【文件上传】---黑名单,白名单---day21

【文件上传】---黑名单,白名单---day21

一、文件上传常见验证

1、后缀名,类型,文件头等

2、后缀名:黑名单,白名单

image-20210412132946329

在黑名单限制不完整的情况下,可以用php5,phtml等绕过,执行php代码。前提是网站能解析。

3、文件类型:MIME信息

image-20210412133248924

4、文件头:内容头信息

二、相关知识

1、PHP $_FILES()

image-20210412133905166

PHP $_FILES函数详解
在PHP中上传一个文件建一个表单要比ASP中灵活得多。具体的看代码。

如: 

代码如下:

<form enctype="multipart/form-data" action="upload.php" method="post"> 
<input type="hidden" name="MAX_FILE_SIZE" value="1000"> 
<input name="myFile" type="file"> 
<input type="submit" value="上传文件"> 
</form> 

然后upload.php中可以直接用 
$_FILES 
$_POST 
$_GET 
等函数获取表单内容。 

今天我们着重讲$_FILES函数。 
当客户端提交后,我们获得了一个$_FILES 数组 

$_FILES数组内容如下: 
$_FILES['myFile']['name'] 客户端文件的原名称。 
$_FILES['myFile']['type'] 文件的 MIME 类型,需要浏览器提供该信息的支持,例如"image/gif"。 
$_FILES['myFile']['size'] 已上传文件的大小,单位为字节。 
$_FILES['myFile']['tmp_name'] 文件被上传后在服务端储存的临时文件名,一般是系统默认。可以在php.ini的upload_tmp_dir 指定,但 用 putenv() 函数设置是不起作用的。 
$_FILES['myFile']['error'] 和该文件上传相关的错误代码。['error'] 是在 PHP 4.2.0 版本中增加的。下面是它的说明:(它们在PHP3.0以后成了常量) 
UPLOAD_ERR_OK 
值:0; 没有错误发生,文件上传成功。 
UPLOAD_ERR_INI_SIZE 
值:1; 上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值。 
UPLOAD_ERR_FORM_SIZE 
值:2; 上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值。 
UPLOAD_ERR_PARTIAL 
值:3; 文件只有部分被上传。 
UPLOAD_ERR_NO_FILE 
值:4; 没有文件被上传。 
值:5; 上传文件大小为0. 

文件被上传结束后,默认地被存储在了临时目录中,这时您必须将它从临时目录中删除或移动到其它地方,如果没有,则会被删除。也就是不管是否上传成功,脚本执行完后临时目录里的文件肯定会被删除。所以在删除之前要用PHP的 copy() 函数将它复制到其它位置,此时,才算完成了上传文件过程。


<html>
<head><title>upload picture more once</title></head>
<body>
<form action="" method="post" enctype="multipart/form-data">
<p>Pictures:<br />
<input type="file" name="pictures[]" /><br />
<input type="file" name="pictures[]" /><br />
<input type="file" name="pictures[]" /><br />
<input type="submit" name="upload" value="Send" />
</p>
</form>
</body>
</html>

<?php
error_reporting(0);
if($_POST['upload']=='Send'){
$dest_folder = "picture/";
if(!file_exists($dest_folder)){
mkdir($dest_folder);
}
foreach ($_FILES["pictures"]["error"] as $key => $error) {
if ($error == UPLOAD_ERR_OK) {
$tmp_name = $_FILES["pictures"]["tmp_name"][$key];
$name = $_FILES["pictures"]["name"][$key];
$uploadfile = $dest_folder.$name;
move_uploaded_file($tmp_name, $uploadfile);
}
}
}
?>

