Web攻防07_文件上传基础_文件上传靶场upload-labs-docker

文章目录

  • 项目安装
      • 安装docker
      • 进入项目目录:
      • 一键部署运行
  • 靶场关卡
    • 1、前端JS验证
      • 如何判断是否为前端验证
      • 解法1:抓包
      • 解法2:禁用JS
    • 2、.htaccess
      • 解法
    • 3、MIME类型
      • 解法
    • 4、文件头判断
    • 5、黑名单过滤-过滤不严-单次过滤为空格
    • 6、黑名单-过滤不严-系统大小写敏感属性
    • 7、低版本GET-%00截断,GET中插入截断
      • 00截断漏洞:
      • 适用条件:
      • 解法
    • 8、低版本POST-%00截断,POST中插入截断
    • 9、黑名单-过滤不严
    • 10、逻辑不严-条件竞争
      • 原理
      • 漏洞利用:
    • 11、二次渲染
      • 二次渲染
      • 绕过原理:
    • 12、函数缺陷
      • 原理
      • 利用条件
      • 漏洞利用
    • 13、代码审计-数组绕过

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第1张图片

文件上传靶场upload-labs-docker,共有13关,涵盖不同类型的上传漏洞,适合新手使用,可以使用docker直接部署

项目&参考地址:

https://github.com/sqlsec/upload-labs-docker

https://www.sqlsec.com/2020/10/upload.html

项目安装

安装docker

apt-get install docker # 安装docker
apt-get install docker-compose # 安装docker-compose

手动下载项目压缩包并放入服务器(git clone可能会比较慢)

进入项目目录:

cd upload-labs-docker

一键部署运行

docker-compose up -d

完成即可访问,端口30001~30013分别对应13个关卡(若要修改端口,在docker-compose.yml文件中修改即可)

靶场关卡

1、前端JS验证

在文件上传时,网站程序是通过前端js代码去验证文件类型以控制上传的。

如何判断是否为前端验证

  1. 看源码
  2. 抓包监听,在文件上传时,如果还未抓到包,就已经提示文件类型不正确,则大概率为前端校验了。

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第2张图片

解法1:抓包

将上传脚本文件改命为png再上传,后抓包修改文件名回脚本后缀(php)即可

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第3张图片

解法2:禁用JS

因为是使用前端JS进行验证,所以可以禁用JS,直接进行上传。

2、.htaccess

htaccess文件是Apache服务中的一个配置文件,它负责相关目录下的网页配置。

AddType application/x-httpd-php .png

借助配置文件htaccess,让服务器将.png类型的文件当作类型application/x-httpd-php来解析执行(即php类型)

.htaccess是修改解析配置的文件

中间件中,将配置文件重新写入,重新修改了解析规则,实现将图片解析为后门的结果。

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第4张图片

解法

1、抓包,将文件名改为.htaccess,文件内容改为AddType application/x-httpd-php .png,上传

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第5张图片

2、将脚本名改为.png格式,上传,即可连接脚本。

3、MIME类型

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第6张图片

通过MIME类型来校验文件类型。即发送数据包中的Content-Type参数来检验。

所以可以通过抓包修改参数绕过。

解法

1、上传脚本时抓包修改Content-Type为合法类型,如: image/png

2、将脚本名改为合法类型(.png),上传时修改文件名。

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第7张图片

4、文件头判断

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第8张图片

文件头开头的几个字节可表示文件类型,文件头校验即校验文件头内容,要绕过只需在文件头添加可通过类型字节并修改UA头中类型即可。

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第9张图片

5、黑名单过滤-过滤不严-单次过滤为空格

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第10张图片

如上代码第二行,仅将第一行定义的后缀过滤了一次,且是替换为空格,并没有递归过滤,这种过滤规则是不安全的

所以,只要将文件后缀改为pphphp,即可在第一次过滤掉php,剩下的后缀仍为php

6、黑名单-过滤不严-系统大小写敏感属性

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第11张图片

有些函数是大小写不敏感的,所以换大小写就可绕过,该种情况CTF题型考的多

该题中,str_replace() 函数替换字符串中的一些字符(区分大小写)。

所以将后缀改大小写即可绕过,若是windows系统,大小写不敏感,即可识别运行。

如果是windows操作系统,大小写不敏感,大写的文件后缀也识别运行。

Linux系统会区分大小写,要么全大写,要么全小写,大小写交替不识别。

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第12张图片

7、低版本GET-%00截断,GET中插入截断

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第13张图片

00截断漏洞:

https://blog.csdn.net/weixin_44840696/article/details/90581104

适用条件:

