文件上传漏洞&靶场通关详解
文件上传漏洞&靶场通关详解
什么是文件上传漏洞?
大部分网站都拥有上传文件的部分,文件上传漏洞是由于网站开发者对用户上传文件的过滤不够严格,攻击者可以通过这些漏洞上传可执行文件(如木马,恶意脚本和WebShell等等),从而达到随意控制网站的目的。
文件上传漏洞有哪些危害?
攻击者可以通过这些漏洞上传可执行文件(如php),使服务器被控制,从而使攻击者能够植入后门程序,窃取敏感信息,侵犯用户隐私,上传恶意软件,造成数据篡改和损坏等等。
文件上传的过程?
用户发送的文件被服务器接收——>经过网站检测——>产生临时文件——>移动到指定路径
什么是WebShell?
WebShell是攻击者成功入侵网站后留下的后门程序,通常由asp,jsp和php编写。攻击者能够随时通过WebShell进入网站后端,随意查看和控制网站内容。
WebShell的分类如下:
文件上传漏洞的方法
接下来就围绕以上类型进行介绍:
前端检测
JS判断
直接查看:在浏览器中右键点击页面,选择 “查看源代码” 或 “检查”,打开开发者工具并切换到 “Sources” 或 “代码” 选项卡。然后搜索与文件上传相关的 JavaScript 函数,通常会有一些函数用于验证上传文件的类型、大小等属性。比如,可能会找到名为 validateFileUpload 或类似名称的函数,这很可能就是用于前端验证的函数。
查找特定关键词:使用浏览器的搜索功能(通常是快捷键 Ctrl+F 或 Command+F)在源代码中查找与文件上传验证相关的关键词,如 upload、file、validate、check 等,结合这些关键词来定位前端验证的 JavaScript 代码部分。
用浏览器开发者工具:打开浏览器的开发者工具,切换到 “Network” 选项卡,然后尝试上传一个文件。观察在文件上传过程中发起的网络请求,查看请求头和请求体中的信息。如果在请求发送之前有 JavaScript 代码对文件进行了验证,那么在请求头或请求体中可能会体现出验证的结果或相关参数。例如,可能会看到一个名为 X-File-Validated 的请求头,其值表示文件是否通过了前端验证。
借助抓包工具:除了浏览器开发者工具外,还可以使用专业的抓包工具,如 Wireshark 或 Fiddler。通过这些工具捕获文件上传时的网络数据包,分析其中的 HTTP 请求和响应,以确定是否存在前端 JavaScript 验证。如果有前端验证,通常会在请求发送之前看到一些与验证相关的 JavaScript 操作。
尝试绕过验证:选择一个不符合页面要求的文件进行上传,例如文件类型不被允许或者文件大小超过限制。如果页面只是简单地弹出一个提示框告知文件不符合要求,而没有将文件真正上传到服务器进行验证,那么很可能是使用了前端 JavaScript 进行验证。因为如果是后端验证,通常会先将文件上传到服务器,然后服务器再返回验证结果。
修改前端代码:通过浏览器开发者工具找到与文件上传验证相关的 JavaScript 代码,尝试修改其中的验证逻辑,例如将文件类型的限制条件修改为允许所有类型的文件。然后再次上传文件,如果此时文件能够成功上传,而在修改代码之前不能上传,那么就可以确定该页面使用了前端 JavaScript 验证。
绕过方法
禁用JS检测:
1.F12打开开发人员选项,右上角三个点打开设置,禁用js
2.浏览器搜索url:about:config,搜索JavaScript,双击关闭
第一关
新建php文件,写入一句话木马
禁用JS后上传一句话木马,之后直接用蚁剑连接即可
还有另外一种方法第三关提到
后端检测
Content-Type检测
原理
后端通过检查HTTP请求头中的Content-Type字段来确定上传文件的类型。服务器是通过ent-type判断类型,content-type在客户端可被修改,因此可以绕过。
第二关
根据以下代码可知检测Content-Type确定文件类型
则可以上传php一句话木马,用bp抓包,修改Content-Type为代码中任意一种,即可绕过
也可以直接上传图片马,修改后缀为php,第三关会详细介绍
黑名单绕过
黑名单
文件上传黑名单是指在文件上传过程中,服务器明确禁止上传的文件类型列表。
第三关
分析源码可知后端将检测文件后缀类型,以上四种文件后缀不被服务器所接受,这时就可以通过上传可支持文件,之后抓包修改后缀实现绕过,如(phtml,php3,php5等等).
