渗透之路基础 -- 文件上传

具体还是要根据实战情况来判断分析,本文仅供思路学习和参考

漏洞危害

可以直接上传Shell,导致服务器getshell

漏洞形成

Web应用程序没有对上传文件的格式进行严格过滤 , 还有一部分是攻击者通过 Web服务器的解析漏洞来突破Web应用程序的防护;通常都会出现在,上传功能上

文件上传格式及解析

​ 没有解析漏洞的情况下,格式代码必须要和文件格式一直,否则无法正常解析运行,如果存在解析漏洞的情况下,格式代码可以和不同格式相互解析

​ 之后也会发出关于解析漏洞的文章!

漏洞防御

可以针对文件名文件大小文件内容文件类型等进行防御

  1. 检查文件上传路径 ( 避免 0x00 截断、 IIS6.0 文件夹解析漏洞、目录遍历 )

  2. 文件扩展名检测 ( 避免服务器以非图片的文件格式解析文件 )

  3. 文件 MIME验证 ( 比如 GIF 图片 MIME为 image/gif,CSS 文件的 MIME为 text/css 等 ) 3. 文件内容检测 ( 避免图片中插入 webshell)

  4. 图片二次渲染 ( 最变态的上传漏洞防御方式 , 基本上完全避免了文件上传漏洞 )

  5. 文件重命名 ( 如随机字符串或时间戳等方式 , 防止攻击者得到 webshell 的路径 )

注意:若攻击者上传了shell之后,肯定会通过某刀剑进行连接,所以尽量不要暴露文件路径,并且设置访问权限,以进一步防御

文件上传验证及突破

文件过滤,验证后缀:

  1. 文件头验证

  2. 文件类型验证

  3. 文件后缀验证

    绕过:

    1. 修改文件头,伪造文件属性
    2. 修改文件类型,伪造文件类型 MIME绕过
    3. 增加多重后缀,伪造文件后缀 命名绕过

    js 本地验证突破

    1. 复制js代码,创建本地文件删除相应验证代码后直接上传(无防盗链可用)

    2. %00 截断 shell.php%00.jpg => shell.php

      测试代码 upload.php

      
      
      
      
          
          
          文件上传漏洞演示脚本--JS验证实例
          
      
      

      文件上传漏洞演示脚本--JS验证实例

      请选择要上传的文件:

渗透之路基础 -- 文件上传_第1张图片

  上传成功之后仍然是图片格式

渗透之路基础 -- 文件上传_第2张图片

  *这时候需要抓包修改*

渗透之路基础 -- 文件上传_第3张图片

  - 注意:直接通过burp抓包修改,可能上传的文件还是shell.php%00.jpg
  - 需要通过修改%00的URL编码格式:
    - 选中%00 右键选中 URL
    - 点击 URL-decode
    - %00 乱码则可以上传

渗透之路基础 -- 文件上传_第4张图片

文件上传MIME验证突破

​ 测试页面 mime.php





    
    
    文件上传漏洞演示脚本--MIME验证实例

文件上传漏洞演示脚本--MIME验证实例

请选择要上传的文件:

渗透之路基础 -- 文件上传_第5张图片

渗透之路基础 -- 文件上传_第6张图片

抓包修改 Content-Type

渗透之路基础 -- 文件上传_第7张图片

序号 内容类型 文件扩展名 描述
1 application/msword doc Microsoft Word
2 application/octet-stream bin dms lha lzh exe class 可执行程序
3 application/pdf pdf Adobe Acrobat
4 application/postscript ai eps ps PostScript
5 appication/powerpoint ppt Microsoft Powerpoint
6 appication/rtf rtf rtf 格式
7 appication/x-compress z unix 压缩文件
8 application/x-gzip gz gzip
9 application/x-gtar gtar tar 文档 (gnu 格式 )
10 application/x-shockwave-flash swf MacroMedia Flash
11 application/x-tar tar tar(4.3BSD)
12 application/zip zip winzip
13 audio/basic au snd sun/next 声音文件
14 audio/mpeg mpeg mp2 Mpeg 声音文件
15 audio/x-aiff mid midi rmf Midi 格式
16 audio/x-pn-realaudio ram ra Real Audio 声音
17 audio/x-pn-realaudio-plugin rpm Real Audio 插件
18 audio/x-wav wav Microsoft Windows 声音
19 image/cgm cgm 计算机图形元文件
20 image/gif gif COMPUSERVE GIF 图像
21 image/jpeg jpeg jpg jpe JPEG 图像
22 image/png png PNG 图像

​ http://www.w3school.com.cn/media/media_mimeref.asp

关于编辑器上传漏洞利用

​ 网站程序编辑器插件,eweb,fck,ce,cfinder,ck等

​ 利用图片路径判断编辑器类型

.htaccess 文件上传漏洞

​ 只适用于Apache 通过配置文件来解析执行相应脚本


SetHandler application/x-httpd-php

渗透之路基础 -- 文件上传_第8张图片

直接访问是访问不到的

渗透之路基础 -- 文件上传_第9张图片

通过修改.htaccess文件可直接访问

渗透之路基础 -- 文件上传_第10张图片

渗透之路基础 -- 文件上传_第11张图片

可以将任意文件解析为PHP

  1. 如果存在上次.htaccess文件,可以直接利用规则解析
  2. 如果存在修改文件的权限,修改解析规则
  3. 拓展利用:权限维持

你可能感兴趣的:(渗透之路基础 -- 文件上传)