因为ASP.NET会将全部文件载入内存后,再加以处理.解决的方法是利用隐含的 HttpWorkerRequest,用它的GetPreloa

文件上传之黑名单验证绕过

当做代码的审计或者文件搞渗文章上传的时候有时候会遇到黑名单的验证码,比如常规的一些脚本名asp php jsp这种的不允许上传,下面是我总结的一些绕过的方法 Shtml <!--#includefile="/home/www/user8534/nav_foot.htm"--> //可以用来读文件 <!--#exec cmd="ifconfig"--> //可以用来执行命令 iis解析 sanr.php;.gif sanr.asp;.jpg s

文件上传限制绕过的原理以及方法总结

0x00 概述 6666666 0x01 客户端检测绕过(js检测) 检测原理 在客户端通过如下的javascript代码来检测用户提交的文件是否合法: 1 <script type="text/javascript"> 2 function checkFile() { 3 var file = document.getElementsByName('upload_file')[0].value; 4 if (file == null || file == "&q

文件上传绕过知识总结一

前言 重新学习漏洞原理,记录下文件上传的绕过姿势 客户端的检测: 1 function checkFile() { 2 var file = document.getElementsByName('upload_file')[0].value; 3 if (file == null || file == "") { 4 alert("请选择要上传的文件!"); 5 return false; 6 } 7 //定义允许上传的文件类型 8 var allow_ext =

深入分析JavaWeb 47 -- Struts2拦截器与文件上传下载

一.struts2中的拦截器(框架功能核心) 1.过滤器VS拦截器 过滤器VS拦截器功能是一回事.过滤器是Servlet规范中的技术,可以对请求和响应进行过滤. 拦截器是Struts2框架中的技术,实现AOP(面向切面)的编程思想,是可插拔的, 可以对访问某个 Action 方法之前或之后实施拦截. 拦截器栈(Interceptor Stack): 将拦截器按一定的顺序联结成一条链. 在访问被拦截的方法时, Struts2拦截器链中的拦截器就会按其之前定义的顺序被依次调用 Struts2执行原理

深入分析JavaWeb Item47 -- Struts2拦截器与文件上传下载

一.struts2中的拦截器(框架功能核心) 1.过滤器VS拦截器 过滤器VS拦截器功能是一回事. 过滤器是Servlet规范中的技术,能够对请求和响应进行过滤. 拦截器是Struts2框架中的技术.实现AOP(面向切面)的编程思想.是可插拔的, 能够对訪问某个 Action 方法之前或之后实施拦截. 拦截器栈(Interceptor Stack): 将拦截器按一定的顺序联结成一条链. 在訪问被拦截的方法时, Struts2拦截器链中的拦截器就会按其之前定义的顺序被依次调用 Struts2运行原