这里我们尝试phtml
先上传php木马,bp抓包改后缀
蚁剑连接失败
检查配置文件
发现phtml被注释,打开这串代码,重启phpstudy,再次尝试,成功连接蚁剑
.htaccess绕过
htaccess定义及作用
.htaccess文件(或者分布式配置文件),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。
通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
绕过方法
因为.htaccess文件拥有改变文件后缀的作用,因此当改文件未被禁止时,我们就可以通过上传该类文件实现改变随后上传文件后缀的目的,从而绕过黑名单。
第四关
检查源码,发现是检测后缀是否在黑名单之中,黑名单中没有.htaccess,则可以利用该漏洞入侵服务器。
先新建.htaccess文件,写入如下内容
作用是让png,txt文件也可以执行php文件功能,也可以删除这串代码中的最后.png .txt,表示将随后上传的所有文件当作php文件处理。
先上传该文件,再上传黑名单之外的一句话木马文件(如图片马).
哦吼,连接失败,查询资料才知道启用.htaccess,需要修改httpd.conf,启用AllowOverride和rewrite,将none改成all即可,rewrite模块默认开启。
再次尝试,成功连接蚁剑
.user.ini绕过
原理
.user.ini在PHP_INI_USER的配置项之中,官方解释如下
.user.ini实际上就是一个可以由用户“自定义”的php.ini,它用于覆盖或追加全局配置文件(如.php.ini)中的PHP配置选项,可以覆盖php.ini文件。
绕过
我们可以通过先上传.user.ini文件,内容如下(其中1.png为随后上传的文件名)
再上传一个图片马,包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件,从而导致服务器对图片文件的错误处理而导致的文件执行。
第五关
黑名单中没有.ini后缀,先上传.user.ini文件,再上传1.png
根据提示
尝试访问readme.php
成功!
蚁剑连接即可
大小写绕过
原理
有些网站没有严格过滤大小写,这时就可以利用大小写混合来绕过检测。
第六关
网页源代码没有过滤大小写,这时就可以利用大小写绕过检测。
先上传php木马文件,然后用bp抓包,修改后缀为大小写混合,用蚁剑连接即可
空格绕过
如果网站没有过滤空格时,就可以通过在检测数据后添加空格实现绕过
第七关
检测源代码,发现函数trim,其解释如下
由于本题是通过判断后缀检测文件是否能够上传,则在后缀后添加空格即可,步骤和第六关类似
蚁剑连接成功
点绕过
和空格绕过类似,这里不再详述。
第八关
NTFS交换数据流绕过
原理
window中,文件名+"::\(DATA"会把::\)DATA之后的数据当成文件流处理,不会检测后缀名,且保持"::$DATA"之前的文件名,不会检查后缀名。
第九关
源代码中没有过滤::$DATA,和前几关步骤类似,bp抓包,改后缀,蚁剑连接
不过蚁剑连接时需要删除::$DATA
点空点绕过(. .)
原理
deldot()函数从后向前检测,当检测到末尾的第一个点时会继续它的检测,但是遇到空格会停下来,从而绕过检测。
第十关
当从右往左检测文件名时,会删除最后的 '.'和' '然后停止,之后得到文件名'X.php.',和之后点绕过相同。
双写后缀绕过
原理
在上传模块,有的代码会把黑名单的后缀名替换成空,例如a.php 会把php 替换成空,但是可以使用双写绕过例如 asaspp,pphphp,即可绕过上传。
第十关
其中str_ireplace函数会从左往右检测文件后缀是否在黑名单之中,若在的话,就会将其删除。
如果我们将文件后缀变成pphphp时,他只会检测到中间的php并删除,然而剩余字符依然构成php后缀,就能够实现绕过。
步骤依然一样,不再啰嗦。
%00截断绕过
原理
如果黑名单上传检测后,没有限定后缀名,绕过的方法很多,使用白名单验证会相对比较安全,因为只允许指定的文件后缀名。但是如果有可控的参数目录,也存在被绕过的风险。
保存文件时处理文件名的函数会从左往右检测,在遇到%00字符认为这是终止符,从而丢弃之后的字符。但是白名单检测时会从右往左检测,如果后面的字符符合后缀白名单要求时,就会通过检测。
第十二关
先通过白名单检测,之后从 GET 参数获取的保存路径(通过 $_GET['save_path']),
和文件后缀构成新的文件名。如果我们此时修改get请求的值,添加1.php%00
它虽然依然能后和文件后缀构成文件名,但由于遇到%00后服务器会以为已经结束,从而丢弃掉后缀名。
由于这要求php版本在5.3.4以下,因此我的靶场显示上传错误!
