位置: IT常识 - 正文

文件上传漏洞及绕过检测的方式(文件上传漏洞及解决方案)

编辑:rootadmin
文件上传漏洞及绕过检测的方式 文章目录一、什么是文件上传漏洞?二、目标会对文件上传做哪些防护?(一)客户端检测(二)服务端检测(三)白名单和黑名单的区别三、绕过后端黑名单检测(一)换一个后缀名绕过黑名单检测(二)用.htaccess文件巧妙绕过黑名单(三)用大小写绕过后缀名检测(四)文件后缀加空格或点绕过后缀名检测(五)构造文件后缀绕过后缀名检测(六)双写绕过后缀名检测(七)Windows文件流绕过后缀名检测四、绕过白名单检测(一)%00截断和00截断(二)绕过Content-Type检测(三)用图片木马绕过白名单检测(四)用gif文件绕过二次渲染(五)利用条件竞争绕过白名单五、小结一、什么是文件上传漏洞?

推荐整理分享文件上传漏洞及绕过检测的方式(文件上传漏洞及解决方案),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:文件上传漏洞的防范措施,文件上传漏洞及解决方案,文件上传漏洞总结,文件上传 漏洞,文件上传漏洞总结,文件上传漏洞及解决办法,文件上传漏洞及怎么修复,文件上传漏洞及解决方案,内容如对您有帮助,希望把文章链接给更多的朋友!

文件上传本身是指一个功能,比如用户可以上传头像、上传资料等。而如果能够上传任意文件,则可能存在上传漏洞(注意是可能,不是一定)。 任意文件上传漏洞的产生需要满足三个条件: 1、文件能上传; 2、文件能被服务器解析(你传的文件要能被当做后端脚本处理); 3、能访问得到上传的文件,如果访问不到,则无法对文件进行控制,也就没有漏洞的说法。(文件路径通常只有在根目录里面才能访问到) 任意文件上传漏洞,首先要有能上传文件的的地方,即要有文件上传点。有一些网站虽然貌似没有上传点,但是其实存在上传代码的。虽然没有明确使用上传功能 ,但使用了上传有关的函数,这种情况需要通过代码审计去看。 文件上传一般是要先登陆目标网站,用管理员账号或者普通账号都可以,最常见的就是上传头像。

二、目标会对文件上传做哪些防护?

一般目标网站都会有一些防护。现在我们来介绍一下网站常见的防护方法,知道了网站是如何防护该漏洞的,有利于我们更好地开展渗透测试。 对文件上传的防护大体上可以分为两类,一类是客户端检测,另一类是服务端检测。

(一)客户端检测

客户端检测是指依靠浏览器,用JS代码去检测。一般是在网页上写一段Js脚本,用Js去检测,在文件未上传时,校验文件的后缀名,检测的方式有白名单和黑名单两种。 那么如何判断是否为客户端检测? 在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包,所以可以通过抓包来判断,如果弹出不准上传,但是没有抓到数据包,那么就是采用了前端验证。 从安全的角度来看,前端验证非常不可靠,传正常文件再改数据包就可以绕过,甚至关闭JS都可以尝试绕过。很多程序员使用JavaScript来拒绝非法文件的上传,这种验证方式对一些普通用户防止上传错误还可以,但是对专业的技术人员来硕,这是非常低级的验证方式。攻击者可以用非常多的方法来突破客户端的验证。 由于前端代码对用户完全开放,因此很容易通过分析前端代码来绕过,所以相当于没有检测。可以用以下三种方式去绕过或者删除前端的检测: 1、用burp抓个返回包然后把前端代码里面文件检测的部分代码删掉(这种方式也叫中间人攻击); 2、点检查,然后找到文件检测部分的JS代码,删掉即可,(但是最保险的办法还是抓包后再去删); 3、根据前端代码允许上传的类型,预先把木马文件后缀改成相应的后缀,比如jpg,通过前端代码的检测以后,会自动往服务器发包,然后通过burp去拦截这个包,把后缀名改回来。

(二)服务端检测

服务端检测是先将文件上传到服务器,然后服务器依靠后端代码去检测上传的文件是否合规。服务器脚本一般会检测文件的MIME类型、扩展名是否合法,甚至可能会去检测文件中是否嵌入恶意代码。 服务端检测几个常见的手段有:检查Content-Type(内容类型)、检查后缀(检查后缀是主流,根据后缀来决定用什么方式来处理这个文件)、检查文件头等。

