php安全攻防利用文件上传漏洞与绕过技巧详解

目录
  • 前言
  • 文件上传漏洞的一些场景
    • 场景一:前端js代码白名单判断.jpg|.png|.gif后缀
    • 场景二:后端PHP代码检查Content-type字段
    • 场景三:代码黑名单判断.asp|.aspx|.php|.jsp后缀
    • 场景四:代码扩大黑名单判断
      • 绕过方式——htaccsess:
      • 绕过方式——大小写绕过:
    • 场景五:一些复合判断
      • 空格、点绕过(windows)
      • ::$DATA绕过(windows)
      • 双写绕过
      • %00截断
      • %0a绕过
      • 图片马绕过
      • 二次渲染绕过
      • 条件竞争
      • /.绕过

前言

文件上传漏洞大多出现在可以进行文件上传的地方,如用户头像上传,文档上传处等。该漏洞是一个危害十分大的漏洞,通过文件上传,攻击者可以上传webshell并进行getshell操作,从而获得系统shell,可执行任意命令。也为后续大型木马的上传,特权提升提供了一个良好的基础。

文件上传漏洞的一些场景

接下来针对文件上传漏洞的一些waf过滤的场景进行说明并进行绕过和利用。

场景一:前端js代码白名单判断.jpg|.png|.gif后缀

在该场景下,防御的姿势是通过js代码对上传的文件后缀进行判断,如果不是.jpg|.png|.gif这三个后缀的文件则不允许上传至后台

绕过方式:

将带有一句话木马的文件后缀名改为xxx.jpg|png|gif,在上传处通过BurpSuite进行包拦截并改包,将文件后缀名改为php|jsp等脚本的后缀。上传成功后访问该文件的路径即可getshell。

场景二:后端PHP代码检查Content-type字段

在该场景下,防御的姿势是通过js代码对上传文件请求的Content-type字段进行检查,如果不是image/jpeg则不允许上传至后台

绕过方式:

将上传一句话木马文件的request包进行拦截,添加或修改Content-type字段为image/jpeg

场景三:代码黑名单判断.asp|.aspx|.php|.jsp后缀

在该场景下,防御姿势是通过后台代码对上传的文件后缀进行判断,如果是.asp|.aspx|.php|.jsp这四个后缀的文件则不允许上传

绕过方式:

当apache的配置文件httpd.conf中存在如下配置时:

AddType application/x-httpd-php .php .phtml .phps .php5 .pht

说明可以通过上传.phtml|.phps|.php5|.pht这些后缀名的文件,且他们都会被解析称后缀为.php的文件。所以可以尝试使用上传xxx.php5这类的文件进行绕过

关于AddType命令的作用:

AddType 指令

作用:在给定的文件扩展名与特定的内容类型之间建立映射
语法:AddType MIME-type extension [extension] …
AddType指令在给定的文件扩展名与特定的内容类型之间建立映射关系。MIME-type指明了包含extension扩展名的文件的媒体类型。
AddType 是与类型表相关的,描述的是扩展名与文件类型之间的关系。AddType 是与类型表相关的,描述的是扩展名与文件类型之间的关系。

场景四:代码扩大黑名单判断

在该场景下,防御姿势是通过后台代码对上传的文件后缀进行判断,如果是.php|.php5|.php4|.php3|.php2|.php1|.html|.htm|.phtml|.pht|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|.pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf"这些后缀的文件则不允许上传

绕过方式——htaccsess:

使用.htaccsess文件进行绕过

.htaccsess文件的作用:

.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在httpd.conf文件中配置。

.htaccsess文件的使用条件:

mod_rewrite模块开启。
AllowOverride All

构造.htaccess文件,内容如下:

AddType application/x-httpd-php .jpg

这里代码的意思可以让 .jpg后缀名文件格式的文件名以php格式解析,因此达到了可执行的效果。所以我们可以把要上传的php文件的后缀名改为.jpg格式从而绕过

绕过方式——大小写绕过:

如果在黑名单中没有针对大小写进行限制,则可以进行大小写绕过,如将.php后缀改为.PhP|.PHP后缀

场景五:一些复合判断

在该场景下,防御姿势除了基本的黑/白名单外,还包括了对一些特定字符的限制,具体情况可以进行fuzz或者有条件可以进行代码审计

空格、点绕过(windows)

当接收文件时,后台代码的限制条件中没有去除文件名首尾的空格(或是没有对.进行拆分)时,可以利用windows系统的命名规则进行绕过:如,将文件后缀改为xxx.phpxxx.php.xxx.php .