三、Upload-labs案例演示

1、Pass-02

① 源代码

image-20210412135040698

②试着上传一个php后缀的文件,使用bp抓包。

查看MIME的值

image-20210412135639147

与代码里白名单的不一样。所以上传不成功。

③通过修改type的值来提交

image-20210412135754357

上传成功

2、Pass-03

①源代码

image-20210412140453365

②使用php5 php3 phtml等绕过

image-20210412141117345

但是需要在apache的配置文件当中去修改一下注释

3、Pass-04 .htaccess解析

①.htaccess学习

.htaccess是什么

.htaccess文件(或者"分布式配置文件")提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。

概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

启用.htaccess,需要修改httpd.conf,启用AllowOverride,并可以用AllowOverride限制特定命令的使用。如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令来改变。例如,需要使用.config ,则可以在服务器配置文件中按以下方法配置:AccessFileName .config 。

笼统地说,.htaccess可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能。

 

工作原理

      .htaccess文件(或者"分布式配置文件")提供了针对每个目录改变配置的方法,即在一个特定的目录中放置一个包含指令的文件,其中的指令作用于此目录及其所有子目录。
说明:
  如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令来改变。例如,需要使用.config ,则可以在服务器配置文件中按以下方法配置:
  AccessFileName .config
  通常,.htaccess文件使用的配置语法和主配置文件一样。AllowOverride指令按类别决定了.htaccess文件中哪些指令才是有效的。如果一个指令允许在.htaccess中使用,那么在本手册的说明中,此指令会有一个覆盖项段,其中说明了为使此指令生效而必须在AllowOverride指令中设置的值。

.htaccess解析漏洞

image-20210412141928490

代码:

<FilesMatch "shana">
Sethandler application/x-httpd-php
</Filesmatch >

意思就是说,如果碰到了cimer的文件名,就以下面的格式去解析执行。

②上传.htaccess文件到upload中

因为黑名单中没有.htaccess的限制。

image-20210412142604437

然后这个文件夹下的所有文件都将以这个配置文件的规则来执行。

③上传个名字为shana.jpg的图片,里面有php代码。

然后就可以成功执行了,访问路径。

4、Pass-06

在06中过滤了.htaccess

①源代码

image-20210412144554045

通过大小写来绕过。

5、缺少首尾去空

如果缺少首尾去空的话,加上空格就能过滤。

并且在windows中,会自动把空格去除,所以在上传到对方服务器后,操作系统自动把我们上传的文件转化成PHP了。

6、Pass-08

①源代码

image-20210412145219005

少了删除文件末位的点的代码。

绕过 的话直接在数据包里后缀加个点,并且在上传到服务器后,操作系统会自动去除点。

7、Pass-09

①源代码

image-20210412145514096

少了image-20210412145529855

②::$DATA学习

在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名

例如:"phpinfo.php::$DATA"Windows会自动去掉末尾的::$DATA变成"phpinfo.php"

image-20210412145843271

8、单次过滤和循环过滤

例如代码将字符串里的php替换为空

①单次过滤

将a.php------------>a.

绕过:a.pphphp----------->匹配第一个php---------------->过滤后卫a.php

​ test11.php. . ---------->去除空格test111.php..------------->去除末位的点---------------->test11.php.---------->操作系统默认test11.php

②循环过滤

比一次过滤安全,最终过滤完成之后还是a. 。

9、Pass-12 白名单 GET

①源代码

image-20210412160914522

②绕过方式%00(地址)截断,0x00(文件命名)截断

image-20210412161634452

image-20210412161740558

#00 后面的文件名是随机的
../upload/1.php%0011121221312.jpg
#%00的作用就相当于是截断,所以最终保存的就是1.php

image-20210412162024282

10、Pass-13 白名单 POST

①源代码

image-20210412162512478

②绕过方式

image-20210412162439426

但是这样还是不行,我们要把%00进行url编码。

image-20210412162610627

或者直接改hex十六进制的值为00

GET请求中,编码会自动转,会自动解码,能识别%20为空格。而POST当中不会自动解码。

posted @ 2021-05-17 20:53  DarkerG  阅读(1205)  评论(0编辑  收藏  举报