(三)白名单和黑名单的区别

黑名单:不允许某某类型的文件上传; 白名单:只允许某某类型的文件上传。 显然白名单的方式比黑名单更安全,黑名单很容易就会被绕过。 那么如何判断目标是黑名单还是白名单呢,其实很简单,只要上传一个莫名其妙的后缀,比如1.czczxca,这个后缀的文件肯定不存在,所以如果能上传成功,说明目标是黑名单检测,如果上传失败,则目标是白名单检测。

三、绕过后端黑名单检测

假如后端代码采用黑名单检测,那么开发人员往往会预先设置一些后缀名作为黑名单,不允许某些后缀名的文件上传,那么此时就需要去尝试各种不同的绕过方法了。

(一)换一个后缀名绕过黑名单检测

假设我们要上传的文件为php文件,那么就要去尝试,看看什么样的后缀名会被当成php文件解析。实际上,除了后缀为.php的文件会被当成php文件解析, 还有phtml php3 php4 php5之类的后缀也会,可以都去尝试一下,看看能否上传成功。 对于不同的文件,可以采用不同的后缀去测试,虽然概率很小,但万一成功了呢?

(二)用.htaccess文件巧妙绕过黑名单

假如开发者把后端代码写的很严格,甚至后缀名的大小写也写进了黑名单,那么就可以尝试用.htaccess文件来绕过了。 .htaccess全称是Hypertext Access(超文本入口)。htaccess文件也被称为分布式配置文件,是Apache特有的的针对目录改变配置的方法。通过在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。该文件可以针对不同的目录采用不同的策略。 一般后端的黑名单不会过滤把.htaccess后缀写进去,那么我们可以先上传一个.htaccess文件上去,提前设置好让它把.jpg文件当做php文件来解析,这样后续只需要上传.jpg文件就可以了。 .htaccess文件的内容如下:

AddType application/x-httpd-php .jpg文件上传漏洞及绕过检测的方式(文件上传漏洞及解决方案)

这个指令代表着.jpg文件会当做php文件来解析。 很多windows操作系统是禁止将文件名设置为空的,但是我们可以用cmd命令来实现。首先新建一个名为1.txt的文件,然后输入上述代码。接着在该文件夹下打开cmd窗口,输入:

ren 1.txt .htaccess(三)用大小写绕过后缀名检测

对于那种老版本的WEB容器,是区分大小写的,所以这种方法只对WEB容器非常古老的版本有效。原理很简单,在解析的时候,windows的文件和文件夹都是不区分大小写的,而WEB容器区分大小写,因此上传的时候就有可能绕过该WEB容器,从而实现绕过后缀名检测。

(四)文件后缀加空格或点绕过后缀名检测

在文件名后面留一个空格,然后上传上去后空格会被自动的省略,但是看源码可知道,源码中黑名单中没有过滤空值,那么php和php空格,当然是不一样的。 注意:windows会自动去除文件末尾的空格,所以需要先上传正常的文件,然后抓包在后缀名的地方加空格,再放包,就可以了。这里的空格改成点也是一样的。

(五)构造文件后缀绕过后缀名检测

这种情况下需要对目标检测方式的源代码有一定的了解,要么了解目标网站的开发风格,要么知道源代码是如何对后缀名进行处理的,从而根据处理规则,巧妙绕过后缀名的检测。来看下面一段代码:

$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");$file_name = trim($_FILES['upload_file']['name']); //$_FILES['upload_file']['name'] //获取上传的文件名,比如 1.jpg$file_name =deldot($file_name);//删除文件名末尾的点 1.jpg $file_ext = strrchr($file_name, '.'); //查找指定字符在字符串中的最后一次出现,并返回从该位置到字符串结尾的所有字符,这里实际上就是取后缀名$file_ext = strtolower($file_ext); //转换为小写$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA$file_ext = trim($file_ext); //首尾去空if (!in_array($file_ext, $deny_ext)) {if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {$img_path = $UPLOAD_ADDR . '/' . $file_name;$is_upload = true;}} else { $msg = '此文件不允许上传'; }

根据以上代码,假如输入的文件后缀名为1.php.空格.,则处理过后会剩下1.php. 在windows中,1.php.会自动变为1.php,从而实现了绕过后缀名的检测。

(六)双写绕过后缀名检测

来看一段源代码:

$file_name = str_ireplace($deny_ext,"", $file_name);

