web漏洞之文件上传漏洞

文章目录

  • 一、漏洞原因
  • 二、漏洞危害
  • 三、漏洞利用
    • 1.三个条件
    • 2.利用方式
    • 3.绕过方式
      • a.绕过JS验证
        • ① BP绕过
        • ② F12绕过
        • ③ 菜刀上传实操
      • b.绕过MIME-Type验证
      • c.绕过黑名单验证
        • ① 直接修改后缀名绕过
        • ② htaccess绕过(有拦截)
        • ③ 大小写绕过(有拦截)
        • ④ 空格绕过
        • ⑤ .号绕过
        • ⑥ 特殊符号绕过
        • ⑦ 路径拼接绕过
      • d.Linux webshell测试工具
        • Webacoo
        • weevely
  • 四、文件上传漏洞防护措施
  • 五、文件包含漏洞
    • 1.特征
    • 2.实操
    • 3.危害
    • 4.防护措施

一、漏洞原因

由于对上传文件未作过滤或过滤机制不严(文件后缀或类型),导致恶意用户可以上传脚本
文件,通过上传文件可达到控制网站权限的目的

二、漏洞危害

攻击者可获得网站控制权限,可获得查看、修改、删除网站数据,可通过提权漏洞可获得主机权限

三、漏洞利用

1.三个条件

首先需要满足三个条件,攻击者才能成功入侵利用:
木马上传成功,未被杀;
知道木马的路径在哪;
上传的木马能正常运行(解析)。
Webshell是否能成功解析验证方法

<?php @assert($_POST["fname"]);?>

或<?php @eval($_POST["fname"]);?>
可先在本地验证,F12使用hackbar验证phpinfo
在这里插入图片描述

出现以上界面说明解析成功
利用文件上传漏洞,通过向服务端提交一句简短代码,配合本地客户端实现webshell功能
在这里插入图片描述

2.利用方式

服务器MIME类型检测
服务器目录路径检测
服务器文件扩展名检测
服务器文件内容检测

3.绕过方式

a.绕过JS验证

① BP绕过

对于JS前端验证,直接删除掉JS代码之后就可以绕过JS验证,BP抓包时删除所有JS
在这里插入图片描述

② F12绕过

利用浏览器的审查工具F12剔除JS相关限定后,保存为新文件然后进行文件上传。(实操)
打开pykachu
在这里插入图片描述

发现只能上传图片,F12看下
在这里插入图片描述

试着把这个删除再上传,发现可以上传其他格式了

在这里插入图片描述在这里插入图片描述

③ 菜刀上传实操

在这里插入图片描述

打开后主界面右键添加,输入webshell在服务器的完整地址和连接参数,这里是fname
完整路径可看上传界面回显,然后根据目录层次拼接即可
在这里插入图片描述

如果出现http500错误,需要把pykachu php缓存版本5就ok了
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

b.绕过MIME-Type验证

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。用于系统默认文件打开方式设置,服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的,我们可以通过抓包修改文件类型可绕过限制
在这里插入图片描述

小技巧,可以先成功上传一个案例,观察服务器允许的mime的类型,然后再抓包修改重放测试
在这里插入图片描述

重放后可以发现上传成功
在这里插入图片描述

菜刀验证一下
在这里插入图片描述在这里插入图片描述

注意:验证成功后记得把上传的测试文件删除

c.绕过黑名单验证

对于文件上传模块来说,尽量避免上传可执行的脚本文件,为了防止上传脚本需要设置对应的验证方式,如后缀名验证。
① 后缀名绕过
通过httpd.conf自定义后缀名绕过
可通过pikachu-设置-配置文件-httpd.conf-Apache2.4.39修改添加可用后缀名类型

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

比如我们上传一个phtml后缀的webshell,上传一般是成功的,然后用菜刀连接(不能用F12了),也一样可以连接成功

① 直接修改后缀名绕过

先上传一个jpg
在这里插入图片描述

bp修改后缀名
在这里插入图片描述

F12 Hackbar调用成功
在这里插入图片描述

菜刀连接成功
在这里插入图片描述

② htaccess绕过(有拦截)

