环境的下载与配置
在这次实践中会用到,phpstudy,burp suite以及靶场upload-labs。
对于burp suite的配置可以参照下面这篇文章。
对于phpstudy,我们首先进入官网(Windows版phpstudy下载 - 小皮面板(phpstudy) (xp.cn))进行下载,最好是下载2018的版本,2018最好进行实验。
下载完成之后先不打开,之后下载靶场文件,靶场文件(和之后会用到的一句话木马)在下给出。
链接:https://pan.baidu.com/s/1pRyAdI73ntfczbmvueUcmg
提取码:tttt
下载后解压缩到phpstudy目录下的WWW子文件夹中,这里要注意把压缩包的名字改成upload-labs,不然靶场的页面会显示得不对。
之后运行phpstudy.exe文件
进入如下界面之后,点击切换版本,选择5.2.17,之后点击启动
之后我们打开burp suite,进入曾经配置的浏览器或者其自带的浏览器(如果是在虚拟机上运行的burp suite的话记得把localhost改为虚拟机对应的IP地址就可以进行访问了)。在我们的地址栏输入http://localhost/upload-labs就可以成功进入靶场了,之后的文件漏洞实战就可以进行了。
文件漏洞访问一些概念
定义:文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,从而导致的用户可以越 过其本身权限向服务器上传可执行的动态脚本文件。如常见的头像上传,图片上传,oa 办公文件上传,媒体上传,允许 用户上传文件,如果过滤不严格,恶意用户利用文件上传漏洞,上传 有害的可以执行脚本文件到服务器中, 可以获取服务器的权限,或进⼀步危害服务器;
危害:非法用户可以上传的恶意文件控制整个网站,甚至是控制服务器,这个恶意脚本文件,又被 称为 webshell, 上传 webshell 后门很方便地查看服务器信息,查看目录,执行系统命令等;
(eg:我是一个黑客,我要进入一个公司,但是这个公司正门有保安,那么我就想办法怎么躲过保安的拦截,这时候我发现保安不会拦下外卖小哥,那么我就知道假扮外卖小哥就可以进入公司了,以后每次我想进入公司干点事情我就扮成外卖小哥进去)所谓文件漏洞访问便是这个道理。
文件上传漏洞的修复方案 :
在网站中需要存在上传模块,需要做好权限认证,不能让匿名用户可访问;
文件上传目录设置为禁止脚本文件执行。这样设置即使被上传后门的动态脚本也不能解析, 导致攻击 者放弃这个攻击途径;
设置上传白名单,白名单只允许图片上传如,jpg png gif 其他文件均不允许上传;
上传的后缀名,⼀定要设置成图片格式如 jpg png gif ;
常见的网站文件后缀名: 可执行脚本文件后缀名,可被网站目录解析。以下是常见的后缀名: asp asa cdx cer php aspx ashx jsp php3 php.a shtml phtml 有些网站会对 asp 或者 php 进行过滤转成空可用这些后缀名: aspasp asaspp phpphp(这次实战我们将php所编写的一句话病毒编写成.jpg后缀进行植入)
文件漏洞访问实战
首先,把杀毒软件给关闭,什么360,金山等,把所有的环境配置(打开phpstudy,打开burp suite并且进入到proxy板块中的intercept功能中)好之后,我们进入靶场。
PASS01(绕过前端 js 检测上传)
点击选择文件(随便选择一个后缀未.jpg的一句话木马),并且确保burp suite拦截状态为打开的
点击上传之后,切换好burp suite,
将后缀.jsp改为.php,
点击两次发送并且关闭拦截请求。
右击图片,在新标签页中打开图像,就可看到如下显示,那么说明访问成功了。(应为这个一句话木马带有回显功能所以会有这个界面)
PASS02(绕过 contnet-type 检测上传)
点击选择文件(随便选择一个后缀未.jpg的一句话木马),并且确保burp suite拦截状态为打开的
将content-type改为image/jpg,filename的后缀改成php
点击两次发送并且关闭拦截请求
右击图片,在新标签页中打开图像,就可看到如下显示,那么说明访问成功了。
PASS03(绕过黑名单上传)
首先,打开phpstudy的主面板
点开其他选项菜单,再点击打开配置文件,点击进入httpd-conf,
找到addtype application/x-httpd-php.php.phtml(其作用就是将php,phtml文件添加为白名单),取消其注释状态,或者添加这句代码。
点击选择文件(随便选择一个后缀未.jpg的一句话木马),并且确保burp suite拦截状态为打开的
这里的后缀改为php3,而不是php,之前我们在配置添加了一条解析代码,他的作用是允许phpstudy对php后缀的文件的访问,但是这个网页程序并不允许php进行访问,所以我们还是将后缀改为php3,以达到访问的目的。
查看是否成功的步骤都相同,我们直接查看最后结果,之后都一样。
PASS04(htaccess 重写解析绕过上传)
首先直接上传这个htaccess后缀的文件,这个文件的作用是将jsp文件解析成php文件进行处理
之后再次直接上传jsp文件
查看最后的结果
PASS05(大小写绕过上传)
点击选择文件(随便选择一个后缀未.jpg的一句话木马),并且确保burp suite拦截状态为打开的,
将后缀改为.PHp
查看结果
PASS06(空格绕过上传攻击)
点击选择文件(随便选择一个后缀未.jpg的一句话木马),并且确保burp suite拦截状态为打开的,
这次将后缀改为php+空格
查看结果
PASS07(利⽤ windows 系统特征绕过上传)
原理:在 windows 中文件后缀名. 系统会自动忽略.所以 shell.php. 像 shell.php 的效果⼀样。所以可以在文件名后面加上.绕过;
点击选择文件(随便选择一个后缀未.jpg的一句话木马),并且确保burp suite拦截状态为打开的,
这次将后缀改为php.
查看结果
PASS08(NTFS 交换数据流::$DATA 绕过上传)
点击选择文件(随便选择一个后缀未.jpg的一句话木马),并且确保burp suite拦截状态为打开的,
这次将后缀改为php::$DATA
查看结果,在查看的时候可能会显示forbidden,这就说明你的url的后缀多了::$DATA,多的部分无法被解析,删除就可以了。
PASS09(利⽤ windows 环境的叠加特征绕过上传)
点击选择文件(随便选择一个后缀未.jpg的一句话木马),并且确保burp suite拦截状态为打开的,
这次将后缀改为php. .
查看结果
PASS010(双写后缀名绕过上传)
点击选择文件(随便选择一个后缀未.jpg的一句话木马),并且确保burp suite拦截状态为打开的,
这次将后缀改为pphphp
查看结果