这里的意思就是把检测到的危险字符替换为空,php被替换为空,那么假设上传的文件后缀名为pphphp,被替换为空后就会变为php,从而实现了绕过。

(七)Windows文件流绕过后缀名检测

windows下硬盘格式主要有FAT16、FAT32、NTFS等。ADS(NTFS交换数据流)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流。通俗的理解,就是其它文件可以“寄宿”在某个文件身上,而在资源管理器中却只能看到宿主文件,找不到寄宿文件。 我们先新建一个1.txt,里面没有内容,然后在当前文件夹打开cmd,输入:

echo 123>1.txt

这表示将123写入1.txt 继续输入:

echo 123>1.txt:a.txt

这样在1.txt中没有123,并且该txt文件的大小没有变化。 那么如何访问刚才写入的文件呢? 输入:

notepad 1.txt:a.txt

就可以看见刚才输入的123 如果要显示这个文件,可以在cmd命令里输入:

dir /r

这种方式可以用来藏资料。(但是还不是最好的方法) 注意,实际上在windows中, a.txt::$DATA就是默认不修改文件流的情况,相当于a.txt。对于windows系统而言,这两种写法没什么区别。但是对于后端的检测而言,这两种写法完全不一样。所以生成一个正常的a.txt,利用windows特性,可在后缀名中加::$DATA绕过。注意,上传成功以后,要访问时,就直接访问该文件,不要再加::$DATA 注意:只有windows可以这么操作。

四、绕过白名单检测(一)%00截断和00截断

了解%00之前我们要先了解0x00。 00截断:类似我们用对讲机或者电报通话时,说完一句话会用over表示一句话说完了,而电脑也需要一个截断的信号,而这个信号就是00截断。 0x是一个十六进制表示方式,

本文链接地址:https://www.jiuchutong.com/zhishi/287277.html 转载请保留说明!

上一篇:google浏览器应用程序无法启动,因为应用程序的并行配置不正确的完美解决方案(chrome谷歌浏览器)

下一篇:在湿地中跳跃的欧洲野兔,荷兰 (© Jim Brandenburg/Minden Pictures)(湿地上有什么植物)

  • 手机屏幕怕压吗(手机屏幕怕压吗?)

    手机屏幕怕压吗(手机屏幕怕压吗?)

  • 一般抖音封号什么时候可以解除(抖音封号什么时候能自动解开)

    一般抖音封号什么时候可以解除(抖音封号什么时候能自动解开)

  • KPM是什么单位(kppm什么意思)

    KPM是什么单位(kppm什么意思)

  • wifi不在范围怎么解决(wifi不在范围内怎么办)

    wifi不在范围怎么解决(wifi不在范围内怎么办)

  • 图片内存大小怎么改(图片内存大小怎么变小)

    图片内存大小怎么改(图片内存大小怎么变小)

  • wps怎么打拼音带声调(wps中如何打拼音)

    wps怎么打拼音带声调(wps中如何打拼音)

  • 微信群付款怎么操作?(微信群付款怎么备注姓名)

    微信群付款怎么操作?(微信群付款怎么备注姓名)

  • 淘宝买家五颗心代表什么(淘宝买家五心是多少分)

    淘宝买家五颗心代表什么(淘宝买家五心是多少分)

  • 顺风车可以取消订单吗(顺风车可以取消订单扣钱吗)

    顺风车可以取消订单吗(顺风车可以取消订单扣钱吗)

  • 勿扰模式打几次能打通(勿扰模式打几次电话)

    勿扰模式打几次能打通(勿扰模式打几次电话)

  • 荣耀8x支持内存扩展吗(荣耀8x内存卡)

    荣耀8x支持内存扩展吗(荣耀8x内存卡)

  • 陌陌互相关注多久可以视频(陌陌互相关注多久可以语音视频)

    陌陌互相关注多久可以视频(陌陌互相关注多久可以语音视频)

  • 无边距打印和有边距打印的区别(无边距打印和有边框区别)

    无边距打印和有边距打印的区别(无边距打印和有边框区别)

  • 苹果icloud储存空间有什么用(苹果icloud储存空间怎么关闭)

    苹果icloud储存空间有什么用(苹果icloud储存空间怎么关闭)

  • word怎样直接打印双面(word怎样直接打开excel文件)

    word怎样直接打印双面(word怎样直接打开excel文件)

  • 滴滴什么时候上线的(滴滴什么时候上架的)

    滴滴什么时候上线的(滴滴什么时候上架的)

  • 小鱼便签怎么彻底删除(小鱼便签如何删除)

    小鱼便签怎么彻底删除(小鱼便签如何删除)

  • 淘宝开团提醒怎么取消掉(淘宝开团提醒怎么取消掉日历)

