文件上传功能是大部分WEB应用的必备功能,网站允许用户自行上传头像、一些社交类网站允许用户上传照片、一些服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似不起眼的文件上传功能如果没有做好安全防护措施,就存在巨大的安全风险。
当用户在在文件上传的功能模块处上传文件时,如果WEB应用在文件上传过程中没有对文件的安全性进行有效的校验,攻击者可以通过上传WEBshell等恶意文件对服务器进行攻击,这种情况下认为系统存在文件上传漏洞。
最常见的文件上传漏洞的 *** 是上传网站木马(webshell)文件,WEBSHELL又称网页木马文件,根据开发语言的不同又分为ASP木马、PHP木马、 *** P木马等,该类木马利用了脚本语言中的系统命令执行、文件读写等函数的功能,一旦上传到服务器被脚本引擎解析,攻击者就可以实现对服务器的控制。
网站木马(webshell)文件又分为大马和小马(一句话木马)、图片马等
大马:功能比较善,配合浏览器使用;代码量通常较大;隐蔽性相对较弱,代码量大,通常需要通过加密等方式来隐藏特征。
小马:功能简单,需要配合客户端使用;代码量通常较小;隐蔽性相对较强,容易通过变形隐藏特征,绕过过滤,通常与cknife工具一起使用。
图片马:当网站限制只能上传图片相关格式的时候,攻击者无法绕过限制即可尝试利用图片马来实现webshell操作。
一句话木马类似于<?php eval($_POST['v']); ?>,将该木马文件通过文件上传模块上传到服务器。$_POST['v']里面的参数v就是我们的可以利用的参数,我们将我们要执行的指令通过参数v传到服务器来执行;或者利用cknife工具来实现操作目标服务器。
(一)该网页上传形式收到限制,需要符合jpg、jpeg、JPG、JPEG这几个类型格式,所以将原来的格式改为1.jpg格式(服务端校验)
打开burp suite软件拦截数据包,将文件名改为1.php,这样才能运行php脚本,不然jpg后缀的文件虽然能够上传,但是没用运行的功能。
在hackbar插件中定义v=phpinfo();可以查看php当前状态的大量信息
(二)这个页面限制了上传的格式(MIME),需要将文件格式改为JPEG或者PNG(服务端校验)
用burp suite拦截信息,将content-Type改为image/png
用hackbar工具定义参数v=phoinfo();查看php状态信息
(三)该页面对文件后缀进行了筛选,对php类型的文件不进行接受(服务端校验)
打开burp suite软件拦截信息,将文件名改为1.PHp,绕开web服务器的识别
用hackbar定义v=system(ipconfig);
(四)使用截断的方式将jpg截断。1.php%00.jpg,%00用ctrl+shift+u来编译。
1.php%00.jpg,%00用ctrl+shift+u来编译
用hackbar工具定义参数v=phoinfo();查看php状态信息(五)该网页只允许上传图片,修改后缀名无效
上传b374k.jpg图片马,登入的密码为b374k
利用浏览器即可使用图片马进行webshell操作
(六)该网页允许上传的类型有jpg,jpeg,png,gif,7z。可以利用apach识别不了后缀名时,从后往前识别扩展名的方式,将1.jpg通过burp改为1.php.7z,则变成压缩形式的文件。
通过burp软件抓包将1.jpg通过burp改为1.php.7z,则变成压缩形式的文件。
用hackbar工具定义参数v=phoinfo();查看php状态信息
总结:文件上传漏洞在web安全里面算是比较常见且危害较大的漏洞,建站厂商可以在此方面增加防范力度:如加强文件后缀名黑名单的范围;对上传文件的名字进行随机修改;上传文件的临时目录和保存目录不允许执行权限等。
你好,是骗子,请不要理他,也不要打开任何一个链接,防止上当受骗。 淘宝这些东西是被屏蔽的买不到的。 1.我劝你一句。淘宝偏袒卖家,以后慎重!再交易发生时,事事警惕,连开包裹都要用DV或手机录下;反正,...
春节过年回家带聚会什么的带上孩子本只想涂个热闹。但是有一些亲戚朋友总爱拿自己的孩子好和别人的孩子进行攀比。过年都有哪些熊亲戚呢。下面小编就来和大家说一说。 亲戚哪些行为对孩子很不好 亲吻孩子 有...
你只需求记住你现已极力且付出了劳动,收效果实是早晚的作业,许多时分,我们的站长会很困扰,清楚自己付出许多极力,却没有得到收成,这个时分应该幽静下来,多考虑多总结坚持淡定的心态去面对优化的效果,防止对自...
跟着经济程度的成长,各行各业的不绝的繁荣,那么饮品行业也长短常繁荣的。那么此刻的饮品行业市场长短常的值得加盟的好行业。饮品行业的成长迅速,越来越多的饮品加盟品牌加盟项目呈此刻各人的面前。咖啡产物长短常...
自己餐饮管理服务两年,当时为了更好地生活入了餐馆行业,一直喜爱日本动漫,手机游戏,游戏模型,如今中国动漫,手机游戏越变越好,考虑到之后亲人也适用决策改行做好自己喜爱的事,想干三d建模。可是周边盆友没有...
4月13日,据外媒报道,一个黑客组织通过黑进数个联邦调查局(FBI)的附属网站,获取了成千上万条联邦特工和执法人员的个人信息,并计划出售。 据悉,这些黑客通过攻击FBI国家学院协会(FBI N...