基础知识 文件上传多出现在修改头像中,通常允许上传jpg,png,gif等图片,不允许上传php,asp,jsp等脚本文件. 文件上传顺序:前端->代理服务器burpsuite->后端 如何快速判断系统是windows还是linux? 最优方法:windows系统文件名不区分大小写,linux严格区分大小写. 次选方法:通过判断ping命令的TTL时间,windows通常是128,linux通常是64,不过这种可能会ping不通,也可能被人为设置导致不准. 从代码审计角度来看: 上传后的文件名=预备的路径+带随机数的文件名+文件后缀 .先看其中哪里被拼接到最终的文件全名中,再看哪些函数能影响到这个被拼接的部分.大概率要从这部分下手绕过. I.前端js检测特征:上传非法文件后出现的是前端的弹框提示.burpsuite抓不到包(因为前端校验并没有经过服务器) 绕过方式:burpsuite开启抓包,将文件后缀改为jpg,点击上传通过前端校验,然后在burpsuite中将文件后缀改回php,最后将文件上传到服务器. II.MIME类型校验(content-type头)MIME标准:多用途互联网邮件扩展类型.最初邮件只支持ascii码字符,后来才支持图片,视频等数据类型.MIME标准规定了用于表示各种数据类型的符号化方法.通过一些符号标识来判断数据的类型. 万维网的HTPP协议也使用了MIME的框架,具体体现在请求头中的content-type信息. 请求头content-type的信息默认由浏览器自动检测的,但是我们可以自己抓包修改. 绕过方式:先上传jpg类型文件,抓包等浏览器检测后修改为php即可. III.黑名单绕过1.大小写混淆特征:黑名单过滤.php .jsp .asp 绕过方式:.PHP, .pHP等大小写混淆. 2.使用特定后缀名phtml和pht是早期php,html混排文件的后缀名. Apache配置文件中会有.+.ph(p[345]?|t|tml)此类的正则表达式,文件名满足即可被当做php解析. 特征:黑名单过滤.php .PHP .pHP等所有大小写形式 绕过方式:修改文件后缀为.php1 .php2 ... .php5 .phtml .pht 3.windows文件名 . space 相关windows会自动将文件名末尾的 . 和 (空格) 去掉 特征:有些服务器代码先去掉文件末尾的点.,然后对文件名从右往左第一个点后面的内容(服务器认为是文件扩展名)进行黑名单检测. 绕过方式:修改文件名为xx.php.space. 去掉文件末尾的.后文件名为xx.php.space 然后对文件名从右往左第一个点后面的内容进行后缀名检测, .space不在黑名单中,允许通过.最终拼接出的文件名为路径/xx.php.space 放到windows文件夹后,windows会自动去除文件名后的.和space,因此文件名又变为xx.php 4.双写:DATA绕过正则匹配特征:服务器没有过滤:DATA或过滤不完全.通常是用正则匹配过滤:DATA,但是这样并不能完全过滤. 绕过方式:文件后缀改为.php$:ATA直接绕过php的黑名单. 或者改为.php:DAT:DATAA绕过正则过滤的:DATA. 5.%00截断magic_quotes_gpc类似addslashes()函数,是对转移字符过滤的. 这个漏洞利用的前提是php版本为5.3以下,且php.ini中magic_quotes_gpc=Off 默认是On 原理:php是用C语言写的,C语言中字符串用\0表示结束,%00和\0在二进制中是字节00.因此在字符串之间插入\0或者%00,可以使字符串截断. 特征:上传后文件名为:路径+带随机数的文件名+文件扩展名.有些路径是开发者为了省事通过GET请求传递的,我们可以进行修改.假设正常情况下上传后文件全名为 /upload/ test151236 .jpg 通过修改GET请求传递的路径,变为 /upload/test.php%00,然后上传一个正常合法的图片,此时文件全名就变为 /upload/test.php%00test151236.jpg %00后面的字符被截断,因此文件全名就变为:/upload/test.php 6..htaccess文件重写.htaccess是Apache服务器的一个配置文件,作用是可以自定义404页面,允许/阻止用户访问特定的目录等.