网络安全之对文件上传的思考(文件上传功能中出现安全问题)
yuyutoo 2025-03-26 18:55 15 浏览 0 评论
在web渗透中,最简单直接的方式就是文件上传。但是不做任何检测,直接getshell的现在已经很少了.我在平时的授权测试中,遇到的大多数都是对上传的文件内容,格式等检测的比较多的
按前端到后端绕过顺序分为:前端js检验、代码防护检测(比如waf)、服务端检测
一、文件上传安全配置
二、绕过服务端的代码检测
服务端的代码常检测request包中的三个点:
1)MIME类型
2)文件后缀
3)文件内容
理论上请求包的任何参数都可以作为检测点,但是对于文件上传功能来说,用户提交的请求包中这三个
地方,是辨别是否为恶意文件的重要的三个点,服务端检测基本都是检测这三个地方
1)MIME类型检测
代码中只校验了http头中的MIME类型。
request包中content-type字段改为image/jpeg)
这个逻辑适用于很多情况,这也是安全的基础:不信任任何客户端提交的数据。
2)文件后缀检测
文件名后缀检测分两种情况:白名单和黑名单。
绕过白名单或黑名单有诸多姿势:“服务器解析漏洞” 、 “文件命名规则”、“%00截断”、“长度
截断”、“条件竞争”、“双文件上传”、“可解析后缀”、“.htacees和user.ini”、“误用函数”
等等。
1、服务器解析漏洞
1.1、apache解析漏洞
对于Apache服务器来说,哪些后缀可以被解析是由什么决定呢?
apache中有一个关于php的默认配置文件,其中用正则指定了哪些后缀使用哪些解析器。
apache解析一个特点,解析文件时是从右往左判断,遇到不认识的后缀时,就跳过,于是就有了类似于
“.php.123”这种绕过方式。大多情况下,我们遇到apache解析漏洞的是配置错误导致的
1.2、nginx和iis7.5/7.0解析漏洞
此解析漏洞其实是php的配置错误导致。
php为了支持path info模式创造了fix_pathinfo这个选项,当它被打开时,fpm就会判断请求的文件是
否存在,如果不存在就去掉最后一个\开始的内容,再次查看文件是否存在,不存在再去掉从\开的内容
,循环往复。所以当请求
http://192.168.1.100/admin/upload/shell.jpg/.php这么个文件时,fpm会
把/.php去掉把shell.jpg当作php执行。
后来出现了
seccurity.limit_extensions选项,这个选项默认配置.php文件才能被fpm执行。
利用条件:
1、fast-cgi模式运行
2、Fix_pathinfo为1 (默认为1)
3、
seccurity.limit_extensions选项允许(默认只解析.php)
1.3、iis5.x- iis6.x解析漏洞
使用iis5--iis6的基本都是Windows server 2003这种老服务器了。
这种老服务器默认一般只解析asp。
这个解析漏洞很简单,就两条:
1、以*.asp命名的文件夹下所有文件都以asp文件执行
2、.asp;.jpg这种形式的命名方式会自动会忽略掉;后的内容。
2、文件命名规则
2.1、windows命名规则
1、文件名长度最大为255个英文字符。(或者是127个中文字符+1个英文字符)
2、全路径最大长度最大为260个字符。
3、访问文件不区分大小写(部分应用程序使用时除外),显示文件时有大小写。
4、开头不能使用空格,其他地方可以。
5、文件名不能包含:< > | / \ * ? :
2.2、linux命名规则
1、文件名最大长度为255
2、全路径长度最大为4096(16级最大文件长度)
3、区分大小写
4、除“/”之外所有字符都可以使用
5、linux不以文件扩展名区分文件类型,对linux来说一切皆文件。
linux下通过命名规则绕过的话,可以尝试 \ 或者 && ; 等命令分割符号绕过
3、00截断
00截断常见的有%00、0x00等,他们都是表示ascii字符表中的保留字符chr(0)。
不管表示编码方式有啥区别,只要能让服务器正确解析为chr(0)就行。
00截断的原理:chr(0)表示结束。
限制条件:
小于php5.3.4 小于jdk1.7.0_40
