上传漏洞绕过思路

什么是文件上传漏洞?

答:当文件上传时,如果服务端的脚本语言没有对上传的文件进行检查和过滤,那假如,渗透者直接上传恶意代码文件,那么就有可能直接控制整个网站,或者说以此为跳板,直接拿下服务器,这就是文件上传漏洞。

现在还存在能直接上传的上传漏洞吗?

答:不能说绝对没有,但是肯定存在,只不过很少。所以一般的渗透测试中,都是找上传点,然后绕过上传限制,直接上传恶意脚本文件,进行控制,拿下webshell。

那这篇上传漏洞原理分析主要讲什么?

答,拿webshell这个上传法,我这篇里是肯定不会记录的,网上关于这个的很多的,什么截断啊,解析啊,对了解析漏洞,这个我会开始讲这个漏洞时再总结的。本篇就是简单的上传,直接上传,控制,毕竟这就是最原始的上传漏洞,我只是分析漏洞原理。关于其它的,等我自己打网络攻防平台,打一些其他人在线的靶场的时候,就会涉及到这些,我会在打靶场的时候好好总结记录的。

对了还有最重要的!!! what ?

答:不管你上传的什么恶意代码,前提是必须被服务器所认同为该环境下的语言,才能执行,要不然,你一个asp的脚本环境,你上传一个PHP的恶意代码,你觉得这个有用吗?当然实际的渗透测试中,肯定会出现各种问题,这个就需要你自己去分析去攻破了。

​文件解析漏洞 :解析漏洞主要说的是一些特殊文件被iis、apache、nginx在某种情况下解释成脚本文件格式的漏IIS5.x/6.0解析漏洞。- .htaccess 文件攻击 通过一个.htaccess 文件调用 php 的解析器去解析一个文件名中只要包含"haha"这个字符串的 任意文件,所以无论文件名是什么样子,只要包含"haha"这个字符串,都可以被以 php 的方 式来解析,是不是相当邪恶,一个自定义的.htaccess 文件就可以以各种各样的方式去绕过很 多上传验证机制。
上传漏洞绕过思路_第1张图片
解析漏洞

攻击者利用上传漏洞时,通常会与Web容器的解析漏洞结合在一起。

所以我们先了解解析漏洞,才能更深入的了解上传漏洞

常见的Web容器有IIS、Apache、Tomcat、Nginx等,我们以IIS和Apache为例讲解。

IIS解析漏洞

IIS6.0在解析文件时有以下两个漏洞(微软不认为这是一个漏洞,所以并没有IIS6.0的补丁)

1)当建立*.asa、*.asp格式的文件夹时,其目录下的任何文件都将被当做asp脚本执行

2)当文件为*.asp;1.jpg,IIS6.0同样会以ASP脚本来执行

Apache解析漏洞

在Apache 1.x和Apache 2.x中存在解析漏洞 ,Apache在解析文件时有一个原则:

当碰到不认识的扩展名时,将会从后向前解析,直到碰到认识的 扩展名,如果都不认识,则会暴露其源码。比如 1.php.rar.ss.aa 会被当做PHP脚本执行

常见的上传检测方式;

1.客户端javascript检测(通常为检测文件扩展名)

2.服务端MIME类型检测(检测Content-Type内容)

3.服务端目录路径检测(检测跟path相关的内容)

4.服务端文件扩展名检测(检测跟文件extension相关的内容)

5.服务端文件内容检测(检测内容是否合法或含有恶意代码)

客户端口岸侧绕过(javascript检测)

*首先判断JS本地验证

*通常可以根据它的验证警告弹框的速度可以判断,如果你的电脑运行比较快,那么我们可以用burp抓包,在点击提交的时候burp没有抓到包,就已经弹框。那么说明这个就是本地js验证。

*绕过方法:

1.使用burp抓包改名

2.使用firebug直接删除掉本地验证的js代码

3.添加js验证的白名单,如将php的格式添加进去

MIME的作用 : 使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。

web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类。

Tomcat的安装目录\conf\web.xml 中就定义了大量MIME类型 ,你可也去看一下。

MIME的作用 : 使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。

web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类。

Tomcat的安装目录\conf\web.xml 中就定义了大量MIME类型 ,你可也去看一下。

绕过方法:

直接使用burp抓包,得到post上传数据后,将 Content-Type: text/plain改成 Content-Type: image/gif

就可以成功绕过。

1.客户端校验

一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。

判断方式:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包。

2.服务端校验

2.1 content-type字段校验

这里以PHP代码为例,模拟web服务器端的校验代码

服务端检测绕过(文件扩展名检测)

  • 黑名单检测

黑名单的安全性比白名单的安全性低很多,攻击手法自然也比白名单多 一般有个专门的 blacklist 文件,里面会包含常见的危险脚本文件例如 fckeditor 2.4.3 或之前版本的黑名单

白名单检测

白名单相对来说比黑名单安全一些,但也不见得就绝对安全了

绕过黑名单:

  1. 文件名大小写绕过

用像 AsP,pHp 之类的文件名绕过黑名单检测

  1. 名单列表绕过

用黑名单里没有的名单进行攻击,比如黑名单里没有 asa 或 cer 之类

  1. 特殊文件名绕过

比如发送的 http 包里把文件名改成 test.asp. 或 test.asp_(下划线为空格),这种命名方式 在 windows 系统里是不被允许的,所以需要在 burp 之类里进行修改,然后绕过验证后,会 被 windows 系统自动去掉后面的点和空格,但要注意 Unix/Linux 系统没有这个特性。

转载自https://blog.csdn.net/weixin_34232744/article/details/87701320

你可能感兴趣的:(上传漏洞绕过思路)