如果黑名单中没有过滤htaccess
则先配置下httpd.conf
在这里插入图片描述

.htaccess文件内容
<FilesMatch “2.jpg”>
SetHandler application/x-httpd-php

先上传它
在这里插入图片描述

然后使用文本编辑工具写入php代码:

<?php @eval($_POST["fname"]);?>

保存为2.jpg进行上传即可
在这里插入图片描述

则可直接使用jpg后缀打开webshell
http://127.0.0.1/pikachu/vul/unsafeupload/uploads/2.jpg,如果没有过滤应该没有报错

③ 大小写绕过(有拦截)

在这里插入图片描述

如果黑名单中没有大小写转换过滤,可以使用这种方法

④ 空格绕过

使用Burpsuite截断HTTP请求之后,修改对应的文件名并添加空格
在这里插入图片描述在这里插入图片描述

⑤ .号绕过

Windows系统下,文件后缀名最后一个点会被自动去除
在这里插入图片描述在这里插入图片描述

上传后.号会被去除

⑥ 特殊符号绕过

如1.php::$DATA

⑦ 路径拼接绕过

如 1.php.+空格+.
在这里插入图片描述在这里插入图片描述

可以看出成功上传了23.php

d.Linux webshell测试工具

Webacoo

使用WeBaCoo生成Webshell: webacoo -g -o a.php上传Webshell
使用Webacoo连接上传成功的Webshell:webacoo -t -u Webshell地址

weevely

使用weevely生成Webshell并上传。
命令:weevely generate 密码 路径 文件名

四、文件上传漏洞防护措施

检测的重点放在文件内容检测
路径/扩展名检测一定要用白名单
不能有本地文件包含漏洞
随时注意更新Web应用软件

五、文件包含漏洞

在PHP中,使用include、require、include_once、require_once函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。
文件包含漏洞常常会导致任意文件读取与任意命令执行;

1.特征

文件包含的特征是url里有以下参数
?page=
?file=
?home=

2.实操

上传123.gif
内容是:
GIF98A

<?php phpinfo(); ?>

上传23.php

<?php $filename = $_GET['filename']; if(isset($filename)){ include("$filename"); }else{ echo "file not found!"; } ?>

然后在链接里用123.gif作为包含文件
在这里插入图片描述

3.危害

严重:本地文件包含不仅能够包含web文件目录中的一些配置文件(比如Web应用、数据库配置文件、config文件),还可以查看到一些Web动态页面的源代码,为攻击者进一步发掘web应用漏洞提供条件,甚至一旦与路径遍历漏洞相结合,还可能直接攫取目标系统的用户名与密码等文件。并且能执行任意代码,甚至控制服务器。

4.防护措施

a.包含文件的参数过滤
① 文件名过滤:白名单或者黑名单过滤
②不使用动态变量进行包含操作,设置字典等静态处理
③文件名后缀固定
b.路径限制
①目录限制,在用户提交的变量前增加固定的路径,限制用户可调用的目录范围
②目录回退符过滤,避免回退符生效导致路径变化
c.中间件的安全配置
①PHP版本小于5.4在php.ini中设置magic_quotes_gpc=on(5.4 以后被放弃用)
magic_quotes_gpc设置是否自动为GPC(get,post,cookie)传来的数据中的’"\加上反斜线
②限制访问区域:php.ini 中设置 open_basedir 来限制用户访问文件的活动范围等;
apache 也有相关配置
③设置访问权限:限制当前中间件所在用户的访问权限,例如;web 服务器独立用户,并且只拥有访问目录和使用中间件的权限,从而有效避免越权访问其他文件;
d.搭建RASP阻止代码注执行

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/31989.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Golang -> Golang 变量

Golang 变量 Golang 变量使用的三种方式变量的声明&#xff0c;初始化和赋值程序中 号的使用数据类型的基本介绍int 的无符号的类型&#xff1a;int 的其它类型的说明:整型的使用细节 小数类型/浮点型小数类型分类浮点型使用细节 字符类型字符类型使用细节字符类型本质探讨 布…