在windows下xx.jpg[空格] 或xx.jpg.这两类文件是不允许存在的,若这样命名,windows会默认去除空格或点

还有些情况具体就需要看代码逻辑,比如如果代码只删除一次点且只去除一次首尾空格,在windows环境下就可以用xxx.php. .进行绕过

::$DATA绕过(windows)

::$DATA绕过同样利用了windows的特性

NTFS文件系统包括对备用数据流的支持。这不是众所周知的功能,主要包括提供与Macintosh文件系统中的文件的兼容性。备用数据流允许文件包含多个数据流。每个文件至少有一个数据流。在Windows中,此默认数据流称为:$ DATA。

即在php+windows的环境下,如果文件名+::$DATA会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名。

双写绕过

当防御的代码中存在将某些特定后缀进行空字符替换时(如利用str_ireplace函数将.php|.jsp等后缀替换为空字符)

这时候可以将后缀双写,即将php改成pphphp

%00截断

00截断绕过方式需要满足以下条件

php版本小于5.3.4
php.ini的magic_quotes_gpc为OFF状态
使用move_uploaded_file函数且参数受用户控制

此时move_uploaded_file函数遇到0x00会截断

可以将上传文件后缀改为xx.php%00进行绕过

%0a绕过

%0a绕过方式需要满足以下条件

Apache httpd 2.4.0至2.4.29
FileMatch正则匹配.php|.php5等后缀

该版本apache会通过$匹配后缀,而$匹配时会正则匹配某字符串结尾或以换行符结尾的一个字符串,即php[换行符]会被匹配成php

可以将上传文件后缀改为xx.php%0a进行绕过

图片马绕过

window的cmd命令制作图片马

copy 1.jpg /b + shell.php /a shell.jpg

或是利用其他图片马生成器生成

二次渲染绕过

判断图片格式后用image函数进行二次渲染

绕过方式:

抓包找到二次渲染中未被改动的地方,将一句话马插入该地方,.jpg|.png|.gif三种文件格式不同,所以构造马的方式也不同

注:gif文件最简单,直接用ue等16进制编辑器就可以改,但是jpg和png需要特殊的构造脚本

先将一张正常的jpg图片上传,上传后将服务器存储的二次渲染的图片保存下来。
将保存下来经过服务器二次渲染的那张jpg图片,用此脚本进行处理生成payload.jpg
然后再上传payload.jpg

条件竞争

当上传文件逻辑为:先move_uploaded_file函数将上传文件临时保存,再进行判断,如果不在白名单里则unlink删除,在的话就rename重命名。此时会存在条件竞争

绕过方法:
用burp开启两个intruder模块,一个用于重复上传,另一个用于重复访问。会有一定记录返回执行结果

/.绕过

move_uploaded_file函数参数可控时,可以尝试/.绕过,因为该函数会忽略掉文件末尾的/.,所以可以构造save_path=1.php/.,这样file_ext值就为空,就能绕过黑名单,而move_uploaded_file函数忽略文件末尾的/.可以实现保存文件为.php

以上就是php安全攻防利用文件上传漏洞与绕过技巧详解的详细内容,更多关于php文件上传漏洞利用与绕过技巧的资料请关注我们其它相关文章!

