上傳漏洞大總結

時間  2020-07-08
標籤 上傳 漏洞 總結 简体版
原文   原文鏈接


一,原由:javascript


            今天無心間發現github上有個上傳漏洞靶場php

            上傳漏洞靶場地址:https://github.com/c0ny1/upload-labs java

            1.png


二,開始寫下他的wp吧:git

    

        

    首先pass-01:
github

         審查元素髮現:是js驗證apache

<script type="text/javascript">    
function checkFile() {    
var file = document.getElementsByName('upload_file')[0].value;    
if (file == null || file == "") {    
alert("請選擇要上傳的文件!");    
return false;    
}    
//定義容許上傳的文件類型    
var allow_ext = ".jpg|.png|.gif";    
//提取上傳文件的類型    
var ext_name = file.substring(file.lastIndexOf("."));    
//判斷上傳文件類型是否容許上傳    
if (allow_ext.indexOf(ext_name) == -1) {    
var errMsg = "該文件不容許上傳,請上傳" + allow_ext + "類型的文件,當前文件類型爲:" + ext_name;    
alert(errMsg);    
return false;    
}    
}    
</script>

        js驗證是不安全的驗證。咱們想辦法突破他:瀏覽器

          審查元素,修改元素,把調用js函數的地方刪除便可(提示:請使用火狐瀏覽器,其餘瀏覽器不容易成功)
安全

           1.png


        審查元素,找到上傳路徑
app

        1.png


        進入pass-02
jsp

        查看源代碼發現是判斷文件類型

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
                $is_upload = true;

            }
        } else {
            $msg = '文件類型不正確,請從新上傳!';
        }
    } else {
        $msg = $UPLOAD_ADDR.'文件夾不存在,請手工建立!';
    }}

    那就抓包改包來繞過吧,修改文件類型,成功上傳

    1.png


    來到pass-03

    查看源代碼發現,禁止上傳 asp,aspx,jsp,php類型的文件,且沒法經過大小寫驗證繞過

      

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//刪除文件名末尾的點
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //轉換爲小寫
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) {
                 $img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name'];
                 $is_upload = true;
            }
        } else {
            $msg = '不容許上傳.asp,.aspx,.php,.jsp後綴文件!';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夾不存在,請手工建立!';
    }}

     用.htaccess重新解析.htaccess的內容是,意思是讓jpg格式的文件也當成php文件運行

AddType application/x-httpd-php .jpg

    固然也須要apache支持

    配置文件LoadModule rewrite_module modules/mod_rewrite.so前的註釋去掉,尋找關鍵詞:AllowOverride,並把後面的參數從None所有改爲All

    首先上傳.htaccess文件,再上傳jpg文件解析成功

    1.png


固然還有截斷上傳,js調用php等等在這就不寫了

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程