笔记|文件上传漏洞(文件绕过)

这是一篇网络安全小白写的笔记。

目录

0 文件上传漏洞概述

1 利用文件名及文件类型名类漏洞
1.1 javascript检测扩展名绕过漏洞
1.2 0x00特殊字符截断漏洞
1.3 IIS和Windows系统下的“;”截断字符露洞
1.4FCKEditor为典型的黑名单式文件检测漏洞

2 利用文件内容类漏洞
2.1 文件头检测漏洞

3 利用系统漏洞
3.1 Apache从后往前解析特性
3.2 IIS 6文件夹拓展名漏洞

0 文件上传漏洞

上传漏洞是利用文件上传漏洞把脚本文件上传到服务器。

1 利用文件名类漏洞

1.1 javascript检测扩展名绕过漏洞

检测原理 通过js代码检测文件文件类型

function check(){
        var filename=document.getElementById("file");
        var str=filename.value.split(".");
        var ext=str[str.length-1];
        if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){
            return true;
        }else{
            alert("这不是图片!")
            return false;
        }
        return false;

在表单中使用onsumbit=check();调用js函数来检查上传文件的扩展名。
漏洞原理 利用浏览器修改脚本,破坏检测即可。

1.2 0x00特殊字符截断漏洞

漏洞原理 在C语言、PHP等语言中,0x00被认为是终止符,可构造文件名为xxx.php[\0].jpg,[\0]为16进制的0x00字符,由于[\0]0x00)是截断字符,文件名会变成xxx.php

1.3 IIS和Windows系统下的“;”截断字符漏洞

漏洞原理 在IIS和Windows环境下,截断字符“;”与0x00类似。可构造aaa.asp;bbb.jpg。IIS 6将执行aaa.asp

1.4 FCKEditor为典型的黑名单式文件检测漏洞

漏洞原理 黑名单式的限制文件上传,代码如下:

$Config ['AllowedExtensions'] ['File'] = array();//允许上传的类型
$Config ['DeniedExtensions'] ['File'] = array('php','php3','php5','phtml','asp','aspx','ascx','jsp','cfm','cfc','pl','bat','exe','dll','reg','cgi');//禁止上传的类型

漏洞防止 如果不必要,可以删除上传代码。

2 利用文件内容类漏洞

2.1 文件头检测漏洞

漏洞原理 判断文件头内容是否符合要求,

几个常见的文件头对应关系:
(1) .JPEG.JPE.JPG:"JPGGraphic File";
(2) .gif:"GIF 89A";
(3) .zip:"Zip Compressed";
(4) .doc.xls.xlt.ppt.apr:"MS Compound Document v1 or Lotus Approach APRfile";

3 利用系统漏洞

3.1 Apache从后往前解析特性

漏洞原理 Apache 1.x、2.x中对文件解析有如下特性:
(1)从后往前解析,直至一个可识别文件类型为止;
(2)可识别类型定义在mime.types文件中。
可构造xxx.php.rar来绕过。

3.2 IIS 6文件夹拓展名漏洞

漏洞原理 IIS 6曾经出过的漏洞,处理文件父文件夹如为*.asp,则本文件按ASP格式解析。例如:****/aaa.asp/bbb.jpgbbb.jpg将按asp文件解析。

参考资料
[01]上传漏洞总结
[02]米斯特白帽培训讲义 漏洞篇 文件上传
[03]Web应用安全(麦子学院)|文件上传漏洞
[04]Web应用安全(麦子学院)|文件上传另一种方式
[05]Web应用安全(麦子学院)|文件上传漏洞之绕过方式
[06]Web应用安全(麦子学院)|文件上传漏洞防御
[07]闲话文件上传漏洞
[08]文件上传漏洞(绕过姿势)
[09]吴翰清.白帽子讲Web安全 [M].北京:高等教育出版社,2012.3 . 180-191

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,042评论 6 490
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 89,996评论 2 384
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,674评论 0 345
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,340评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,404评论 5 384
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,749评论 1 289
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,902评论 3 405
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,662评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,110评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,451评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,577评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,258评论 4 328
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,848评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,726评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,952评论 1 264
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,271评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,452评论 2 348

推荐阅读更多精彩内容

  • 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直...
    付出从未后悔阅读 1,127评论 0 4
  • 文件上传漏洞: 1.本地验证 本地验证:客户端本地通过前台JS脚本进行检测。 原理: 当用户在客户端选择文件点击上...
    xaviershun阅读 1,340评论 0 1
  • 一套实用的渗透测试岗位面试题,你会吗? 1.拿到一个待检测的站,你觉得应该先做什么? 收集信息 whois、网站源...
    g0阅读 4,818评论 0 9
  • 蝶水月秋千阅读 189评论 0 0
  • 我是一碗蛋炒饭,很家常,却很温暖。 很饿的时候,随手打个鸡蛋,切些火腿,加点香葱,如果有玉米和青豆那再好不过。顶多...
    Ana2阅读 406评论 0 0