第十二关
这一关和上一关的区别就是本关是通过post传参保存文件的保存路径。由于post传参不会像get传参那样
对%00进行url解码,因此需要手动对%00解码
在php添加一个空格,然后选中空格在右侧选中栏中将16进制数修改为00相当于‘/0’。之后用蚁剑连接即可。
文件头检测绕过
原理
所有的文件都是以二进制的形式进行存储的,在每一个文件(包括图片,视频或其他的非ASCII文件)的开头(十六进制表示)都有一片区域来显示这个文件的实际用法,这就是文件头标志,服务器对白名单进行文件头检测,符合,则允许上传,反之不允许。
主要分为三个方面:前两字节绕过,getimagesize绕过和exif_imagetype绕过。
常见文件头类型
第十四关(前两字节绕过)
关键函数fread,作用如下:
由于服务器只会检测上传文件二进制的前两个字节,所以我们可以通过修改这部分数据实现绕过。
白名单中只有jpg,png,gif这三种文件类型,这里我选择用png类型实现绕过:
先新建一个png图片,用记事本打开,并写入一句话木马
注意前面有两个空格,方便用010修改前两字节
上传该图片,而提示需要使用文件包含漏洞才能运行恶意代码
使用include包含:include.php?file=upload/文件名
成功连接
第十五关
源代码中包含了getimagesize函数
通过终端用一个正常图片和一个一句话木马生成图片马绕过检测
然后步骤和第十四关相同。
第十六关
源码使用exif_imagetype()检查文件类型是否合法
这关和第15关没有什么不同,做法是一样,但这关使用exif_imagetype()检查是否为图片文件,所以我们需要开启开启php_exif扩展,之后同第十五关
二次渲染绕过
原理
在我们上传文件后,网站会对图片进行二次处理(格式、尺寸要求等),服务器会把里面的内容进行替换更新。
处理完成后,根据原有的图片对比,找到没被修改的部分,然后利用这一部分,生成一个新的图片并放到网站对应的标签进行显示。
第十七关
源码对图片进行二次渲染
经过二次渲染,图片马中的一句话木马被删除。这是就需要在渲染前后相同部分添加一句话木马。
由于png图片渲染前后相同部分很少,一句话木马经过渲染会被删除,因此选择用gif图片插入
这时有两种方法,第一种是将渲染前后对比,在渲染前两者的相同部分插入一句话木马。
另外一种则是直接在渲染后的图片中插入一句话木马。
这里用第一种方法
保存后再次上传该图片,然后下载上传后的图片,用010打开,发现经过渲染后一句话木马仍然存在
之后利用文件包含漏洞用蚁剑连接即可
条件竞争绕过
原理
文件先上传到服务器上,然后再判断是否符合白名单,虽然非法文件在服务器中的时间很短,但仍然可以访问,可是一句话木马需要一直连接服务器才能进行操作,因此可以利用这短暂的时间执行非法文件的一句程序语句, 我们这个时候就可以使用条件竞争的方式,通过bp发送大量的上传和文件访问请求。
第十八关
先新建一个php文件并写入
上传文件到服务器,用bp抓包,发送数据包到intruder模板
上传请求:
clear清除payload
无限空发请求
将齐发线程数调大,之后是访问请求,和上传步骤相同,不过需要访问生成的文件地址,在本题中为http://127.0.0.1/upload-labs/Pass-18/index.php/shell.php
接下来开始攻击,分别点击上传请求的开始攻击按钮和文件访问的按钮。因为需要大量的请求,所以时间可能要长一点。
最后发现我们的目录下有shell.php
最后用蚁剑连接即可
Apache解析漏洞
原理
Apache解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如test.php.a.b的“.a”和“.b”这两种后缀是apache不可识别解析,apache就会把test.php.a.b解析成test.php。
第十九关
代码审计
这里定义了一个类,包含了一些白名单后缀。
这里是先上传文件,然后重命名文件,所以存在条件竞争。
这里对上传后的文件进行重命名。
先复制php木马,不过要利用apache解析漏洞,在后缀后可以添加.7z(只要apache不能解析就行)
与第十八关类似,通过bp发送大量的上传和文件访问请求。
上传请求完全相同,但是文件访问请求不大相同,通过查看服务器文件可知,上传文件并没有保存在upload目录下,而是保存在了upload-labs目录下。
文件访问url http://127.0.0.1/upload-labs/upload1733053426.7z
其他方式与第18关相同。