未过滤chr(0),例如magicquoesgpc为off
4、长度截断
当文件名的长度超过系统允许的最大长度时,会将超出部分进行截断。
(部分系统不会进行截断,无法创建)
测试中可以使用二分法,不断尝试最大长度,然后进行截断。
5、条件竞争上传
当代码中的逻辑是先保存上传的文件,然后再判断上传文件是否合法时,便存在时间竞争条件漏洞。
首先写个生成马儿的马儿。
上传马儿,同时使用burpsuit不断请求马儿,或者写个脚本跑,
6、双文件上传
当代码中只对一处文件名做校验时,便存在双上传的漏洞。
使用burpsuit抓包改包或者F12修改前端代码都可以。
7、可解析后缀
不常见的可解析后缀:
1、ph(p[1-7]?|t(ml)?) ,shtml,pwml
2、asa ,asax, cer, cdx ,aspx,ascx,ashx,asmx,asp,
3、jspx,jspf,jspa,jsw,jsv,jtml
8、.htacces和user.ini
利用方式差不多,都是先上传配置文件,然后上传图片马之类的。
唯一不同是,user.ini是把图片内容附加在php脚本前面或者后面,类似于require()函数;
.htaccess是把图片内容用php来解析。
9、误用函数
empty()、isset()、strpos()、rename()、iconv()、copy()
3)文件内容检测
1、图片马
一般情况下检测文件相关信息、文件渲染都可以通过制作的图片马进行绕过。
文件渲染顾名思义,就是对上传的文件进行加载渲染,例如加载图片检测是否能正常使用。
绕过方式:burpsuit改包 或者 copy 1.jpg /b + 2.php /a 3.jpg 生成图片马
2、二次渲染
二次渲染就不好过了,因为它会把图片中多余的语句去除,包括你的代码。
关于怎么制作过二次渲染的图片马,建议直接用别人做好的图片马
相关推荐
- ETCD 故障恢复(etc常见故障)
-
概述Kubernetes集群外部ETCD节点故障,导致kube-apiserver无法启动。...
- 在Ubuntu 16.04 LTS服务器上安装FreeRADIUS和Daloradius的方法
-
FreeRADIUS为AAARadiusLinux下开源解决方案,DaloRadius为图形化web管理工具。...
- 如何排查服务器被黑客入侵的迹象(黑客 抓取服务器数据)
-
---排查服务器是否被黑客入侵需要系统性地检查多个关键点,以下是一份详细的排查指南,包含具体命令、工具和应对策略:---###**一、快速初步检查**####1.**检查异常登录记录**...
- 使用 Fail Ban 日志分析 SSH 攻击行为
-
通过分析`fail2ban`日志可以识别和应对SSH暴力破解等攻击行为。以下是详细的操作流程和关键分析方法:---###**一、Fail2ban日志位置**Fail2ban的日志路径因系统配置...
- 《5 个实用技巧,提升你的服务器安全性,避免被黑客盯上!》
-
服务器的安全性至关重要,特别是在如今网络攻击频繁的情况下。如果你的服务器存在漏洞,黑客可能会利用这些漏洞进行攻击,甚至窃取数据。今天我们就来聊聊5个实用技巧,帮助你提升服务器的安全性,让你的系统更...
- 聊聊Spring AI Alibaba的YuQueDocumentReader
-
序本文主要研究一下SpringAIAlibaba的YuQueDocumentReaderYuQueDocumentReader...
- Mac Docker环境,利用Canal实现MySQL同步ES
-
Canal的使用使用docker环境安装mysql、canal、elasticsearch,基于binlog利用canal实现mysql的数据同步到elasticsearch中,并在springboo...
- RustDesk:开源远程控制工具的技术架构与全场景部署实战
-
一、开源远程控制领域的革新者1.1行业痛点与解决方案...
- 长安汽车一代CS75Plus2020款安装高德地图7.5
-
不用破解原车机,一代CS75Plus2020款,安装车机版高德地图7.5,有红绿灯读秒!废话不多讲,安装步骤如下:一、在拨号状态输入:在电话拨号界面,输入:*#518200#*(进入安卓设置界面,...
