文件上传绕过的小点总结(4)

9.末尾点删除处理缺陷

给出源码:

php 复制代码
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空

试分析,源码想要实现文件名末尾删除"."直到最后不是".",但如果"."之前还有空格,此时还是无法限制非法文件上传。于是我们可以试试". ."即点-空格-点的形式,绕过文件限制。

简单思路:开启BP拦截,上传info.php文件,拦截内容后将"info.php"改为"info.php. .",在关闭拦截,此时就可以成功上传文件。(复制图像地址访问时,要删掉. .)

10.重写绕过

源码碰到这样的:

php 复制代码
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);

这里要说明一个函数str_ireplace(deny_ext,"",file_name);

第一个参数是所有文件名的黑名单,第三个参数是上传的文件名,该函数意为将如果上传的文件名在黑名单中,则全部替换为空,那也就是我们所有的php等后缀都无法生效,但是我们可以利用这一特点,代码执行从左至右,我们可以嵌套php在php里,例如info.pphphp,代码从左至右运行时,会将中间的php置换为空,就剩下info.php了,刚好文件生效。

文件上传成功。

11.截断欺骗(使用%00)

问题:使用%00还是无法上传

解决:PHP5.3后面的版本已经修复了%00的漏洞,只需要修改两个地方即可。

①将php版本改小;(phpstudy的切换版本里面)②php的magic_quotes_gpc设置关闭状态。(phpstudy的其他选项菜单-PHP扩展及设置-参数开关设置,将magic_quotes_gpc关闭即可)

%00是操作系统的底层漏洞,在文件上传时可以用来截断绕过过滤。

简单理解一下:

php 复制代码
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

如果源码中存在这句话,说明进行了严格的参数提取,得到的结果就是:(eg)

save_path=../upload/ filename="123.jpg"

这样对于攻击者没有下手的地方,但是如果我们使用%00截断,就可以绕过。

例如:将路径改为../upload/1.php%00 filename依旧是"123.jpg"

那么代码运行时因为存在漏洞,就可以将%00后面的东西全部截断,看似上传图片文件,实则在服务端上传的时1.php文件。

简单思路:开启BP拦截,上传loudong.jpg文件。

php 复制代码
#loudong.jpg的代码如下:
<?php
phpinfo();
?>

上传后,BP拦截数据,将../upload/后面加1.php%00即可。filename不用改。

上传成功复制图像地址,直接访问1.php,如图:

相关推荐
東雪蓮☆4 小时前
LNMP 环境部署 WordPress
linux·运维·mysql·nginx·php
介一安全4 小时前
【Web安全】转义字符注入?转义也会失效的SQL注入
web安全·网络安全·安全性测试·sql注入
余防7 小时前
代码审计
安全·web安全·网络安全
Gary Studio8 小时前
ESP32 IDF GET_HTTPS
网络协议·https·php
迎風吹頭髮9 小时前
UNIX下C语言编程与实践41-UNIX 单线程 I/O 超时处理:终端方式、信号跳转方式与多路复用方式
c语言·php·unix
心静财富之门10 小时前
【无标题】标签单击事件
开发语言·php
盛满暮色 风止何安10 小时前
网络安全设备 防火墙
服务器·网络·网络协议·计算机网络·安全·web安全·网络安全
weixin_4462608519 小时前
快速构建网站的利器——Symfony PHP框架
开发语言·php·symfony
合作小小程序员小小店20 小时前
Web渗透之一句话木马
web安全·网络安全·安全威胁分析·安全架构·安全性测试
朝新_21 小时前
【EE初阶 - 网络原理】网络通信
java·开发语言·网络·php·javaee