XAUT UPLOAD-LABS靶场实战 文件上传弊端 Day2
目录1.情况配置
2.UPLOAD-LABS 01--10
1.upload-labs01
2.upload-labs02
3.upload-labs03
4.upload-labs04:
5.upload-labs05
6.upload-labs06
7.upload-labs07
8.upload-labs08
9.upload-labs09
10.upload-labs10
1.情况配置
使用phpstudy 2018 搭建靶场
https://i-blog.csdnimg.cn/direct/5b06e8af3a574a2e8a165c44a34fba0f.png
https://i-blog.csdnimg.cn/direct/3f871e334a0a490ba223b77b304a5d2a.png
2.UPLOAD-LABS 01--10
简朴一句话木马
<?php
phpinfo();
@eval($_POST['pass']);
?>
部分企业不允许上传木马,可用是否有phpinfo();页面查察是否木马上传成功。
1.upload-labs01
查察源码:为js代码前端过滤,只允许jpg/png/gif后缀文件
https://i-blog.csdnimg.cn/direct/00867db31f4f48d18f95860e7103f395.png
用记事本编辑rsec.txt文件写入一句话木马,改后缀为.jpg上传
https://i-blog.csdnimg.cn/direct/9ab5cdfb985f49f7b5b7794b1a19efcf.png
burpsuite抓包后改后缀为.php
https://i-blog.csdnimg.cn/direct/02e1aea6ec57445fa4d33ec1b96a56e2.png
上传后访问文件上传地点的位置可看到phpinfo();,表示上传成功,如图:
https://i-blog.csdnimg.cn/direct/681c06b16d714bb8a3981434de2f9710.png
2.upload-labs02
查察源码,发现白名单只允许content-type固定三种类型的文件上传:
https://i-blog.csdnimg.cn/direct/ff653c2a2e70472283dd10848046f3a3.png
bp抓包后修改Content-Type类型为:
https://i-blog.csdnimg.cn/direct/423ad683bdcd4b00afaacb70f6d6d376.png
成功后访问文件位置,显示为:
https://i-blog.csdnimg.cn/direct/59d9a85b1cf64316abf787f299ad49fa.png
https://i-blog.csdnimg.cn/direct/e1fcad5d70ab4883a2d444cc90f25b70.png
3.upload-labs03
查察源码,可知为绕过黑名单上传:
https://i-blog.csdnimg.cn/direct/97eb3945fbe54bd5b293b3b94bd0bd59.png
2)前置条件 上传图⽚时,假如提示不允许 php、asp 这种信息提示,可判断为⿊名单限定,上传⿊名单以 外的后缀名即可; 在 iis ⾥ asp 禁⽌上传了,可以上传 asa cer cdx 这些后缀,如在⽹站⾥允许.net 执⾏可以 上传 ashx 代 替 aspx。假如⽹站可以执⾏这些脚本,通过上传后⻔即可获取 webshell ;在不同的中间件中有特殊的情况,假如在 apache 可以开启 application/x-httpd-php 在 AddType application/x-httpd-php .php .phtml .php3 后缀名为 phtml 、php3 均被解析成 php 有的 apache 版本默认就会开启; 留意本实行必要开启⼀个参数,否则实行失败。 上传⽬标中间件可⽀持的情况的语⾔脚本即可,如.phtml、php3; 关于 AddType 命令的作⽤解释 AddType 指令 作⽤:在给定的⽂件扩展名与特定的内容类型之间建⽴映射 语法: AddType MIME type extension … AddType 指令在给定的⽂件扩展名与特定的内容类型之间建⽴映射关系。 MIME-type 指明了包罗 extension 扩展名的⽂件的媒体类型。 AddType 是与类型表相关的,描述的是扩展名与⽂件类型之间的关系。 可以在httpd.conf⽂件中查察AddType 的设置情况;注:新版的phpstudy貌似没有这个了,实行 的话只能使⽤⽼版的了; https://i-blog.csdnimg.cn/direct/1fceb5e0c11d4a9bbecd6a03e9ad134e.png 去掉注释符生存重启 https://i-blog.csdnimg.cn/direct/b17f6f6260e14bf1bae70ee648812562.pnghttps://i-blog.csdnimg.cn/direct/0532bb714e4e48009a217fdba912d187.png
4.upload-labs04:
查察源码为漏过滤了.htaccess文件后缀,文件代码为:
<FilesMatch "jpg">
SetHandler application/x-httpd-php