前端Vue自定义简单实用轮播图封装组件 快速实现轮播图

前端Vue自定义简单实用轮播图封装组件 快速实现轮播图&#xff0c; 下载完整代码请访问uni-app插件市场地址&#xff1a;https://ext.dcloud.net.cn/plugin?id13153 效果图如下&#xff1a; # cc-mySwiper #### 使用方法 使用方法 <!-- 自定义轮播图 swiperArr: 轮播数…

做项目,最难搞定的不是甲方爸爸...

早上好&#xff0c;我是老原。 前几天和一个老朋友吃饭的时候&#xff0c;他和我吐槽他上个月做的一个项目&#xff0c;实在太累了&#xff0c;几乎是没日没夜地赶进度&#xff0c;身体都快垮了。 我问他既然时间来不及&#xff0c;为什么不前期就和客户沟通好。 他说其实客…

什么是HTTP 500内部服务器错误,要怎么修复

HTTP 500是一种原始的错误代码&#xff0c;它指示网站服务器在处理请求时发生了内部错误&#xff0c;不过具体错误原因是不确定的。一般情况下&#xff0c;这种错误通常是由服务器程序上的bug或者配置问题造成的。当服务器收到请求时&#xff0c;尝试执行它时&#xff0c;但是发…

快速入门JavaScript异步编程:从回调到async/await的跨越

文章目录 I. 介绍异步编程的背景和基本概念本文主要讨论JavaScript中的异步编程 II. 回调函数回调函数的定义、作用以及使用场景回调地狱的问题及解决方案 III. PromisePromise的定义、作用以及使用场景Promise的状态及状态转换Promise的链式调用和错误处理 IV. async/awaitasy…

B049-cms04-浏览次数 富文本 轮播图 上传

目录 浏览次数页面加载发送请求后台处理请求前台展示 展示日期富文本编辑static下引入富文本资源文件夹模态框文本域替换成如下内容底部引入相关文件调整模态框样式把富文本选项移到模态框前面上传表情或图片等富文本添加操作手动清空富文本编辑器内容修改操作手动回显富文本编…

浅析 Jetty 中的线程优化思路

作者&#xff1a;vivo 互联网服务器团队- Wang Ke 本文介绍了 Jetty 中 ManagedSelector 和 ExecutionStrategy 的设计实现&#xff0c;通过与原生 select 调用的对比揭示了 Jetty 的线程优化思路。Jetty 设计了一个自适应的线程执行策略&#xff08;EatWhatYouKill&#xff09…

华为eNSP入门实验,Vlan配置,路由配置,用户模式,链路聚合

文章目录 一、同一交换机下的PC通信二、不交换机下的PC通信三、配置静态路由通信四、路由器rip协议配置五、路由器ospf协议配置六、单臂路由七、通过三层交换机使不同的Vlan能连通八、设备consolo密码模式九、设备consolo用户密码模式&#xff08;AAA模式&#xff09;十、Telne…

运算放大器(一):电压跟随器

一、电压跟随器 电压跟随器&#xff08;单位增益放大器、缓冲放大器或隔离放大器&#xff09;是一种电压放大倍数为 1 的运算放大器&#xff0c;能够将输入信号的电压放大到同样的幅度并输出&#xff0c;同时保持输入输出电阻不变&#xff08;电压跟随器的输入电阻很大&#x…

【后端】SSM框架下REST风格代码注释详解

前言 最近学习了一下SSM&#xff0c;不得不说&#xff0c;spring不用注解真的是天打雷劈&#xff0c;就那个bean真的就是折磨人。 下面是我总结的spring注解。 Value 此注解可以用来获取导入的jdbc.properties文件的值。 Value("${jdbc.driver}")private String…

