upload-labs通关条记-第9关 文件上传之::$data绕过
目录一、::$DATA
1、数据流
2、::$DATA技能定位
3、::$DATA与数据流的关系
4、::$DATA特殊处理规则
二、源码分析
1、代码审计
2、str_ireplace('::$DATA', '', $file_ext)
3、渗透思路
三、渗透实战
1、构建脚本test9.php
2、打开靶场
3、bp开启拦截
4、点击上传
5、bp拦截
6、后缀名增加::$data
7、发包并获取脚本地点
8、访问脚本
本文通过《upload-labs靶场通关条记系列》来进行upload-labs靶场的渗透实战,本文解说upload-labs靶场第9关文件特殊字符(::$data)绕过渗透实战。
一、::$DATA
1、数据流
Windows NTFS(New Technology File System)文件体系中,存在一种名为 “NTFS 数据流(NTFS Alternate Data Streams,简称 ADS)” 的特性。数据流分为主数据流和备用数据流,具体定义和区别如下。
比较项目主数据流备用数据流定义文件的重要数据部分,包含文件的现实内容,是常规操作中直接与文件交互时访问的数据NTFS 文件体系中允许文件拥有的除主数据流之外的附属数据流,用于存储与文件相干的额外信息表示方法
[*] 传统文件操作直接访问的内容
[*] 在资源管理器中可见的尺度文件内容
[*] 利用简朴文件名访问(如document.txt)
[*] 利用filename:streamname格式标识
[*] 不表现在常规文件大小统计中
存储内容文件的核心内容,如文本文件的文字、图像文件的图像数据等文件的属性信息、版本控制数据、链接数据等,也可被用于特殊应用场景或功能实现,但一般不存储文件的核心内容 2、::$DATA技能定位
::$DATA就是用来标识文件的主数据流的符号。简朴来说,一个文件在 NTFS 体系中可以有多个数据流,主数据流是我们通常理解的文件内容,而其他数据流可以用来存储额外的信息。在window的时候假如文件名+::$DATA会把::$DATA之后的数据当成文件流处理,不会检测后缀名。
[*] 正式名称:默认数据流标识符
[*] 作用:显式指定访问文件的数据流部分
[*] 完整语法:filename::$DATA
3、::$DATA与数据流的关系
访问方式现实指向test.txt隐式访问主数据流test.txt::$DATA显式访问主数据流test.txt:secret访问名为"secret"的备用数据流 4、::$DATA特殊处理规则
[*] 自动省略:Windows Explorer和大多数API会自动忽略::$DATA
[*] 存储影响:file.exe::$DATA现实存储为file.exe
二、源码分析
1、代码审计
进入upload-labs靶场的第9关,源码如下所示。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvOTA5ZDY3MDg0MGM1NDMyZjhkYzQ4OGU0OTc2OWVjYjQucG5n
接下来对代码进行分析,第9关卡同样是黑名单过滤,与第6、7、8关卡一样,相对于第四关和第五关,将“.htacess和.ini”后缀均过滤了,故而无法用第四关和第五关的方法进行渗透。然而相对于第六关卡、第七关卡和第八观看,缺少了一个$file_ext = str_ireplace('::$DATA', '', $file_ext);这行代码的处理,即没有对特殊字符“::$DATA”进行理。颠末详细注释的代码如下所示。
<?php
// 初始化变量,用于标记文件是否上传成功,初始值为 false 表示未上传成功
$is_upload = false;
// 初始化变量,用于存储上传相关的提示信息,初始值为 null
$msg = null;
// 检查是否通过 POST 方式提交了名为 submit 的表单元素
if (isset($_POST['submit'])) {
// 检查上传文件保存的目录(由 UPLOAD_PATH 常量指定)是否存在
if (file_exists(UPLOAD_PATH)) {
// 定义一个数组,存储不允许上传的文件扩展名
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
// 获取上传文件的原始文件名,并去除文件名首尾的空白字符
$file_name = trim($_FILES['upload_file']['name']);
// 调用 deldot 函数,删除文件名末尾的点
$file_name = deldot($file_name);
// 获取文件的扩展名(从文件名中最后一个点开始截取)
$file_ext = strrchr($file_name, '.');
// 将文件扩展名转换为小写字母形式
$file_ext = strtolower($file_ext);
// 去除文件扩展名首尾的空白字符
$file_ext = trim($file_ext);
// 检查文件扩展名是否不在禁止上传的扩展名数组中
if (!in_array($file_ext, $deny_ext)) {
// 获取上传文件在服务器临时存储的路径
$temp_file = $_FILES['upload_file']['tmp_name'];
// 生成上传文件的目标路径,包含目录、时间戳、随机数和文件扩展名
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
