文件上传漏洞绕过手段

Posted aslijitong

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了文件上传漏洞绕过手段相关的知识,希望对你有一定的参考价值。

 

文件上传漏洞的成因

1.服务器的错误配置
2.开源编码器漏洞
3.本地上传上限制不严格被绕过
4.服务器端过滤不严格被绕过

常见上传检测流程

技术图片

文件上传漏洞的危害

(1)网站被控制
(2)服务器沦陷
(3)同服务器的其他网站沦陷

客户端验证检测

技术图片

 可以看到客户端代码中使用了javascript语言进行了简单的文件后缀名判断
这个时候我们只需要将本机浏览器的javascript模块禁用就可以使该段代码不被解析执行。
在火狐浏览器中,在

技术图片
URL这里输入about:config
把JavaScript改为false

服务器端MIME绕过
MIME检测的是数据包content-type字段。常见的图片格式的MIME类型有以下 几种类型:
PNG图像:image/png
GIF图形: image/gif
JPG图形:image/jpeg

服务器段目录检测绕过
在文件上传时,有的程序允许用户将文件放到指定的目录中,如果指定目录存在就将文件写 入目录,不存在则先建立目录,然后写入。关键代码如下:

技术图片

 在html页面有一个隐藏的表单,它默认提交的文件夹名称为value的值,即”uploads”。代 码如下:  

技术图片

 
服务器端扩展名检测绕过
服务器端后缀名检测绕过脑图

技术图片

黑名单绕过办法

1.文件名大小写绕过:php,AsP

2.特殊文件名绕过
  在Windows下有一个特性就是如果文件后缀以点‘.’或者空格‘ ’结尾的后缀 名时,系统在保存文件时会自动去除点和空格。但要注意 Unix/Linux 系统没有 这个特性。
因为有些服务器端的后缀名检测是取文件名最后一个.后面的字符串,拿这个字符串与黑名单列表对比

3. 0x00截断绕过
文件名后缀有一个%00字节,可以截断某些函数对文件名的判断。在许多语言函 数中,处理字符串的函数中0x00被认为是终止符
例如: 网站上传函数处理xxx.asp%00.jpg时,首先后缀名是合法的jpg格式,可以 上传,在保存文件时,遇到%00字符丢弃后面的 .jpg,文件后缀最终保存的后缀 名为xxx.asp

4 .htaccess文件攻击
技术图片

 白名单绕过办法

1.0x00 截断绕过
用像test.asp%00.jpg的方式进行截断,属于白名单文件

2.解析/包含漏洞绕过
这类漏洞直接配合上传一个代码注入过的白名单文件即可,再利用解析,包含漏洞。


文件内容检测绕过
针对文件内容检测的绕过,一般有两种方式,
1.制作图片马
2.文件幻术头绕过

图片马Windos下的制作

技术图片

 其中第一个/b表示指定以二进制格式进行复制(合并) 第二个/b表示以什么样的格式保存我们刚刚合并的那个文件( 用于图像类/声音类文件)
还有一种参数/a,它表示以ASCII格式复制合并文件,用于txt等文档类文件

Linux下图片马的制作

技术图片
当然 >>追加符号也是可以用的

文件幻术头绕过
图像相关的信息检测常用getimagesize( )函数。每种类型的图片内容最开头会有一个标志性 的头部,这个头部被称为文件幻术。常用图片类型有以下几类:
绕过jpg文件幻术检测要在文件开头写上下图的值

技术图片

  Value = FF D8 FF E0 00 10 4A 46 49 46

绕过png文件幻术检测要在文件开头写上下图的值:

技术图片


Value = 89 50 4E 47

绕过gif文件幻术检测要在文件开头写上下图的值:

技术图片

 Value = 47 49 46 38 39 61

解析漏洞

解析漏洞这里介绍三种:
1.Apache解析漏洞
2.IIS解析漏洞
3.Ngix解析漏洞

1.Apache解析漏洞

WampServer2.0All Version (WampServer2.0i / Apache 2.2.11) [Success] l
WampServer2.1All Version (WampServer2.1e-x32 / Apache 2.2.17) [Success] l
Wamp5 All Version (Wamp5_1.7.4 /Apache 2.2.6) [Success] l
AppServ 2.4All Version (AppServ - 2.4.9 /Apache 2.0.59) [Success] l
AppServ 2.5All Version (AppServ - 2.5.10 /Apache 2.2.8) [Success] l
AppServ 2.6All Version (AppServ - 2.6.0 /Apache 2.2.8) [Success]

这几个版本的apache解析漏洞,大家可以自己百度下,按照别的大佬们说的做

2. IIS解析漏洞
IIS6.0有两个解析漏洞,一个是如果目录名包.asp 、.asa、.cer字符串,那么这个目录下所有的文 件都会按照 asp 去解析。
例如: chaoasp/1.jpg
因为文件名中有asp字样,所以该文件夹下的1.jpg文件打开时,会按照asp文件去解析执行

另一个是只要文件名中含有.asp、.asa、.cer会优先按 asp 来解析

IIS7.0/7.5是对php解析时有一个类似于nginx的解析漏洞, 对任意文件名只要在URL后面追加 上字符串“/任意文件名.php”就会按照 php 的方式去解析 。
例子 :  ”http://www.baidu.com/upload/chao/1.jpg/chao.php"
这种情况下访问1.jpg,该文件就会按照php格式被解析执行

3.Nginx解析漏洞
一个是对任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原本文件名是 test.jpg, 可以添加为 test.jpg/x.php 进行解析攻击。
一种是对低版本的 Nginx 可以在任意文件名后面添加%00.php
例如:127.0.0.1/sql-loads/load/chao.jpg%00.php
那么chao.jpg也就被当作php格式文件执行
nginx 0.5.* [Success]
nginx 0.6.* [Success]
nginx 0.7 <= 0.7.65 [Success]
nginx 0.8 <= 0.8.37 [Success]

以上是关于文件上传漏洞绕过手段的主要内容,如果未能解决你的问题,请参考以下文章

文件上传漏洞

文件上传绕过——文件上传漏洞基础入门

文件上传漏洞(绕过姿势)

目录路径检测解析绕过上传漏洞 啥意思

总结 | 文件上传绕过方式和中间件解析漏洞

文件漏洞小记