  • magic_quotes_gpc=off
  • PHP版本小于5.3.4

在利用前会发包利用回显的版本判断是否可用。

现在基本都是php7版本以上,所以基本没有该漏洞了。

解法

修改路径为/?road=/var/www/html/upload/1.php%00,名称为1.php%001.png,会将文件保存地址拼接,而%00会被URL编码为空字符,造成截断。

截断后,会生成1.php文件,上传成功。

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第14张图片

8、低版本POST-%00截断,POST中插入截断

POST中内容不会自动解码,所以需要手工解码一次,即需要将%00手动解码为空字符,或在HEX中修改字符为00

如下,修改POST参数中上传路径,并手工解码即可上传成功。

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第15张图片

9、黑名单-过滤不严

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第16张图片

过滤不严,有的可执行后缀未过滤。

fuzz字典:fuzzdb-master\attack\file-upload

brpsuite抓包,使用intruder模块,将后缀设为变量,引入字典进行批量测试。

对比返回结果的长度可得结果。

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第17张图片

由以上结果可知如php3等后缀并未进行黑名单过滤,可绕过进行文件上传。

10、逻辑不严-条件竞争

Web攻防07_文件上传基础_文件上传靶场upload-labs-docker_第18张图片

该漏洞少

原理

先上传,接收文件,再进行判断处理,若不通过则删除文件。即文件在服务器存储过,逻辑不严谨。

条件竞争:在文件上传到服务器,还没有进行判断的时候访问到后门。

该漏洞是逻辑上的问题。

漏洞利用:

不断的发包上传访问,请求连接,

上传不断发包,请求不断发包

访问即创建代码文件出来。即访问了就自动触发将后门写入新文件的代码。

 fputs(fopen('xiao.php','w'),'');?>

上传前设置好一直访问对应上传路径。(在burpsuite的intruder模块中设置为no payload,然后让他一直发,就会一直循环发包访问,将文件上传的包也批量发送。)

在黑盒测试中,需要先上传正常文件查看保存路径以及命名,如果命名为随机命名则不能使用该思路了

漏洞判断:黑盒中没办法判断,白盒中可以审计判断,黑盒中即使用该测试方法,测不出来就是没有该漏洞

11、二次渲染

二次渲染

有些网站会对上传的文件进行二次渲染,改变文件内容,上传的带有后门代码的图片/文件会被更改而无法使用

绕过原理:

先搞个正常图片,上传导出渲染后的图片

使用二进制软件对比保留部分,在保留部分添加后门代码

最后利用提示的文件包含执行图片后门代码

很多网站存在的,和文件包含结合。

意义:有时候上传了带有后门的文件(如图片),但是经过网站的二次渲染后,后门代码没了,没有保留,需要了解二次渲染才能让上传的文件中保留代码段。

12、函数缺陷

原理

文件上传使用的函数有缺陷。

move_uploaded_file($temp_file, $img_path)

$img_path 可控的时候,还会忽略掉 $img_path 后面的 /.

所以将文件名改为:shell.php/. 后加上/. ,即可绕过黑名单。

利用条件

  1. 用到move_uploaded_file 函数
  2. 保存的文件名可控,可由自己指定文件名

漏洞利用

将文件名改为:shell.php/. 后加上/.

CTF常考。

13、代码审计-数组绕过

主要考察php代码审计,代码中的逻辑缺陷

现在的文件上传漏洞都不明显,一般比较容易发现的上传位置都没有上传漏洞,在一些难发现的上传点产生文件上传漏洞的概率较大。

你可能感兴趣的:(安全学习-Web攻防,前端,docker,容器)