文件上传漏洞绕过手段
文件上传漏洞的成因
1.服务器的错误配置
2.开源编码器漏洞
3.本地上传上限制不严格被绕过
4.服务器端过滤不严格被绕过
常见上传检测流程
文件上传漏洞的危害
(1)网站被控制
(2)服务器沦陷
(3)同服务器的其他网站沦陷
客户端验证检测
可以看到客户端代码中使用了javascript语言进行了简单的文件后缀名判断
这个时候我们只需要将本机浏览器的javascript模块禁用就可以使该段代码不被解析执行。
在火狐浏览器中,在
URL这里输入about:config
把JavaScript改为false
服务器端MIME绕过
MIME检测的是数据包content-type字段。常见的图片格式的MIME类型有以下 几种类型:
PNG图像:image/png
GIF图形: image/gif
JPG图形:image/jpeg
服务器段目录检测绕过
在文件上传时,有的程序允许用户将文件放到指定的目录中,如果指定目录存在就将文件写 入目录,不存在则先建立目录,然后写入。关键代码如下:
在HTML页面有一个隐藏的表单,它默认提交的文件夹名称为value的值,即”uploads”。代 码如下:
服务器端扩展名检测绕过
服务器端后缀名检测绕过脑图
黑名单绕过办法
1.文件名大小写绕过:pHp,AsP
2.特殊文件名绕过
在Windows下有一个特性就是如果文件后缀以点‘.’或者空格‘ ’结尾的后缀 名时,系统在保存文件时会自动去除点和空格。但要注意 Unix/Linux 系统没有 这个特性。
因为有些服务器端的后缀名检测是取文件名最后一个.后面的字符串,拿这个字符串与黑名单列表对比
3. 0x00截断绕过
文件名后缀有一个%00字节,可以截断某些函数对文件名的判断。在许多语言函 数中,处理字符串的函数中0x00被认为是终止符
例如: 网站上传函数处理xxx.asp%00.jpg时,首先后缀名是合法的jpg格式,可以 上传,在保存文件时,遇到%00字符丢弃后面的 .jpg,文件后缀最终保存的后缀 名为xxx.asp
4 .htaccess文件攻击
白名单绕过办法
1.0x00 截断绕过
用像test.asp%00.jpg的方式进行截断,属于白名单文件
2.解析/包含漏洞绕过
这类漏洞直接配合上传一个代码注入过的白名单文件即可,再利用解析,包含漏洞。
文件内容检测绕过
针对文件内容检测的绕过,一般有两种方式,
1.制作图片马
2.文件幻术头绕过
图片马Windos下的制作
其中第一个/b表示指定以二进制格式进行复制(合并) 第二个/b表示以什么样的格式保存我们刚刚合并的那个文件( 用于图像类/声音类文件)
还有一种参数/a,它表示以ASCII格式复制合并文件,用于txt等文档类文件
Linux下图片马的制作
当然 >>追加符号也是可以用的
文件幻术头绕过
图像相关的信息检测常用getimagesize( )函数。每种类型的图片内容最开头会有一个标志性 的头部,这个头部被称为文件幻术。常用图片类型有以下几类:
绕过jpg文件幻术检测要在文件开头写上下图的值
Value = FF D8 FF E0 00 10 4A 46 49 46
绕过png文件幻术检测要在文件开头写上下图的值:
Value = 89 50 4E 47
绕过gif文件幻术检测要在文件开头写上下图的值:
Value = 47 49 46 38 39 61
解析漏洞
解析漏洞这里介绍三种:
1.Apache解析漏洞
2.IIS解析漏洞
3.Ngix解析漏洞
1.Apache解析漏洞
WampServer2.0All Version (WampServer2.0i / Apache 2.2.11) [Success] l
WampServer2.1All Version (WampServer2.1e-x32 / Apache 2.2.17) [Success] l
Wamp5 All Version (Wamp5_1.7.4 /Apache 2.2.6) [Success] l
AppServ 2.4All Version (AppServ - 2.4.9 /Apache 2.0.59) [Success] l
AppServ 2.5All Version (AppServ - 2.5.10 /Apache 2.2.8) [Success] l
AppServ 2.6All Version (AppServ - 2.6.0 /Apache 2.2.8) [Success]
这几个版本的apache解析漏洞,大家可以自己百度下,按照别的大佬们说的做
2. IIS解析漏洞
IIS6.0有两个解析漏洞,一个是如果目录名包.asp 、.asa、.cer字符串,那么这个目录下所有的文 件都会按照 asp 去解析。
例如: chaoasp/1.jpg
因为文件名中有asp字样,所以该文件夹下的1.jpg文件打开时,会按照asp文件去解析执行
另一个是只要文件名中含有.asp、.asa、.cer会优先按 asp 来解析
IIS7.0/7.5是对php解析时有一个类似于Nginx的解析漏洞, 对任意文件名只要在URL后面追加 上字符串“/任意文件名.php”就会按照 php 的方式去解析 。
例子 : ”http://www.baidu.com/upload/chao/1.jpg/chao.php"
这种情况下访问1.jpg,该文件就会按照php格式被解析执行
3.Nginx解析漏洞
一个是对任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原本文件名是 test.jpg, 可以添加为 test.jpg/x.php 进行解析攻击。
一种是对低版本的 Nginx 可以在任意文件名后面添加%00.php
例如:127.0.0.1/sql-loads/load/chao.jpg%00.php
那么chao.jpg也就被当作php格式文件执行
nginx 0.5.* [Success]
nginx 0.6.* [Success]
nginx 0.7 <= 0.7.65 [Success]
nginx 0.8 <= 0.8.37 [Success]