</FilesMatch> 上传模块,⿊名单过滤了全部的能执⾏的后缀名,假如允许上传.htaccess。htaccess ⽂件的作⽤是可以帮我们实现包罗:⽂件夹暗码保护、⽤户⾃动重定向、⾃界说错误⻚⾯、改变你的⽂ 件扩展名、封禁特定 IP 地点的⽤户、只允许特定 IP 地点的⽤户、禁⽌⽬录列表,以及使⽤其 他⽂件作为 index ⽂件等⼀些功能; 在 htaccess ⾥写⼊ SetHandler application/x-httpd-php 则可以⽂件重写成 php ⽂件。 要 htaccess 的规则⽣效 则必要在 apache 开启 rewrite 重写模块,因为 apache 是多数都开 启这个模块,以是规则⼀般都⽣效; https://i-blog.csdnimg.cn/direct/9464790e3639473986a98a2562f1ff26.png 直接上传.jpg文件: https://i-blog.csdnimg.cn/direct/50d3d87772ef4400baf3ac0ab1ea3db8.png
访问可得:
https://i-blog.csdnimg.cn/direct/9350ca55f5bc44cca4418cf14403bde3.png
5.upload-labs05
查察源码,可使用大写小绕过:
https://i-blog.csdnimg.cn/direct/8651f5a65c534063b833eac107c9e0ee.png
bp抓包修改为.PhP后缀
https://i-blog.csdnimg.cn/direct/4759abccd1d24abfb0537ec5eeea3437.png
访问可得:
https://i-blog.csdnimg.cn/direct/648c6abfab59463db4005fd87ba872e7.png
6.upload-labs06
查察源码,可知是windows空格弊端,windows自动删除文件后缀空格:
https://i-blog.csdnimg.cn/direct/885f036d01944c66add1c03ec1ec8154.png
加上空格:
https://i-blog.csdnimg.cn/direct/236d00d09c2d42fea6ad2d9d0794add9.png
访问可得:
https://i-blog.csdnimg.cn/direct/f124d6635bdd4e018db2f3d157cdef29.png
7.upload-labs07
查察源码,遗漏了删除文件末尾的"."
https://i-blog.csdnimg.cn/direct/ca3d3285d21e41fc8c012f8d6ff04f70.png
文件后缀改为.php.
https://i-blog.csdnimg.cn/direct/bfccb9ee11484da7b9801d68d3b6438a.png
访问可得:
https://i-blog.csdnimg.cn/direct/2688ddf6df8949cf85f0ed7da289abc0.png
8.upload-labs08
查察源码可知遗漏过滤“::$DATA”
在window的时候假如文件名+"::$DATA"会把::$DATA之后的数据当成文件流处置惩罚,不会检测后缀名,且保持::$DATA之前的文件名,他的目标就是不查抄后缀名
比方:"phpinfo.php::$DATA"Windows会自动去掉末尾的::$DATA变成"phpinfo.php"
https://i-blog.csdnimg.cn/direct/4370b707d9914bf0b6742ae10873c4f3.png
查察可知:
https://i-blog.csdnimg.cn/direct/4b1171ae73cd4592afdae112493fcfec.png
9.upload-labs09
使用windows 情况的叠加特征原理
在 windwos 中假如上传⽂件名 rsec9.php:.jpg 的时候,会在⽬录下⽣产空⽩的⽂件名 rsec9.php ; https://i-blog.csdnimg.cn/direct/6295d12fa2d74859ad4b15f6ecd2d080.png https://i-blog.csdnimg.cn/direct/b7d6fbdf414f44e1b6c954348390fc2a.png 再利⽤ php 和 windows 情况的叠加属性写⼊内容; 以下符号在正则匹配时相等: ● 双引号 " 便是 点号 . ● ⼤于符号 > 便是 问号 ? ● ⼩于符号 < 便是 星号 * ● ⽂件名 .< 或⽂件名 .<<< 或⽂件名 .>>> 利⽤ windows 情况的叠加特征绕过上传攻击 提交数据包中将内容写⼊⽂件名 rsec9.>>> 中,>>>类似通配符匹配到rsec9.php https://i-blog.csdnimg.cn/direct/3163d3200d9547468a24ca1d6a139646.png 访问可知: https://i-blog.csdnimg.cn/direct/5b49f85767ca4394b5705b809264bdda.png 10.upload-labs10
查察源码可知,在上传模块,有的代码会把⿊名单的后缀名替换成空,比方 a.php 会把 php 替换成空,但 是可以使⽤双写绕过比方 asaspp,pphphp,即可绕过上传;同样是⿊名单过滤。str_ireplace 对上传的后缀名是⿊名单内的字符串转换成空;
https://i-blog.csdnimg.cn/direct/810c2fe7556d4959aa515c5caa312a80.png
访问可知:
https://i-blog.csdnimg.cn/direct/08aa8817fa4b4681a3e1e978d61aa265.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]