(0)

相关推荐

  • 由php中字符offset特征造成的绕过漏洞详解

    php中的字符offset特性 php中的字符串存在一个非常有趣的特性,php中的字符串也可以像数组一样进行取值. $test = "hello world"; echo $test[0]; 最后的结果就是h. 但是上述的这种特性有时会有意想不到的效果,看下面这段代码 $mystr = "hello world"; echo $mystr["pass"]; 上述的代码的输出结果是h.这是为什么呢?其实很简单,和很多其他的语言一样,字符串在php中

  • CTF命令执行及绕过技巧

    前言 今天是代码审计部分的一个技巧补充!前些阵子做了sql注入回顾篇系列!今天开启php代码审计系列! 今天内容主要是CTF中命令注入及绕过的一些技巧!以及构成RCE的一些情景! 正文 在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同.他们的区别在于,远程代码执行实际上是调用服务器网站代码进行执行,而命令注入则是调用操作系统命令进行执行. 虽然最终效果都会在目标机器执行操,但是他们还是有区别的,基于这个区别,我们如何找到并利用方式也是有所不同的! 代码执行 代码执行的几种方式

  • PHP序列化/对象注入漏洞分析

    本文是关于PHP序列化/对象注入漏洞分析的短篇,里面讲述了如何获取主机的远程shell. 如果你想自行测试这个漏洞,你可以通过 XVWA 和 Kevgir 进行操作. 漏洞利用的第一步,我们开始测试目标应用是否存在PHP序列化.为了辅助测试,我们使用了Burpsuite的SuperSerial插件,下载地址在 这里 .它会被动检测PHP和Java序列化的存在. 分析 我们检测到了应用里使用了PHP序列化,所以我们可以开始确认应用代码里是否含有远程代码执行漏洞.需要注意的是,序列化对象是从参数"r

  • php文件上传你必须知道的几点

    本篇文章主要说明的是与php文件上传的相关配置的知识点.PHP文件上传功能配置主要涉及php.ini配置文件中的upload_tmp_dir.upload_max_filesize.post_max_size等选项,下面一一说明. 打开php.ini配置文件找到File Uploads file_uploads = On 默认允许HTTP文件上传,此选项不能设置为OFF. upload_tmp_dir = 默认为空,此选项在手动配置PHP运行环境时,也容易遗忘,如果不配置这个选项,文件上传功能就

  • PHP编程中的常见漏洞和代码实例

    不是固若金汤,随着PHP的广泛运用,一些黑客们也在无时不想找PHP的麻烦,通过PHP程序漏洞进行攻击就是其中一种.在节,我们将从全局变量,远程文件,文件上载,库文件,Session文件,数据类型和容易出错的函数这几个方面分析了PHP的安全性. 如何通过全局变量进行攻击? PHP中的变量不需要事先声明,它们会在第一次使用时自动创建,它们的类型根据上下文环境自动确定.从程序员的角度来看,这无疑是一种极其方便的处理方法.一旦一个变量被创建了,就可以在程序中的任何地方使用.这个特点导致的结果就是程序员很

  • php安全攻防利用文件上传漏洞与绕过技巧详解

    目录 前言 文件上传漏洞的一些场景 场景一:前端js代码白名单判断.jpg|.png|.gif后缀 场景二:后端PHP代码检查Content-type字段 场景三:代码黑名单判断.asp|.aspx|.php|.jsp后缀 场景四:代码扩大黑名单判断 绕过方式--htaccsess: 绕过方式--大小写绕过: 场景五:一些复合判断 空格.点绕过(windows) ::$DATA绕过(windows) 双写绕过 %00截断 %0a绕过 图片马绕过 二次渲染绕过 条件竞争 /.绕过 前言 文件上传漏

  • SpringBoot文件上传与下载功能实现详解

    目录 前言 1.引入Apache Commons FileUpload组件依赖 2.设置上传文件大小限制 3.创建选择文件视图页面 4.创建控制器 5.创建文件下载视图页面 前言 文件上传与下载是Web应用开发中常用的功能之一,在实际的Web应用开发中,为了成功上传文件,必须将表单的method设置为post,并将enctype设置为multipart/form-data 只有这样设置,浏览器才能将所选文件的二进制数据发送给服务器 从Servlet3.0开始,就提供了处理文件上传的方法,但这种文

