后端校验的黑名单机制
黑名单比较危险
1、大小写绕过
2、点 空格绕过
3、NTFS文件流绕过 ::$DATA
4、.htaccess 配置文件绕过
5、双写绕过 phphp
6、别名绕过 phtml php4 php5
开发用白名单(jpg)
文件上传 白名单、黑名单
上传一个 1.abcooo
1、00截断[16进制00]
PHP的某些版本里面也代表着结束
零零截断原理 1.php终止符号.jpg => 白名单检测jpg
PHP某些版本存在00截断 PHP5.3
move_uploaded_file 移动文件
文件上传流程:
你点击上传--> 临时目录(随机)-->移动出来重命名
$ FILES['upload file']['name'] 你上传的文件名
strrpos($ FILES['upload file']['name'], 文件后缀名截取
if(in array(file ext,ext arr) 如果文件后缀名是组里的一个
img_path = GET['save_path']."/".rand(10,99).date("YmdHis").".".$file_ext
获取get传参 save_path 随机值10-99 当前的一个时间
此时如果传的是文件名是kk 会返回 kk/52202509271024.jpg 52是随机数 后续是时间
此时用burp抓包 在后面加入%00
经过上面的代码分析 会对123.php后端加上后缀
去掉后缀直接访问123.php发现 以当作代码执行(改成一句话木马...)
%00 => 16进制的00 (URL编码 16进制)
POST他是不会进行URL编码
00截断需要传16进制的00
GET传参因为会URL编码,所以%00 = 16进制的00
URL编码原理:把字符变成16进制,然后加上%
=> 核心是为了更好的传参
=> a.php?a=123%23asdad 锚点
' 27 %27
POST没有URL编码,所以不在%00,但是我们00截断要想办法得传入16进制00
在hex里改成零零截断 4444.phpa [a为61]
把61改为00
此时访问4444.php即可攻击成功
在后缀上面做文章
13、14、15 [他去检测图片]
图片马: 图片 + 木马 {黏到一起}
正常图片,传一个不正常图片他会容易产生问题
添加方法:直接复制代码放到末尾追加
在cmd里进行
copy 1.jpg/b + 1.txt 444.jpg
将文件后缀改成phtml 然后h将生成的文件上传 会发现 图片正常显示 也可进行传参
copy也可将压缩包和图片整合 将后缀改成zip 即可查看压缩包(ctf里的隐写术)
有的检测,检测头和尾巴
图 + 马 + 图
PHP可以混写(HTML+PHP )当看到PHP标识的时候才会执行phphp
<?php ?>
文件上传漏洞:能上传、能解析(解析漏洞)
图片马的方法可以藏文件,而且比NTFS文件流厉害的多
二次渲染[获得图片后,给你重新加载,然后重新保存] 上传图片马 一句话木马会消失
a.jpg 打开a.jpg 然后重新渲染图片,然后保存
gif图片去破,二次渲染,只会渲染画面部分
gif图片 (头部4行不会渲染)
直接在gif 的hex模式下 第3-4行填写一句话木马(图片崩溃就换一张 )
条件竞争
过滤有两种:
1、先检测,直接不允许上传
2、先上传,再去检测,删除
上传 -> 检测 -> 删除
检测需要时间,如果你上传的够快的,可以卡时间差,在删除之前访问到
2、马生马 => 访问一个木马,生成一个木马
检测的是上传的问题,但是如果你上传的文件,他写了一个木马,他是不会被检测的
file_put_contents(文件地址,文件内容)
file_put_contents('nf.php','<?php eval($_REQUEST[8])?>')
可以用burp 跑10000次 (no playload )会有删除不及时生成的 没有的话也可看作ddos攻击
1、00截断 (GET POST)
2、图片马(copy 1.jpg/b + 2.txt 3.jpg)
3、二次渲染(gif)
4、条件竞争
CC攻击 /DDOS 通过快速的访问网站来拖累服务器的性能
sql注入疯狂打盲注 sleep(10000)
1、文件上传是个功能,任意文件上传 (漏洞)
2、我教你们的文件上传,都是以拿shell为目的
提交漏洞(项目上 有危害)
文件上传可以上传HTML文件(存储型XSS)
密码明文传输(SRC 无影响忽略[移动 高危漏洞])
XSS漏洞 => 不能调用JS
3、前端校验、后端校验
4、黑名单 or 白名单
5、绕过 [检测的时候 和 真实的使用产生不同的时候]
and 1=1 / && 1=1
6、黑名单绕过:
别名(phtml)、点、空格、NTFS文件流(::$DATA)、.htaccess(化学反应)、构造绕过(白盒)、双写绕过(强行替换删除)、大小写绕过
7、白名单绕过:
00截断(某些动态语言版本的函数存在00截断)、条件竞争(先上车 先买票)
解析漏洞:(默认开启)
上传漏洞(想办法传上.php文件)
解析漏洞(让其他后缀当作php解析)
IIS6.0漏洞 => iis(web容器 windows) 6.0是他的版本
.nf 当作asp来执行
asp.dll => 任何的文件交给他,他就会当作asp执行
asa cer cdx 会当作asp来执行 他是IIS的默认设置
(黑名单)
上传图片马 抓包改后缀(fffadasd.jpg)
把后缀改成asp (连菜刀需要改脚本类型为asp)
IIS ASP/ASPX
PHP APAHCE / NGINX
一个网站可不可能混合(asp php )
x.com/a/ (asp + IIS)
x.com/b/ (php + IIS)
x.com/c/ (php + apche)
http://59.63.166.75:8002/a/upload_file.php
什么文件被解析 什么文件不被解析是由web容器决定(可通过修改配置文件解析不同后缀名文件)
IIS6.0解析漏洞2、3:
test.asp;.jpg 他将当做asp进行解析
test.asp/123.jpg 他将当做asp进行解析(文件夹后缀为asp的任意文件都可被执行)
iis6.0三大漏洞
1.配置错误
2.分号截断
3.文件夹名影响
CGI解析漏洞 (PHP特有)
iis7.0 iis7.5 nginx 可能存在
直接在原本的访问地址后面加 /.php
PHP在连接IIS 和 NGINX的时候他是这样连接
PHP-CGI会开启本地的9000端口(拿来通信)
www.xx.com/phpinfo.jpg/asdsa.php
web容器: phpinfo.jpg
PHP-CGI .php