文件上传限制绕过技巧

hacker4年前黑客工具260

  严正声明:本文仅限于技术讨论,严禁用于其他用途。

  文件上传漏洞是web安全中经常利用到的一种漏洞形式。一些web应用程序中允许上传图片,文本或者其他资源到指定的位置,文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,再通过url去访问以执行代码。但在一些安全性较高的web应用中,往往会有各种上传限制和过滤,导致我们无法上传特定的文件。本文将就此展开讨论,通过本文的学习你将了解到Web应用中文件上传的处理和验证发送流程,以及我们该如何绕过这些验证。

  客户端验证是一种发生在输入被实际发送至服务器之前进行的验证。这类验证大都都是通过JavaScript,VBScript或HTML5来完成的。虽然,这对于用户来说响应速度更快体验也更好。但对于恶意攻击者来说,这些验证似乎就显得略为低级。

  这种类型的绕过也非常简单,我们可以关闭浏览器上的JavaScript或是在浏览器发出请求之后,在被发送至服务器之前来篡改该HTTP请求即可。

  示例:

  正如你所看到的,此JavaScript仅在请求被实际发送至服务器之前处理你的请求,以及检查你上传的文件扩展名是否为(jpg,jpeg,bmp,gif,png)。这样的话,我们就可以拦截该请求并篡改文件内容(恶意代码),然后将图片扩展名更改为可执行文件的扩展名(如php,asp)。

  

  如上图所示,我们试图上传一个直接的PHP文件,JavaScript阻止了我们的文件上传请求。

  

  我们可以通过浏览器来上传一个正常的图片格式来绕过该验证,然后拦截该请求再将其改回为php格式并将文件内容替换为我们的恶意代码,这样我们就能够成功上传我们的恶意php脚本了。

  顾名思义,就是在文件被上传到服务端的时候,对于文件名的扩展名进行检查,如果不合法,则拒绝这次上传。检查扩展名是否合法有两种常用策略,即黑名单和白名单策略。

  黑名单策略,即文件扩展名在黑名单中的为不合法。白名单策略,即文件扩展名不在白名单中的均为不合法。相对于黑名单,白名单策略更加安全的。通过限制上传类型为只有我们接受的类型,可以较好的保证安全,因为黑名单我们可以使用各种 *** 来进行注入和突破。

  我们可以通过上传一些平时不怎么用的容易被人忽视的文件扩展名,来绕过这种类型的验证。

  黑名单绕过

  通过上传不受欢迎的php扩展来绕过黑名单。例如:pht,phpt,phtml,php3,php4,php5,php6

  白名单绕过

  通过某种类型的技巧来绕过白名单,例如添加空字节注入(shell.php%00.gif),或使用双重扩展来上传文件(shell.jpg.php)。

  此外,我们还可以尝试扩展名大小写来绕过,例如:pHp,Php,phP。

  示例:

  以上代码将会阻止除jpg,jpeg,gif,png扩展名以外的,所有其它文件类型上传。在本例中我们将尝试绕过该检查,并在Web服务器上传一个php文件。

  黑名单绕过

  

  正如你所看到的,将php文件的后缀更改为.php5(Apache服务器会将其视为php文件执行)后,就可以成功绕过该上传验证。

  白名单绕过

  

  如上图所示,我们使用了双重扩展名(shell.jpg.php)来绕过验证。

  Content-Type(内容类型),一般是指网页中存在的Content-Type,用于定义 *** 文件的类型和网页的编码,决定文件接收方将以什么形式、什么编码读取这个文件。例如,一些图像文件上传通过检查文件的内容类型是否为图像类型来验证上传的图像。

  该类型的绕过也非常简单,只需将“Content-Type”的参数类型更改为“image/ *”即可,例如“image/png”, “image/jpeg”, “image/gif”。

  示例:

  以上代码会检查Content-Type header中的MIME类型,仅接受类型为image/jpeg, image/gif, image/png的文件上传。我们只需只需将“Content-Type”的参数类型更改为其可接受的类型即可绕过。

  

  Content-Length验证是指服务器会对上传的文件内容长度进行检查,超出限制大小的文件将不允许被上传。虽然这种类型的验证不是很受欢迎,但在一些应用的文件上传中也时常能碰到。

  针对这种类型的验证,我们可以通过上传一些非常短的恶意代码来绕过。上传文件的大小取决于,Web服务器上的更大长度限制。我们可以使用不同大小的文件来fuzzing上传程序,从而计算出它的限制范围。

  示例:

  以上代码将限制大小超过30字节的文件上传。我们可以通过上传一个30字节以内大小的恶意payload文件来绕过它。

  

  参考来源

  http://www.securityidiots.com/Web-Pentest/hacking-website-by-shell-uploading.html

  http://www.net-informations.com/faq/asp/validation.htm

  https://www.owasp.org/index.php/Unrestricted_File_Upload

  http://www.sitepoint.com/mime-types-complete-list/

  https://www.w3schools.com/php/php_file_upload.asp

  https://stackoverflow.com/

  *参考来源:exploit-db,FB小编 secist 编译,转自FreeBuf

相关文章

习近平在中央农村工作斯巴鲁森林人2.5会议上强调 坚持把解决好

  新华社北京12月29日电 中央农村工作会议12月28日至29日在北京举行。中共中央总书记、国家主席、中央军委主席习近平出席会议并发表重要讲话强调,在向第二个百年奋斗目标迈进的历史关口,巩固和拓展脱...

主角是护士男主是个黑客(男主是黑客却是学生的小说)

主角是护士男主是个黑客(男主是黑客却是学生的小说)

本文导读目录: 1、女主是一名黑客,男主是一名伪装的校医,男主背后有背景,求一本小说 2、找小说 女主好像是护士 男主是混黑道的 男主受伤女主在路上救了他 男主用女主的手机打电话 3、男主有很...

Twitter或将改变美国总统大选生态

你有没有想过,未来总统选举的侯选人会在选举人既看不见也听不见她们的状况下要140字(乃至更少)解答问题?   尽管总统选举的电视辩论在较长一段时间内都不容易消退,但大家能明确的是,如今愈来愈多...

妊娠纹怎么办?10种方法,总有一种适合你

妊娠纹怎么办?10种方法,总有一种适合你

孕期这不能吃那不能碰就算了,还要担心各种意外情况!比如发生率为:0.02%的孕产妇死亡、0.89%的婴儿死亡率、10%的自然流产、5%的早产、4%的孕晚期臀位等等情况。 虽然这些情况都很严重,但发生...

黑客水平等级,黑客网站免费网站

黑客水平等级,黑客网站免费网站

一、水平等级黑客接单流程 1、黑客方法破解者的目标是注册软件。水平等级网站免费网站真正有效的是阅读代码并亲自写代码。专业微信联系方式水平等级XXX接单黑客如果网吧工作人员对你的个人信息非常熟悉,那就不...

橘红色配什么颜色好看,橘红色搭配技巧!

橘红色配什么颜色好看,橘红色搭配技巧!

鲜明的橘红色大衣,一般搭配起来是不容易的。特别是对于不善于打扮的女性来说,想要让它与其他单品好好协调,在颜色的方面就要多花一点心思了。因此下面给大家支几招。 橘是一种鲜明的色彩,它代表的往往是温...