  • Java实现文件上传和下载的方法详解

    目录 1.文件上传 1.1 介绍 1.2 代码实现 2.下载 2.1 介绍 2.2 代码实现 1.文件上传 1.1 介绍 文件上传,也称为upload,是指将本地图片.视频.音频等文件上传到服务器上,可以供其他用户浏览或下载的过程.文件上传在项目中应用非常广泛,我们经常发微博.发微信朋友圈都用到了文件上传功能. 文件上传时,对页面的form表单有如下要求: 表单属性 取值 说明 method post 必须选择post方式提交 enctype multipart/form-data 采用mult

  • Bootstrap fileinput文件上传预览插件使用详解

    介绍 通过本文,你可以学习到如何封装或者开发一个前端组件,同时学习Bootstrap-fileinput组件的使用,封装后使用更加简单方便. BaseFile是AdminEAP框架中基于Bootstrap-fileinput的附件上传组件,它支持 支持多文件.在线预览.拖拽上传等功能,封装后BaseFile主要包括以下功能: 弹出窗口的附件上传 当前界面的附件上传 显示附件明细 可编辑的附件明细(删除.预览.不可新增) 关于Bootstrap-fileinput的API文档可参考http://p

  • php文件上传的例子及参数详解

    1.上传表单 upload.html 程序代码HTML 复制代码 代码如下: <form enctype="multipart/form-data" action="upload.php" method="post">  <input type="hidden" name="max_file_size" value="100000">  <input nam

  • PHP封装的多文件上传类实例与用法详解

    本文实例讲述了PHP封装的多文件上传类实例与用法.分享给大家供大家参考,具体如下: <?php /**//* * @(#)UploadFile.php * * 可同时处理用户多个上传文件.效验文件有效性后存储至指定目录. * 可返回上传文件的相关有用信息供其它程序使用.(如文件名.类型.大小.保存路径) * 使用方法请见本类底部(UploadFile类使用注释)信息. * */ class UploadFile { var $user_post_file = array(); //用户上传的文件

  • vue使用axios实现文件上传进度的实时更新详解

    axios 简介 axios 是一个基于Promise 用于浏览器和 nodejs 的 HTTP 客户端,它本身具有以下特征: 从浏览器中创建 XMLHttpRequest 从 node.js 发出 http 请求 支持 Promise API 拦截请求和响应 转换请求和响应数据 取消请求 自动转换JSON数据 客户端支持防止 CSRF/XSRF 引入方式: $ npm install axios //使用淘宝源 $ cnpm install axios //或者使用cdn: <script s

  • 微信小程序学习笔记之文件上传、下载操作图文详解

    本文实例讲述了微信小程序学习笔记之文件上传.下载操作.分享给大家供大家参考,具体如下: 前面介绍了微信小程序登录API与获取用户信息操作.这里再来介绍一下文件的上传与下载操作. [文件上传]wx.uploadFile (以上传图片为例) 后台上传接口Upload.php:(tp5) <?php namespace app\home\controller; use think\Controller; class Upload extends First { //上传图片API public fun

  • Java文件上传与文件下载实现方法详解

    本文实例讲述了Java文件上传与文件下载实现方法.分享给大家供大家参考,具体如下: Java文件上传 数据上传是客户端向服务器端上传数据,客户端向服务器发送的所有请求都属于数据上传.文件上传是数据上传的一种特例,指客户端向服务器上传文件.即将保存在客户端的文件上传一个副本到服务器,并保存在服务器中. 1.上传表单要求 文件上传要求客户端提交特殊的请求--multipart请求,即包含多部分数据的请求.必须将<form/>标签的enctype属性值设为"multipart/form-d

  • node.js express框架实现文件上传与下载功能实例详解

    本文实例讲述了node.js express框架实现文件上传与下载功能.分享给大家供大家参考,具体如下: 背景 昨天吉视传媒的客户对IPS信息发布系统又提了一个新需求,就是发布端发送消息时需要支持附件的上传,而接收端可以对发布端上传的附件进行下载:接收端回复消息时也需要支持上传附件,发布端可以对所有接收端上传的附件进行打包下载. 功能实现 前台部分 前台使用webUploader插件即可,这是百度开发的一款文件上传组件,具体使用查看它的API即可.这个项目之前开发的时候前台使用了angular.

随机推荐