1.2 文件上傳之解析漏洞
阿新 • • 發佈:2018-04-29
type 擴展名 png 選擇 alt 文件頭 iis6.0 復制粘貼 tex
3. 文件類型解析 asa/cer/cdx
iis6.0 默認的可執行文件除了asp還包含這三種asa、cer、cdx。
淺談文件解析及上傳漏洞
文件解析漏洞
解析漏洞主要是一些特殊文件被iis、Apache、Nginx等服務在某種情況下解釋成腳本文件格式並得以執行而產生的漏洞。iis 5.x/6.0解析漏洞
iis6.0解析漏洞主要有以下三種: ?? 1. 目錄解析漏洞 /xx.asp/xx.jpg ??在網站下創建文件夾名字為.asp、.asa的文件夾,其目錄內的任何擴展名的文件都被iis當做asp文件來解析 並執行。因此只要攻擊者可以通過該漏洞直接上傳圖片馬,並且可以不需要改後綴名! 2. 文件解析 xx.asp;.jpg ??在iis6.0下,分號後面的不被解析,所以xx.asp;.jpg被解析為asp腳本得以執行。Apache解析漏洞
Apache對文件的解析主要是從右到左開始判斷並進行解析,如果判斷為不能解析的類型,則繼續向左進行解析,如xx.php.wer.xxxxx將被解析為PHP類型。IIS 7.0/ Nginx <8.03畸形解析漏洞
在默認Fast-CGI開啟狀況下上傳名字為xx.jpg,內容為: <?PHP fputs(fopen(‘shell.php‘,‘w‘),‘<?php eval($_POST[cmd])?>‘);?> 然後訪問xx.jpg/.php,在這個目錄下就會生成一句話木馬shell.php。Nginx<8.03空字節代碼執行漏洞
nginx如下版本:0.5., 0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37在使用PHP-FastCGI執行php的時候,URL裏面在遇到%00空字節時與FastCGI處理不一致,導致可以在圖片中嵌入PHP代碼然後通過訪問xxx.jpg%00.php來執行其中的代碼。 ??另一種Nginx文件漏洞是從左到右進行解析,既可繞過對後綴名的限制,又可上傳木馬文件,因此可以上傳XXX.jpg.php(可能是運氣,也可能是代碼本身問題,但在其他都不能成功的條件下可以試試)。如下: Content-Disposition: form-data; name="userfiles"; filename="XXX.jpg.php"htaccess文件解析
如果Apache中.htaccess可被執行並可被上傳,那麽可以嘗試在.htaccess中寫入: <FilesMatch "shell.jpg"> SetHandler application/x-httpd-php </FilesMatch> 然後再上傳shell.jpg的木馬,這樣shell.jpg就可被解析為PHP文件了。操作系統解析
??由於windows會將文件的後綴中的空格以及點進行過濾,如果遇到是黑名單校驗的,如限制不允許上傳PHP文件,而系統又是windows系統,那麽我們可以上傳xx.php ,或者xx.php.,通過這種方式就可以繞過黑名單檢驗的文件上傳!文件上傳漏洞
文件頭欺騙漏洞
在一句話木馬前面加入GIF89a,然後將木馬保存為圖片格式,可以欺騙簡單的waf。filepath漏洞
filepath漏洞主要用來突破服務器自動命名規則,主要有以下兩種利用方式:
1、改變文件上傳後路徑(filepath),可以結合目錄解析漏洞,路徑/x.asp/
?? 2、直接改變文件名稱(都是在filepath下進行修改),路徑/x.asp;.%00截斷
%00截斷的兩種利用方式: ?? 1、更改filename,xx.php .jpg,在burpsuit中將空格對應的hex 20改為00 ?? 2、更改filename,xx.php%00.jpg,在burpsuit中將%00進行右鍵轉換-url-urldecoderfiletype漏洞
filetype漏洞主要是針對content-type字段,主要有兩種利用方式: ?? 1、先上傳一個圖片,然後將content-type:images/jpeg改為content-type:text/asp,然後對 filename進行00截斷,將圖片內容替換為一句話木馬。 2、直接使用burp抓包,得到post上傳數據後,將Content-Type: text/plain改成 Content- Type: image/gif。iconv函數限制上傳
??如果某天你上傳文件發現,不敢你上傳什麽文件,上傳後的文件都會自動添加一個.jpg的後綴,那麽我們可以懷疑是否是使用iconv這個函數進行了上傳的限制,此時我們可以使用類似00截斷的方法,但是這裏不是00截斷,二是80-EF截斷,也就是說我們可以修改HEX為80到EF中的某一個來進行截斷,如果真是使用這個函數的話,那麽恭喜你上傳任意文件成功!如上傳一個xx.php ,然後截斷抓包將後面的空格對應的十六進制改為80到EF中的任意一個!雙文件上傳
再一個文件上傳的地方,右鍵審查元素,首先修改action為完整路徑,然後復制粘貼上傳瀏覽文件(<input ......),這樣就會出現兩個上傳框,第一個上傳正常文件,第二個選擇一句話木馬,然後提交。!參考鏈接下面是一個上傳地址:
右鍵—查看源代碼,修改2處代碼: 修改後: 保存為1.html 第一個上傳選擇正常的jpg圖片,第2個選擇我們的馬, 這裏asp過濾了,所以我選擇cdx 成功突破, 右鍵—查看源代碼菜刀連接:
表單提交按鈕
我們有時掃描發現上傳路徑,可是只有一個瀏覽文件,卻沒有提交按鈕,此時我們就需要寫入提交按鈕。 ??寫入表單: ??F12審查元素,在選擇文件表單下面添加提交按鈕代碼。 <input type="submit" value="提交" name="xx">1.2 文件上傳之解析漏洞