// 将临时存储的上传文件移动到目标路径
if (move_uploaded_file($temp_file, $img_path)) {
// 如果移动成功,标记文件上传成功
$is_upload = true;
} else {
// 如果移动失败,设置提示信息为上传出错
$msg = '上传出错!';
}
} else {
// 如果文件扩展名在禁止上传的数组中,设置提示信息为文件类型不允许上传
$msg = '此文件类型不允许上传!';
}
} else {
// 如果上传目录不存在,设置提示信息为该目录不存在并提示手工创建
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}
?> 2、str_ireplace('::$DATA', '', $file_ext)
根据上一步的分析,本关卡缺少如下函数的处理
str_ireplace('::$DATA', '', $file_ext); 这个语句的是PHP 中的一个字符串更换函数调用,其重要作用是在处理文件上传时,去除文件扩展名中大概包含的 ::$DATA 字符串,以防止攻击者利用 Windows NTFS 文件体系的数据流特性绕过文件上传的安全检查。
假如文件名为test9.php::$DATA.jpg时,在windows中会删除::$DATA及之后的内容,则上传window服务器后的文件名为test9.php。
3、渗透思路
在windows操作体系中的搭建的upload-labs靶场中,由于文件名+"::$DATA"会把其之后的数据当成文件流处理,不会检测后缀名,而且保持":: $DATA"之前的文件名, 故而对于第9关,假如想上传“test9.php”文件,但是黑名单中过滤了“php”后缀,那么通过上传“test9.php:: $DATA”文件,终极可以绕过“php”黑名单后缀的检查,当存储到windows体系时会出现逻辑问题,并不会以为“test9.php:: $DATA”是个文件,而是以为这是个数据流,因为windows体系默认::$DATA 就是用来标识文件主数据流的符号,从而将文件存储为“test9.php”,实现绕过渗透。
三、渗透实战
1、构建脚本test9.php
<?php
phpinfo();
?>
2、打开靶场
打开靶场第9关,浏览选择该脚本,但不点击上传。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvZGZjNjYxZjM3NWVjNGJiNDg0YzA1ODdmYWFkN2IwNzUucG5n
3、bp开启拦截
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvOWFhMzhlY2MxZWE2NDVjN2ExZTg4YmQyMWMwODU2ZTEucG5n
4、点击上传
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvMDI4MWEzYTMwNjk4NDM5YTg2MTEzNWFlNGZlMjk2Y2EucG5n
5、bp拦截
bp捕获到上传报文,下图红框的部分即为必要修改的文件名,必要将".php"后缀改为".php::$data",修改之前文件名为”test9.php“,如下所示
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvZGFjMzFmMTZmZTQzNGU2YWFkMDc1ZWU2ODRkNmNhOGQucG5n
6、后缀名增加::$data
test9.php后添加一个"::$data",变为“test9.php::$data”,修改后效果如下所示。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvNjI2ZjJhMzMyZTA0NDVkZDg4MjE2YTVkM2YwMDQ3ZjYucG5n
7、发包并获取脚本地点
将bp的inception设置为off,此时修改后的报文发送乐成。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvN2MyYWNjZTg2MjhlNDM1MmE2MmNhYjdmZDI2ZjRhMzUucG5n
回到靶场的Pass08关卡,图片已经上传乐成,在图片处右键复制图片地点。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvZTY5NjI0MWQwMjAyNDBiMDk5N2YwM2RiYzFmZDg4MWYucG5n
右键图片获取图片地点,如下所示获取到图片URL。
http://127.0.0.1/upload-labs/upload/202504272154343717.php::$data 访问脚本时路径如下所示,去掉::$data,具体如下所示。
http://127.0.0.1/upload-labs/upload/202504272154343717.php 8、访问脚本
如下所示访问上传脚本获取到服务器的php信息,证实文件上传乐成。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvYjM2NzFhODJhZTU2NDYzZjk0ZDg5MWVlZDVmYjhhYWYucG5n
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]