- Zookeeper使用详解之常见操作篇(zookeeper ui)
-
一、Zookeeper的数据结构对于ZooKeeper而言,其存储结构类似于文件系统,也是一个树形目录服务,并通过Key-Value键值对的形式进行数据存储。其中,Key由斜线间隔的路径元素构成。对...
- zk源码—4.会话的实现原理一(会话层的基本功能是什么)
-
大纲1.创建会话...
- Zookeeper 可观测性最佳实践(zookeeper能够确保)
-
Zookeeper介绍ZooKeeper是一个开源的分布式协调服务,用于管理和协调分布式系统中的节点。它提供了一种高效、可靠的方式来解决分布式系统中的常见问题,如数据同步、配置管理、命名服务和集群...
- 服务器密码错误被锁定怎么解决(服务器密码错几次锁)
-
#服务器密码错误被锁定解决方案当服务器因多次密码错误导致账户被锁定时,可以按照以下步骤进行排查和解决:##一、确认锁定状态###1.检查账户锁定状态(Linux)```bash#查看账户锁定...
- zk基础—4.zk实现分布式功能(分布式zk的使用)
-
大纲1.zk实现数据发布订阅...
- 《死神魂魄觉醒》卡死问题终极解决方案:从原理到实战的深度解析
-
在《死神魂魄觉醒》的斩魄刀交锋中,游戏卡死犹如突现的虚圈屏障,阻断玩家与尸魂界的连接。本文将从技术架构、解决方案、预防策略三个维度,深度剖析卡死问题的成因与应对之策,助力玩家突破次元壁障,畅享灵魂共鸣...
你 发表评论:
欢迎- 一周热门
-
-
前端面试:iframe 的优缺点? iframe有那些缺点
-
带斜线的表头制作好了,如何填充内容?这几种方法你更喜欢哪个?
-
漫学笔记之PHP.ini常用的配置信息
-
推荐7个模板代码和其他游戏源码下载的网址
-
其实模版网站在开发工作中很重要,推荐几个参考站给大家
-
[干货] JAVA - JVM - 2 内存两分 [干货]+java+-+jvm+-+2+内存两分吗
-
正在学习使用python搭建自动化测试框架?这个系统包你可能会用到
-
织梦(Dedecms)建站教程 织梦建站详细步骤
-
【开源分享】2024PHP在线客服系统源码(搭建教程+终身使用)
-
2024PHP在线客服系统源码+完全开源 带详细搭建教程
-
- 最近发表
-
- ETCD 故障恢复(etc常见故障)
- 在Ubuntu 16.04 LTS服务器上安装FreeRADIUS和Daloradius的方法
- 如何排查服务器被黑客入侵的迹象(黑客 抓取服务器数据)
- 使用 Fail Ban 日志分析 SSH 攻击行为
- 《5 个实用技巧,提升你的服务器安全性,避免被黑客盯上!》
- 聊聊Spring AI Alibaba的YuQueDocumentReader
- Mac Docker环境,利用Canal实现MySQL同步ES
- RustDesk:开源远程控制工具的技术架构与全场景部署实战
- 长安汽车一代CS75Plus2020款安装高德地图7.5
- Zookeeper使用详解之常见操作篇(zookeeper ui)
- 标签列表
-
- mybatis plus (70)
- scheduledtask (71)
- css滚动条 (60)
- java学生成绩管理系统 (59)
- 结构体数组 (69)
- databasemetadata (64)
- javastatic (68)
- jsp实用教程 (53)
- fontawesome (57)
- widget开发 (57)
- vb net教程 (62)
- hibernate 教程 (63)
- case语句 (57)
- svn连接 (74)
- directoryindex (69)
- session timeout (58)
- textbox换行 (67)
- extension_dir (64)
- linearlayout (58)
- vba高级教程 (75)
- iframe用法 (58)
- sqlparameter (59)
- trim函数 (59)
- flex布局 (63)
- contextloaderlistener (56)