该文件可作用于当前目录及其子目录. 在.htaccess文件中写入特定代码,可以使文件名中包含特定字符的文件被当做php文件来解析而不考虑文件后缀. 前提:Apache的httpd.conf中AllowOverride=All 特征:如果服务器是黑名单检测的话,通常会禁用php等脚本文件,不一定会禁用.htaccess文件. 绕过方式:先上传.htaccess文件,再上传一个文件名符合.htaccess特定代码的jpg文件,服务器会将jpg文件当做php文件来解析执行. 7.服务器解析漏洞Apache是从右往左进行文件后缀解析的.形如文件名为aa.bb.cc.dd的文件,Apache先识别dd,识别不出的话就识别cc,直到能识别为止. 利用方式:上传名为xx.php.abc文件.后缀为abc可以通过服务器黑名单检测.Apache识别不出.abc后缀,就向前找,能识别php后缀,因此将文件解析为php文件. IIS服务器配套的是asp脚本文件.IIS6.0可以正常解析.asp .asa .cer .cdx后缀的文件. 前提:IIS5.x或6.0版本 漏洞1:如果目录以.asp .asa .cer .cdx结尾,那么这个目录下所有文件都会被当做asp格式去解析. 漏洞2:当文件名中包含 .asp; .asa; .cer; .cdx; 时,此时服务器会忽略文件后缀,全部当做asp文件解析. 原因是IIS服务器默认不解析;及其后面的内容,相当于截断. 前提:Nginx8以下版本,IIS7.0/7.5版本 绕过方式:上传文件为xx.jpg,访问xx.jpg/x.php,此时xx.jpg就会被解析为php文件. 文件上传条件竞争原理:有些网站是先临时接收所有上传的文件到临时目录,然后依次判断,不符合条件的文件删除,符合条件的移动到新的目录. 正在访问的文件无法被删除. 利用:在知道临时目录和临时文件名的前提下,使用burpsuite的Intruder模块,同时多次上传该文件和多次访问该文件.在服务器接收文件但还未判断删除时访问到该文件,这样该文件就无法被删除.如果在该文件中用file_put_contents()函数,就能留更多的木马. 图片马相关服务器对脚本文件过滤很严格难以绕过时,可以考虑使用 上传图片+文件包含 图片马是无法被服务器直接解析执行的,也无法直接连接蚁剑,需要配合文件包含才能执行其中的php代码. 不同格式的图片文件头表示不同,有时会取文件头标识作为检测图片类型的依据,但是这个很容易伪造. 三种图片马制作方式:用记事本等编辑器打开图片,在其中写入php代码是可以执行的,但是图片会无法显示. 使用DOS命令:copy /b xx.jpg+xx.php=xx.jpg 这样以二进制流方式合成的图片是可以打开看的. 使用十六进制图片编辑器,在其中的大片00字节处插入php代码,多用于二次渲染绕过. 二次渲染绕过:imagecreatefromjpeg():由文件或者URL创建一个新图像.从一张jpeg图像中,把原图片进行裁剪,生成一张新的jpeg图片. 服务器有时会用imagecreatefromjpeg()等函数对上传的图片进行二次渲染,相当于对图片进行重组,这样会使图片马中的代码失效. 特征:先上传一张图片马,上传成功后再将图片下载下来.用Hex Editor以十六进制字节码形式打开这两张图片,发现两张图片的十六进制字节码已经大不相同,其中插入的php代码也面目全非. 绕过方式:先上传一张正常图片,然后下载.用Hex Editor打开两张图片,找出两张图片中十六进制字节码前后没有变化的位置,说明这些位置不会被二次渲染,在这些位置中插入php代码.上传成功后再结合文件包含漏洞执行其中的php代码. 通常用gif格式的图片,因为gif图片中十六进制字节码不变的地方比较多.
|