文件上传漏&洞 — ::$DATA绕过点和空格绕过

Posted hack_man

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了文件上传漏&洞 — ::$DATA绕过点和空格绕过相关的知识,希望对你有一定的参考价值。

​​​​渗&透测试系统课程​

文件上传漏&洞的相关讲解基于upload-labs靶场,搭建教程见​​文件上传漏&洞靶机搭建教程​

::$DATA绕过

补充知识

  • Windows本地文件系统中的文件流(File Streams):
  • 当从 Windows shell 命令行指定创建文件时,流的完整名称为 "filename:stream name:stream type",如示例中所示: "myfile.txt:stream1:$DATA"

流类型

下面是 NTFS 流类型(也称为属性类型代码)的列表。 某些NTFS 内部的流类型 ,格式未记录。

流类型说明::$ATTRIBUTE_LIST包含组成文件的所有属性的列表,并标识每个属性的位置。::$BITMAP索引用于管理目录的B-Tree空间的位图。B-Tree以4 kB块管理(无论群集大小),此用于管理这些块的分配。每个目录都存在此流类型。::$DATA数据流。 默认数据流没有名称。 可以使用 FindFirstStreamWFindNextStreamW 函数枚举数据流。::$EA包含扩展的属性数据。::$EA_INFORMATION包含有关扩展属性的支持信息。::$FILE_NAME文件的名称,采用 Unicode 字符。 这包括文件的短名称以及任何硬链接。::$INDEX_ALLOCATION目录的流类型。用于实现大目录的文件名分配。这个流表示目录本身,并包含目录的所有数据。对这种类型流的更改将被记录到NTFS更改日志中。$INDEX_ALLOCATION流类型的默认流名是$I30,所以“DirName”、“DirName::$INDEX_ALLOCATION”和“DirName:$I30:$INDEX_ALLOCATION”都是等价的。::$INDEX_ROOT该流表示索引的B-Tree的根。每个目录都存在此流类型。::$LOGGED_UTILITY_STREAM类似于::$DATA,但是操作被记录到NTFS更改日志中。用于EFS和Transactional NTFS (TxF)。":StreamName:$StreamType"对EFS是":$EFS:$LOGGED_UTILITY_STREAM",对TxF是":$TXF_DATA:$LOGGED_UTILITY_STREAM"。::$OBJECT_ID用于标识链接跟踪服务的文件的16字节 ID。::$REPARSE_POINT重新 分析点 数据。

  • 对NTFS格式下的一个文件而言,至少包含一个流,即data流(其stream type为$DATA),data流是文件的主流,默认的data流其stream name为空。默认一个文件如果被指定了流,而该流没有stream type的话会在存储时自动添加$DATA。例如上面看到的例子myfile.txt:stream1:$DATA在存储时实际上是为myfile.txt:stream1,但在查询结果中需要去除:$DATA,否则会出现参数错误,这个是notepad不能很好的支持流所导致的。
  • 对文件夹而言,没有data流,其主流是directory流(stream type为$INDEX_ALLOCATION),directory流默认的stream name是$I30。尽管文件夹默认没有data流,但用户可为其指派data流。

浏览器访问​​http://127.0.0.1/Pass-09/index.php​​进入靶机​​pass09​​环境练习页面:

文件上传漏&洞

本pass一样禁止了所有的可解析的脚本上传,同时利用空格绕过、点绕过都不好使,在源代码中对这些绕过方式都做了相关的限制。

通过上面对Windows文件流的学习,发现Windows shell 命令行指定创建文件时特性,对文件名进行操作进行绕过

解决方法

  1. 在页面选择上传一个webshell,并将Burp拦截功能打开。
  2. 上传文件后,在Burp中将文件名称.php后面加上 ::$DATA,将数据包forward
    文件上传漏&洞
  3. 发现文件被成功的上传到服务器,且名称后缀为.php::$data,但是由于Windows的特性在磁盘中会忽略::$data并将文件新建。

文件上传漏&洞

文件上传漏&洞

  1. 在浏览器中拼接文件路径并去掉::$data后访问,可以看到文件内容成功被执行。

文件上传漏&洞

点和空格绕过

浏览器访问​​http://127.0.0.1/Pass-10/index.php​​进入靶机​​pass10​​环境练习页面:

文件上传漏&洞

本pass和​​pass07​​、​​pass08​​一样有点类似,但是利用点绕过以及空格绕过技巧是都不能正常进行上传,网站后端对这两种方式都做了策略,那么我们就可以结合这两种绕过技巧绕过进行文件上传。

解决方法

和​​pass07​​、​​pass08​​操作一样,需要注意的是与​​pass07​​不一样的是将文件名后缀加上​​. .​​(两个点中间有一个空格)

  1. 在页面选择上传一个webshell,并将Burp拦截功能打开。
  2. 上传文件后,在Burp中将文件名称.php后面加上 . .,将数据包forward

文件上传漏&洞

  1. 访问http://127.0.0.1/upload/shell.php文件成功被解析执行


以上是关于文件上传漏&洞 — ::$DATA绕过点和空格绕过的主要内容,如果未能解决你的问题,请参考以下文章

安全-Pass07之黑名单空格绕过(upload-labs)

Getshell | 文件上传绕过整理

(转)多种文件上传绕过手法

文件上传漏洞的一些总结

UAC 实现原理及绕过方法-打洞专用

[9期]软WAF上传绕过+webshell免杀