zoukankan      html  css  js  c++  java
  • 常见的文件上传绕过和文件解析漏洞

    常见的文件上传绕过漏洞有
        1、前段绕过
        2、服务端绕过
        3、配合解析漏洞突破上传
        4、编辑器漏洞
        
    一、前端绕过
          . 客户端javascript检测(通常为检测文件拓展名)
    这是文件上传突破的第一步,也是最容易绕过的一个 ,只要把需要上传的文件的后缀名改为前端允许通过的就可以;
    如 xxx.php -->xxx.jpg;
    这时利用抓包软件如:burpswite之类的代理工具抓取通过上传的以图片格式结尾的文件,然后更改其后缀名为对应服务器
    可以解析的后缀名。

    前端绕过比较简单,一般的网站不会只在前端对文件后缀名进行验证,所以不多加解释。

    二、(1)服务端的MIME检测绕过
    服务端MIME类型检测也就是检测Content-Type的内容。下面是一段测试模拟代码:
    <?php
    if ($filetype =='image/jpg'|| $filetype=='image/gif' || $filename == 'image/jpeg' || $filetype == 'image/png'){
        $path = 'uploads';
        if (!file_exists($path)){
            mkdir($path);

        }
        if (move_uploaded_file($filetmp, $path.'/'.$filename)){
            echo "文件上传成功".$path.'/'.$filename;
        }else{
            echo "文件上传失败";
        }
    }else{
        echo "文件后缀不合法";
    }
    ?>
    绕过的办法:
    更改为Content-Type:image/gif


    (2)服务端目录路径检测
     一般是检测保存路径是否合法,但一般都没有防御。检测跟path参数相关的内容。

    绕过办法:00截断

    通过抓包截断将 xxx.php.jpg 换成 xxx.php_jpg(下划线为0x00)。在上
    传文件时系统文件遇到0x00。会认为文件已经结束。从而将xxx.php.jpg的内
    容写入到xxx.php

    还可以使用抓包软件的 HEX 功能把php后面的 . 对应的2E 手动更改为00



    (3)服务端文件名拓展检测
        基于黑名单检测:
        黑名单的安全性比白名单的安全性低很多,攻击手法自然也比白名单多。一般有个专门的blacklist,里面包含常见的危险脚本文件。

    绕过办法:
    1、文件名大小写绕过(AsP, pHp等等)
    2、黑白名单列表绕过(php、php2、php3、php5、phtml、asp、aspx、ascx、
    ashx、cer、asa、jsp、jspx)cdx,
    3、特殊文件名绕过
    修改数据包里的文件名改为 test.php. 或者 test.asp_ (下划线是空格)由于
    这种命名格式在windows系统里是不允许的。所以在绕过上传之后windows系统
    会自动去掉 点和空格。Unix/Linux系统没有这个特性。
    4、0x00截断绕过
    5、.htaccess文件攻击(结合黑名单攻击)

    主要介绍第五种绕过办法:
    .htaccess文件攻击
    .htaccess文件攻击即结合黑名单攻击服务器的 .htaccess文件 。
    通过move_uploaded_file函数把自己写的 .htaccess文件覆盖掉服务
    器上的这样就可以解析定义名单了。
    .htaccess文件用处:
    通过.htaccess文件调用php解释器去解析一个文件名中只要包含
    “haha”这个字符串的任意文件,无论你文件名是什么样子,只要包
    含”haha”这个字符串,都可以被以php的方式来解析。
    .htaccess文件内容:
    <FilesMatch “haha”>
    SetHandler application/x-httpd-php
    </FilesMatch>

    (4)服务端文件内容拓展检测
        如果服务器对上传的文件进行了文件内容检测就只能上传图片了,但是可以利用图片和脚本文件制作一个图片马
    如 1.gif 和2.txt 前面的图片尽量要简单,不然容易干扰制作后的文件内容解析,后面的文档是需要执行的脚本文件
    利用命令窗口:copy /b 1.gif + 2.txt = new.php
    这样就制作出来了一个图片马,再利用上面的方法绕过文件扩展名检测

    三、Apache解析漏洞
    test.php.aaa.bbb.ccc任意不属于黑名单且不属于Apache解析白名单
    之内的后缀名。(当apache和php以module方式结合的时候)

    一个文件名为test.php.aaa.bbb.ccc的文件,Apache会从ccc的位置往
    php的位置开始尝试解析 ,如果ccc不属于Apache能解析的后缀名,那么
    Apache就会尝试去解析bbb,这样一直往前尝试,直到遇到一个能解析的
    拓展名为止

    所以可以对要上传的文件添加无用扩展名如xxx.php -->xxx.php.gashgas

    IIS 解析漏洞
    • dir.asp/任意文件名
    • test.asp;任意文件名
    • 任意文件名/任意文件名.php muma.jpg/111.php

    IIS6.0 在解析 asp 格式的时候有两个解析漏洞.
    一个是如果目录名以"
    .asp 、.asa、.cer、.cdx
    "字符串结尾,那么这个
    目录下所有的文件都会按照 asp 去解析。eg: “test.asp/1.jpg”
    另一个是只要文件名中含有"
    .asp;、.asa;、.cer;、.cdx;会优先按 asp
    来解析 eg:
    “1.asp;.jpg”

    IIS7.0/7.5是对php解析时有一个类似于Nginx的解析漏洞, 对任意文件
    名只要在URL后面追加上字符串"/任意文件名.php
    "
    ,就会按照 php 的方式
    去解析
    eg:”http://www.target.com/upload/1.jpg/1adf.php”


    总结
    路径/拓展名检绕过
    • 黑名单绕过
    • 文件名大小写绕过
    • 名单列表绕过
    • 特殊文件名绕过
    • 0x00截断绕过

    .htaccess文件攻击
    • Apache解析漏洞
    • IIS解析漏洞
    • Nginx解析漏洞
    • 白名单绕过
    • 文件名后缀0x00截断绕过
    • PHP文件包含漏洞
    • IIS解析漏洞
    • Nginx解析漏洞

    博主简介:博主国内安全行业目前最强大的网络安全公司做技术研究员,常年做技术工作。 获得过以下全国竞赛大奖: 《中国电子作品大赛一等奖》 《云计算技术大赛一等奖》 《AIIA人工智能大赛优胜奖》《网络安全知识竞赛一等奖》 《高新技术个人突出贡献奖》,并参与《虚拟化技术-**保密**》一书编写,现已出版。还拥有多项专利,多项软件著作权! 且学习状态上进,立志做技术牛逼的人。座右铭:在路上,永远年轻,永远热泪盈眶。可邮件联系博主共同进步,个人邮箱:pigeon_code@163.com
  • 相关阅读:
    webpack + vue 向本地后端发送http请求跨域问题
    用FileReader对象从本地读取文件
    oninput与onchange比较
    height: 100% 无效问题
    关于html布局
    圣诞节给自己的犒劳
    django学习之——模版
    django学习之——我的 Hello World
    django学习之——创建项目
    python and pycharm and django 环境配置
  • 原文地址:https://www.cnblogs.com/mutudou/p/15458147.html
Copyright © 2011-2022 走看看