(论文阅读)Chain-of-Thought Prompting Elicits Reasoning in Large Language Models

论文地址 https://openreview.net/pdf?id_VjQlMeSB_J 摘要 我们探索如何生成一个思维链——一系列中间推理步骤——如何显著提高大型语言模型执行复杂推理的能力。 特别是&#xff0c;我们展示了这种推理能力如何通过一种称为思维链提示的简单方法自然地出现在足够大的语言模…

【Flutter】Flutter 如何使用 flutter_swiper

文章目录 一、前言二、flutter_swiper 的概念三、Flutter 中的 flutter_swiper1. 使用的库2. 方法介绍 四、代码示例1. 简单示例2. 完整示例 五、总结 一、前言 在移动应用开发中&#xff0c;轮播图是一种常见的 UI 元素&#xff0c;它可以用来展示一系列的图片或者内容。在 F…

Baumer工业相机堡盟工业相机如何通过BGAPISDK设置多帧采集模式(C++)

Baumer工业相机堡盟工业相机如何通过BGAPISDK设置多帧采集模式&#xff08;C&#xff09; Baumer工业相机Baumer工业相机BGAPISDK和多帧采集模式的技术背景Baumer工业相机通过BGAPISDK设置多帧采集模式功能1.引用合适的类文件2.通过BGAPISDK设置多帧采集模式功能 Baumer工业相机…

Servlet (上篇)

哥几个来学 Servlet 啦 ~~ 目录 &#x1f332;一、什么是 Servlet &#x1f333;二、第一个 Servlet 程序 &#x1f347;1. 创建项目 &#x1f348;2. 引入依赖 &#x1f349;3. 创建目录 &#x1f34a;4. 编写代码 &#x1f34b;5. 打包程序 &#x1f96d;6. 部署程序…

【力扣刷题 | 第十五天】

目录 前言&#xff1a; ​​​​​​​63. 不同路径 II - 力扣&#xff08;LeetCode&#xff09; 343. 整数拆分 - 力扣&#xff08;LeetCode&#xff09; 总结&#xff1a; 前言&#xff1a; 本篇我们主要刷动态规划的题&#xff0c;解题还是严格按照我们在【夜深人静写算法…

macOS Sonoma 14 beta 2 (23A5276g) Boot ISO 原版可引导镜像

macOS Sonoma 14 beta 2 (23A5276g) Boot ISO 原版可引导镜像 本站下载的 macOS 软件包&#xff0c;既可以拖拽到 Applications&#xff08;应用程序&#xff09;下直接安装&#xff0c;也可以制作启动 U 盘安装&#xff0c;或者在虚拟机中启动安装。另外也支持在 Windows 和 …

第4章 流程控制

第4章 流程控制 if else常规用法 单分支&#xff0c;双分支&#xff0c;多分支 带返回值 ​ scala实现java三元运算符 ​ for循环控制 基本语法 for ( 循环变量 <- 数据集 ) { 循环体} package chapter04import scala.language.postfixOpsobject Test02_ForLoop {def ma…

java的嵌套类(nested class)、内部类(inner class)的区别

嵌套类即nested class&#xff0c;内部类即Inner class。 概括来说&#xff0c;嵌套类的概念比内部类概念大。嵌套类包含内部类和非内部类。一个内部类一定是一个嵌套类&#xff0c;但一个嵌套类不一定是一个内部类。 在一个类内部或者接口内部声明的类是嵌套类。 下面这些类是…

php个人简历模板

php个人简历模板一 目前所在&#xff1a; 广州 年 龄&#xff1a; 31 户口所在&#xff1a; 汕头 国 籍&#xff1a; 中国 婚姻状况&#xff1a; 已婚 民 族&#xff1a; 汉族 身 高&#xff1a; 175 cm 体 重&#xff1a; 求职意向 人才类型&#xff1a; 普通求职 应聘职…

React封装axios请求

1、前言 因为最近在进行老系统用新框架改造&#xff0c;正好用到了react&#xff0c;就顺便整理了一下react中对axios进行封装的相关知识点和步骤。 2、如何封装 可以参考一下chat gpt给出的回答。 我大概总结一下&#xff0c;其实就是使用axios.create创建一个axios的实例&…