漏洞原理
有些系统只是在客户端使用js对上传文件的后缀进行检查,服务端没有进行检查。由于客户端的js用户可以禁用,修改等等,导
致可以绕过客户端的检测,上传不合法文件。
漏洞利用
1.将js禁用
2.修改客户端的js
3.上传合法后缀,使用burp抓包,再改后缀。
漏洞原理
有些系统只是在客户端使用js对上传文件的后缀进行检查,服务端没有进行检查。由于客户端的js用户可以禁用,修改等等,导致可以绕过客户端的检测,上传不合法文件。
漏洞利用
上传webshell,burp抓包,修改Content-Type为image/jpge,image/png,image/png
漏洞原理
大部分Web系统是由asp,php和jsp三种主流语言编写的。它们默认的后缀asp,aspx,.php,.jsp。然而web服务器还支持其它后缀。这时如果Web系统只是禁止上传默认可解析的后缀,那么则可以通过其他可解析的后缀绕过
漏洞利用
例如: php环境下可以尝试上传,php2,php3, php4,php5
漏洞原理
.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等
功能。
漏洞利用
1.上传内容为AddType application/x-httpd-php .jpg的.htaccess到服务器2.上传后缀为.jpg的图片马
3.访问图片马即可运行马中的恶意代码
.user.ini内容:
GIF89a
auto_prepend_file=a.jpg
访问同目录下的任意php文件a.jpg均会被包含
漏洞原理
有些系统的黑名单很全面,但是没有对大小写进行转换,则可能会导致大小写绕过。
注意: Windows操作系统下文件名不区分大小写,Linux下区分。所以这个姿势只适合Window操作系统.
漏洞利用
例如: php环境下如果系统禁止上传.php..php2.php3..php4..php5,那这可以尝试上传以下后缀:(1).PHp
(2).phP2
(3).pHP3
(4)……
漏洞原理
当黑名单中限制上传.php后缀的文件时,我们可以上传test.php+空格。这时服务器获取到的后缀是.php+空格,不在黑名单中,上传成功。由于Windows文件系统的特性,在生成的test.php+空格=test.php。
漏洞利用
例如︰
php环境下上传test.php+空格,test.php2+空格,test.php3+空格等等Asp环境下上传test.asp+空格,test.asa+空格,test.cer+空格等等Jsp环境下上传test.jsp+空格,test.jspx+空格等等
漏洞原理
当黑名单中限制上传.php后缀的文件时,我们可以上传test.php。这时服务器获取到的后缀是空,不在黑名单中,上传成功。由于Windows文件系统的特性,在生成的test.php+.=test.php。
漏洞利用
例如∶
php环境下上传test.php.,test.php2.,test.php3.等等Asp环境下上传test.asp.,test.asa.,test.cer.等等Jsp环境下上传test.jsp.,test.jspx.等等
漏洞原理
ADS是NTFS磁盘格式的一个特性,用于NTFS交换数据流。在上传文件时,如果系统对请求正文的filename匹配不当的话导致绕过。
漏洞利用
例如︰在php环境下可以上传test.php::$DATA。
注意:::$DATA不区分大小写
漏洞原理
上传文件名为shel.asdphpasd.pHP.php,上传后发现变为了shellasdasd..我们可以猜出规律为系统替换掉了字符串php,且不区分大小写。根据这个规律,我们上传一个文件名为shel.pphphp,那么经过系统的过滤机制就变成了shell.php.
漏洞利用
例如:在php环境下可以上传test.pphphp。
漏洞利用
例如︰在php+apache环境下可以上传test.php.xxx。由于xxx为apache无法识别的后缀,讲以php对文件进行解析。
漏洞利用
例如:在linux+php+apache环境下可以上传test.php[OxOa]文件,绕过黑名单,然后访问http://x/test.php%Oa,即可
让服务器执行上传的文件。
注意:
1.获取文件名时不能用$_FILES|'file']['name'],因为他会自动把换行去掉
2.只能在Linux
猜想:Windows下不支持换行符结尾的文件命名方式,实际上是绕过了黑名单,只是无法创建文件。
漏洞原理
C语言中字符串\O为结束的标志,而php使用的是c语言编写的。所以保存路径
SavePath=UploadFile/shell.php\0a.jpg
相对于
savePath= UploadFile/shell.php
漏洞利用
例如:在php2.7.15环境下上传一个shell,burp抓包,在保存路径或文件名后使用%0O进行截断。
小技巧:如何快速在截断处插入Ox00字符?
答:快速Ox00截断,输入%00,选中右键,编码转换。
问题:%00与0x00有什么区别?
答:在url中的编码是url编码,%OO代表二进制00上传表达中使用的编码是multipart/form-data,OxOO代表二进制O0它们本质是一个东西,只是在不同位置不同编码的表现形式不一样而已。
漏洞原理
部分系统在判断图片内容时,通过读取文件头两个字节,然后进行匹配来识别图片。
语言文件头(16进制)
漏洞利用
上传正常webshell,使用burp suite抓包,将文件头在16进制模式下改为图片文件的文件头。
突破getimagesize()
突破exif_imagetype()
漏洞原理
1. Gif格式突破二次渲染《Encoding Web Shells in PNG IDAT chunks》
2. Png格式二次渲染《gif payload.php》
3. Jpg格式突破二次渲染《O6xop, 6e3onaCHoi sarpy3KM M306paxeHM吃》
漏洞防御
入侵的目的不是入侵,而是从入侵的思维中提炼的防御的方法。
1.最好设置白名单,而不是黑名单
2.重命名上传后的文件。
3.检查上传文件的内容,并重新渲染生成新的图片
4.设置上传目录禁止运行