    淘宝开团提醒怎么取消掉(淘宝开团提醒怎么取消掉日历)

  • 手机迅雷的设置在哪(手机迅雷设置禁止上传云盘)

    手机迅雷的设置在哪(手机迅雷设置禁止上传云盘)

  • 苹果手机录屏没有声音(苹果手机录屏没有声音可以补救吗)

    苹果手机录屏没有声音(苹果手机录屏没有声音可以补救吗)

  • 华为服务框架可以卸载吗(华为服务框架可以删除吗)

    华为服务框架可以卸载吗(华为服务框架可以删除吗)

  • 苹果怎么给软件上锁(苹果怎么给软件开照片权限)

    苹果怎么给软件上锁(苹果怎么给软件开照片权限)

  • 什么是智慧识屏功能(智慧识屏有什么坏处吗)

    什么是智慧识屏功能(智慧识屏有什么坏处吗)

  • nex3有没有无线充电nex3有没有无线充电(vivo手机nex3支持无线充电吗)

    nex3有没有无线充电nex3有没有无线充电(vivo手机nex3支持无线充电吗)

  • 充电宝充一会就发烫(充电宝充一会就不充了是怎么回事)

    充电宝充一会就发烫(充电宝充一会就不充了是怎么回事)

  • gcASCleaner.exe是什么进程 有什么作用 gcASCleaner进程查询(gws.exe是啥)

    gcASCleaner.exe是什么进程 有什么作用 gcASCleaner进程查询(gws.exe是啥)

  • 研发费用加计扣除75%还是100%
  • 不得公开发行股票的情形
  • 小规模纳税人专票免税吗?
  • 税控盘的进项税在哪里申报
  • 印花税计入税金及附加吗
  • 一般纳税人销售使用过的固定资产
  • 所得税申报表收入
  • 一般纳税人房租费的税率是多少
  • 国有独资企业交企业所得税规定
  • 成本组成计税价格公式
  • 库存商品暂估入库
  • 折扣销售指
  • 其他应付款款
  • 捐款怎样抵扣个税
  • 固定资产认证进项在勾选平台勾吗
  • pe市盈率法
  • 小规模附征税减半吗亲
  • 出售二手车税收优惠
  • 增值税和消费税的区别和联系
  • 建筑工程项目部由哪几个部门组成
  • 红字发票信息表是销方还是购方开
  • 积分小技巧
  • 保险公司联合举办活动
  • 员工把发票丢了怎么处理
  • 企业延期缴纳税款
  • 转让技术所有权是什么收入
  • 表格怎样打印在一张a4纸上
  • dotnetfx2.0
  • win7无法打开打印机
  • csrsv.exe是什么
  • 无法访问或访问被拒绝是怎么解决
  • 通用数据库软件
  • php link指令
  • php标识符
  • 弃置费用预计负债递延所得税怎么处理
  • php遍历结果集
  • python基础100例
  • anaconda卸载干净
  • input输入框非空验证
  • php代码加密方式
  • 增值税专用发票的税率是多少啊
  • 购入固定资产计入应付账款还是其他应付款
  • 三栏式明细账对方科目有多个怎么办
  • python smote算法
  • 通行费电子发票的发票代码为多少位
  • 社保信息修改到哪里办理
  • 没有货怎么做电商
  • 个税手续费发给财务人员 文件
  • 合并资产负债表少数股东权益怎么计算
  • 运输费和货款一样吗
  • 固定资产清理的累计折旧怎么算
  • 开发阶段的支出计入什么科目
  • 公司法人借款给企业属于关联交易吗?
  • 公司车辆过户给个人有年限么
  • 金蝶旗舰版如何备份账套
  • 递延收益确认的递延所得税资产有期限吗
  • 企业会计做账教程
  • 施工企业应收账款确认依据
  • mysql sql语句性能调优
  • 雨林木风 u盘
  • Windows Server 2008病毒偷改账号的安全隐患
  • centos opencl
  • intel x86 arm
  • linux中压缩文件
  • win7 ready
  • win7系统不能用了?
  • win10浏览器下载不了软件怎么回事
  • linux系统添加新用户
  • 生成系统健康报告怎么弄
  • 基于bootstrap的毕业设计
  • eventlistener js
  • nodejs bff
  • shell脚本技巧
  • unity 2d 3d混合
  • javascript的简介
  • javascript的弹窗
  • python多线程怎么用
  • 浙江职称评审网址官网
  • 电子税务局帐号不知道怎么找
  • 粮食部门是不是国家机关
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设