渗透测试

笔记|文件上传漏洞(文件绕过)

2017-09-01  本文已影响137人  丁止戈

这是一篇网络安全小白写的笔记。

目录

0 文件上传漏洞概述

1 利用文件名及文件类型名类漏洞
1.1 javascript检测扩展名绕过漏洞
1.2 0x00特殊字符截断漏洞
1.3 IIS和Windows系统下的“;”截断字符露洞
1.4FCKEditor为典型的黑名单式文件检测漏洞

2 利用文件内容类漏洞
2.1 文件头检测漏洞

3 利用系统漏洞
3.1 Apache从后往前解析特性
3.2 IIS 6文件夹拓展名漏洞

0 文件上传漏洞

上传漏洞是利用文件上传漏洞把脚本文件上传到服务器。

1 利用文件名类漏洞

1.1 javascript检测扩展名绕过漏洞

检测原理 通过js代码检测文件文件类型

function check(){
        var filename=document.getElementById("file");
        var str=filename.value.split(".");
        var ext=str[str.length-1];
        if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){
            return true;
        }else{
            alert("这不是图片!")
            return false;
        }
        return false;

在表单中使用onsumbit=check();调用js函数来检查上传文件的扩展名。
漏洞原理 利用浏览器修改脚本,破坏检测即可。

1.2 0x00特殊字符截断漏洞

漏洞原理 在C语言、PHP等语言中,0x00被认为是终止符,可构造文件名为xxx.php[\0].jpg,[\0]为16进制的0x00字符,由于[\0]0x00)是截断字符,文件名会变成xxx.php

1.3 IIS和Windows系统下的“;”截断字符漏洞

漏洞原理 在IIS和Windows环境下,截断字符“;”与0x00类似。可构造aaa.asp;bbb.jpg。IIS 6将执行aaa.asp

1.4 FCKEditor为典型的黑名单式文件检测漏洞

漏洞原理 黑名单式的限制文件上传,代码如下:

$Config ['AllowedExtensions'] ['File'] = array();//允许上传的类型
$Config ['DeniedExtensions'] ['File'] = array('php','php3','php5','phtml','asp','aspx','ascx','jsp','cfm','cfc','pl','bat','exe','dll','reg','cgi');//禁止上传的类型

漏洞防止 如果不必要,可以删除上传代码。

2 利用文件内容类漏洞

2.1 文件头检测漏洞

漏洞原理 判断文件头内容是否符合要求,

几个常见的文件头对应关系:
(1) .JPEG.JPE.JPG:"JPGGraphic File";
(2) .gif:"GIF 89A";
(3) .zip:"Zip Compressed";
(4) .doc.xls.xlt.ppt.apr:"MS Compound Document v1 or Lotus Approach APRfile";

3 利用系统漏洞

3.1 Apache从后往前解析特性

漏洞原理 Apache 1.x、2.x中对文件解析有如下特性:
(1)从后往前解析,直至一个可识别文件类型为止;
(2)可识别类型定义在mime.types文件中。
可构造xxx.php.rar来绕过。

3.2 IIS 6文件夹拓展名漏洞

漏洞原理 IIS 6曾经出过的漏洞,处理文件父文件夹如为*.asp,则本文件按ASP格式解析。例如:****/aaa.asp/bbb.jpgbbb.jpg将按asp文件解析。

参考资料
[01]上传漏洞总结
[02]米斯特白帽培训讲义 漏洞篇 文件上传
[03]Web应用安全(麦子学院)|文件上传漏洞
[04]Web应用安全(麦子学院)|文件上传另一种方式
[05]Web应用安全(麦子学院)|文件上传漏洞之绕过方式
[06]Web应用安全(麦子学院)|文件上传漏洞防御
[07]闲话文件上传漏洞
[08]文件上传漏洞(绕过姿势)
[09]吴翰清.白帽子讲Web安全 [M].北京:高等教育出版社,2012.3 . 180-191

上一篇下一篇

猜你喜欢

热点阅读