ctf基本的文件上传与绕过学习

Posted peterchan1

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ctf基本的文件上传与绕过学习相关的知识,希望对你有一定的参考价值。

技术图片

绕过客户端校验前台脚本检测扩展名上传webs hell

原理:

当用户在客户端选择文件点击上传的时候,客户端还没有向服务器发送任何
消息,就对本地文件进行检测来判断是否是可以上传的类型,这种方式称为前台
脚本检测扩展名。
绕过前台脚本检测扩展名,就是将所要上传文件的扩展名更改为符合脚本检
测规则的扩展名,通过 BurpSuite 工具,截取数据包,并将数据包中文件扩展名
更改回原来的,达到绕过的目的

实验:

  1. 打开要上传的页面,上传要上传的木马文件lurb.php,点击上传。
    技术图片
  2. 页面显示错误
    技术图片
  3. 返回上传页面,点击浏览,选择要上传的木马文件lubr.jpg(把lubr.php重命名
    lubr.jpg)
    技术图片
  4. 上传用burpsuite抓包,将.jpg改为.php,点击’forward’发送数据包,进行绕过。
    技术图片
    技术图片
    技术图片

    绕过 Content-Type 检测文件类型上传

    原理:

    当浏览器在上传文件到服务器的时候,服务器对所上传文件的Content-Type类型进行检测,如果是白名单允许的,则可以正常上传,否则上传失败。绕过Content–Type文件类型检测,就是用BurpSuite 截取并修改数据包中文件的Content-Type类型,使其符合白名单的规则,达到上传的目的。

    实验:

  5. 打开要上传文件的页面,上传木马lubr.php。报错
    技术图片
    技术图片
  6. 利用burpsuite抓包更改Content-Type由application/octet-stream改为148
    image/gif。点击’forward’发送数据包。
    技术图片
    技术图片
    技术图片

    绕过服务器端扩展名检测上传

    原理:

    当浏览器将文件提交到服务器端的时候,服务器端会根据设定的黑白名单对浏览器提交上来的文件扩展名进行检测,如果上传的文件扩展名不符合黑白名单的限制,则不予上传,否则上传成功。

将一句话木马的文件名 lubr.php,改成lubr.php.abc。首先,服务器验证文件扩展名的时候,验证的是.abc,只要该扩展名符合服务器端黑白名单规则,即可上传。另外,当在浏览器端访问该文件时,Apache如果解析不了.abc扩展名,会向前寻找可解析的扩展名,即.php。一句话木马可以被解析,即可通过中国菜刀连接。apache解析文件名从后往前解析

实验:

  1. 打开要上传文件的页面,上传木马文件lubr.php。上传报错
    技术图片
    技术图片
  2. 返回上传页面,点击浏览,选择要上传的木马文件lubr.php.abc(由lubr.php重命名lubr.php.abc),点击上传
    技术图片
    技术图片

    00截断上传

    原理:

    利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0x00上传截断漏洞。

假设文件的上传路径为http://xx.xx.xx.xx/upfiles/lubr.php.jpg,通过抓包截断将【lubr.php】后面的【.】换成【0x00】。在上传的时候,当文件系统读到【0x00】时,会认为文件已经结束,从而将【lubr.php.jpg】的内容写入到【lubr.php】中,从而达到攻击的目的。

实验:

  1. 打开需要上传的网页,选择需要上传的木马文件‘xxx.php.jpg’上传.
    技术图片
  2. burp suite抓包。
    技术图片
  3. 单击“hex”标签页,点击【hex】,进入到十六进制源码界面。
    技术图片
  4. 找到【lubr.php.jpg】对应的十六进制源码,将【lubr.php】后【.】对应的【2e】改为【00】
    技术图片
  5. 点击【forward】,即可成功上传文件
    技术图片

    构造图片木马上传绕过

    原理:

    一般文件内容验证使用getimagesize()函数检测,会判断文件是否是一个有效的文件图片,如果是,则允许上传,否则的话不允许上传。本实例就是将一句话木马插入到一个【合法】的图片文件当中,然后用中国菜刀远程连接。

    实验:

  6. 随便找一个图片,与所要上传的木马放置于同一文件夹下。打开cmd,进入木马所在文件夹
    技术图片
  7. 输入copy pic.jpg/b+lubr.php/a PicLubr.jpg,将【lubr.php】插入到【pic.jpg】中。
    技术图片
  8. 上传图片木马,并访问。
    技术图片

    Apache 解析漏洞上传文件

    原理:

    Apache识别文件类型是从右向左识别的,如果如遇不认识的扩展名会向前一次识别,知道遇到能别
    的扩展名

    实验

  9. 将原本不能上传的xx.php文件更名为xx.php.abc上传即可
    技术图片

    Fckeditor漏洞上传webshell

    原理:

    Fckeditor在2.4.2以下存在一个直接上传任意文件的上传页面,可直接上传webshell

    实验:

  10. 打开网站判断是否有fckeditor编辑器出现403禁止访问,说明此目录存在
    技术图片
  11. 判断fckeditor编辑器版本号,输入:http://192.168.1.3:8001/FCKeditor/_whatsnew.html,由返回页面可知此fckeditor编辑器版本为2.0
    技术图片
  12. 此版本fckeditor存在两个上传漏洞页面:
    FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.as
    FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=zhang&CurrentFolder=/
    第一个页面是在网站根目录下的userfiles目录下的Image目录下打开一个上传页面,上传的文件都保存在这个目录下;
    第二是在网站根目录下的userfiles目录下创建一个zhang目录。1.4打开
    http://192.168.1.3:8001/FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
    技术图片
  13. 00截断上传,先上传一个jpg类型文件,再上传一个asp文件报错。burp suite抓包进行00截断上传。
    技术图片
    技术图片
    技术图片
  14. 设置代理,再次上传类型为ASP的文件webshell.asp.jpg(把webshell.asp重命名webshell.asp.jpg即可),击”upload”按钮
    技术图片
  15. burpsuite 抓到包 进到hex选项卡更改00截断
    技术图片
  16. 将.jpg的.的hex’2e‘改为00
    技术图片
  17. 切换为raw模式,空格变为如图样子,单击“forward”按钮(多单击几次),继续发送请求数据包
    技术图片
  18. 切换为history
    标签,选择截获的数据包,然后再单击“reponse”标签页,发现文件的上传路径为“/UserFiles/Image/”
    技术图片
  19. 取消浏览器的代理设置,刷新上传页面,可以看到webshell.asp.jpg文件已经上传成功,并命名为webshell.asp。
    技术图片

原文:大专栏  ctf基本的文件上传与绕过学习


以上是关于ctf基本的文件上传与绕过学习的主要内容,如果未能解决你的问题,请参考以下文章

1010.CTF 题目之 WEB Writeup 通关大全 – 4

文件上传+绕过方法+菜刀的基本用法

Writeup - CTF-练习平台(123.206.31.85)

上传文件绕过姿势

文件上传绕过——文件上传漏洞基础入门

文件上传绕过知识总结一