网络安全——文件上传白名单绕过

文件上传白名单绕过

第一步,打开网络拓扑,启动实验虚拟机。

第二步,打开桌面上的Chrome浏览器,在地址栏中输入http://127.0.0.1,进入upload-labs页面中,然后点击左侧的导航栏Pass-01进入关卡1,右键点击网页选择查看网页源代码(V)

网络安全——文件上传白名单绕过_第1张图片

关键部分源码为如下(位于网页的尾部)

网络安全——文件上传白名单绕过_第2张图片

发现有一个checkFile()函数,推测可能是这个函数进行判断的,第一种方法我们将前端的JavaScript脚本禁用掉之后再上传。具体步骤:打开一个新的窗口在地址栏中输入:chrome://settings/content/javascript,进入如下面板,然后点击已允许的开关,将该状态改为已屏蔽

网络安全——文件上传白名单绕过_第3张图片

然后构造文件内容为:的文件,将其文件后缀名改为php,再上传

网络安全——文件上传白名单绕过_第4张图片

最后访问/upload/的目录,并访问已上传的文件shell.php

网络安全——文件上传白名单绕过_第5张图片

网络安全——文件上传白名单绕过_第6张图片

第三步,第二种方法,在进行下面的实验步骤之前,请先将js的禁用改为启用。由于这里只采用了前端验证文件后缀名的方式过滤, 所以可以通过抓包修改文件后缀绕过前端的过滤,具体方法如下:在浏览器中输入chrome://setting/system,在设置页面中点击打开代理

网络安全——文件上传白名单绕过_第7张图片

依照下图设置代理参数

网络安全——文件上传白名单绕过_第8张图片

双击打开桌面上的brupsuitepro,进入抓包软件,确保Intercept is on代理开启状态

网络安全——文件上传白名单绕过_第9张图片

然后将第二步中构造的shell.php改名为shell1.jpg然后Forward发送数据

网络安全——文件上传白名单绕过_第10张图片

回到浏览器观察,已经成功绕过js前端的过滤

网络安全——文件上传白名单绕过_第11张图片

访问http://127.0.0.1/upload/shell1.php

网络安全——文件上传白名单绕过_第12张图片

进行下面的操作之前,先清空上传文件,上传文件的按钮为关卡的右上角的位置

第四步,点击左侧导航栏窗口中的Pass-11进入关卡11,点击查看源代码按钮

网络安全——文件上传白名单绕过_第13张图片

在代码的第五行发现了白名单过滤:$ext_arr = array('jpg','png','gif'); 继续往下审计,发现在第九行的位置$img_path = $_GET['save_path']. "/".rand(10, 99).date("YmHis"). ".".$file_ext; 这段代码中save_path是可控的,因此我么可以采用00截断的方法来进行绕过,具体操作的过程:在上传文件的时候抓包,将上传的文件名写为1.jpg,save_path改成../upload/1.php%00,具体操作如下:首先上传文件名为1.jpg的文件,内容为同时打开浏览器本地代理,使用burpsuite进行抓包,找到如下待修改的参数save_path

网络安全——文件上传白名单绕过_第14张图片

save_path改成../upload/1.php%00

网络安全——文件上传白名单绕过_第15张图片

点击Forward转发,点击Intercept is on关闭代理,访问http://127.0.0.1/upload/1.php

网络安全——文件上传白名单绕过_第16张图片

回到首页关卡清空上传的文件。

第五步,点击左侧导航栏窗口中的Pass-12进入关卡12,点击查看源代码按钮

网络安全——文件上传白名单绕过_第17张图片

与第十一关不同的是这次save_path是通过post传进来的,但依然存在00截断,但这次我们通过在二进制的方式来修改,因为post不会像get方法对%00进行自动解密,具体操作如下:上传文件2.jpg内容为并抓包,得到下面的数据包

网络安全——文件上传白名单绕过_第18张图片

修改../upload/为../upload/22.php+,注意此处的+二进制为2b,是作为后面修改的文件的标志,点击Hex进入二进制模式

找到标记2b的位置

网络安全——文件上传白名单绕过_第19张图片

修改2b为00,点击Forward进行上传

网络安全——文件上传白名单绕过_第20张图片

点击Intercept is on关闭代理,访问http://127.0.0.1/upload/22.php

网络安全——文件上传白名单绕过_第21张图片

回到首页关卡清空上传的文件。

实验结束,关闭虚拟机。

你可能感兴趣的:(综合渗透测试,php,前端,开发语言,安全,web安全)