文件上传限制绕过技巧

hacker4年前黑客资讯545

  严正声明:本文仅限于技术讨论,严禁用于其他用途。

  文件上传漏洞是web安全中经常利用到的一种漏洞形式。一些web应用程序中允许上传图片,文本或者其他资源到指定的位置,文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,再通过url去访问以执行代码。但在一些安全性较高的web应用中,往往会有各种上传限制和过滤,导致我们无法上传特定的文件。本文将就此展开讨论,通过本文的学习你将了解到Web应用中文件上传的处理和验证发送流程,以及我们该如何绕过这些验证。

  客户端验证是一种发生在输入被实际发送至服务器之前进行的验证。这类验证大都都是通过JavaScript,VBScript或HTML5来完成的。虽然,这对于用户来说响应速度更快体验也更好。但对于恶意攻击者来说,这些验证似乎就显得略为低级。

  这种类型的绕过也非常简单,我们可以关闭浏览器上的JavaScript或是在浏览器发出请求之后,在被发送至服务器之前来篡改该HTTP请求即可。

  示例:

  正如你所看到的,此JavaScript仅在请求被实际发送至服务器之前处理你的请求,以及检查你上传的文件扩展名是否为(jpg,jpeg,bmp,gif,png)。这样的话,我们就可以拦截该请求并篡改文件内容(恶意代码),然后将图片扩展名更改为可执行文件的扩展名(如php,asp)。

  

  如上图所示,我们试图上传一个直接的PHP文件,JavaScript阻止了我们的文件上传请求。

  

  我们可以通过浏览器来上传一个正常的图片格式来绕过该验证,然后拦截该请求再将其改回为php格式并将文件内容替换为我们的恶意代码,这样我们就能够成功上传我们的恶意php脚本了。

  顾名思义,就是在文件被上传到服务端的时候,对于文件名的扩展名进行检查,如果不合法,则拒绝这次上传。检查扩展名是否合法有两种常用策略,即黑名单和白名单策略。

  黑名单策略,即文件扩展名在黑名单中的为不合法。白名单策略,即文件扩展名不在白名单中的均为不合法。相对于黑名单,白名单策略更加安全的。通过限制上传类型为只有我们接受的类型,可以较好的保证安全,因为黑名单我们可以使用各种 *** 来进行注入和突破。

  我们可以通过上传一些平时不怎么用的容易被人忽视的文件扩展名,来绕过这种类型的验证。

  黑名单绕过

  通过上传不受欢迎的php扩展来绕过黑名单。例如:pht,phpt,phtml,php3,php4,php5,php6

  白名单绕过

  通过某种类型的技巧来绕过白名单,例如添加空字节注入(shell.php%00.gif),或使用双重扩展来上传文件(shell.jpg.php)。

  此外,我们还可以尝试扩展名大小写来绕过,例如:pHp,Php,phP。

  示例:

  以上代码将会阻止除jpg,jpeg,gif,png扩展名以外的,所有其它文件类型上传。在本例中我们将尝试绕过该检查,并在Web服务器上传一个php文件。

  黑名单绕过

  

  正如你所看到的,将php文件的后缀更改为.php5(Apache服务器会将其视为php文件执行)后,就可以成功绕过该上传验证。

  白名单绕过

  

  如上图所示,我们使用了双重扩展名(shell.jpg.php)来绕过验证。

  Content-Type(内容类型),一般是指网页中存在的Content-Type,用于定义 *** 文件的类型和网页的编码,决定文件接收方将以什么形式、什么编码读取这个文件。例如,一些图像文件上传通过检查文件的内容类型是否为图像类型来验证上传的图像。

  该类型的绕过也非常简单,只需将“Content-Type”的参数类型更改为“image/ *”即可,例如“image/png”, “image/jpeg”, “image/gif”。

  示例:

  以上代码会检查Content-Type header中的MIME类型,仅接受类型为image/jpeg, image/gif, image/png的文件上传。我们只需只需将“Content-Type”的参数类型更改为其可接受的类型即可绕过。

  

  Content-Length验证是指服务器会对上传的文件内容长度进行检查,超出限制大小的文件将不允许被上传。虽然这种类型的验证不是很受欢迎,但在一些应用的文件上传中也时常能碰到。

  针对这种类型的验证,我们可以通过上传一些非常短的恶意代码来绕过。上传文件的大小取决于,Web服务器上的更大长度限制。我们可以使用不同大小的文件来fuzzing上传程序,从而计算出它的限制范围。

  示例:

  以上代码将限制大小超过30字节的文件上传。我们可以通过上传一个30字节以内大小的恶意payload文件来绕过它。

  

  参考来源

  http://www.securityidiots.com/Web-Pentest/hacking-website-by-shell-uploading.html

  http://www.net-informations.com/faq/asp/validation.htm

  https://www.owasp.org/index.php/Unrestricted_File_Upload

  http://www.sitepoint.com/mime-types-complete-list/

  https://www.w3schools.com/php/php_file_upload.asp

  https://stackoverflow.com/

  *参考来源:exploit-db,FB小编 secist 编译,转自FreeBuf

相关文章

查酒店住房记录app(酒店开的房记录别人可以查询吗)

查酒店住房记录app(酒店开的房记录别人可以查询吗)专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!在wxid开始时,如何将好友添加到微信帐户中?在注册微信后,我们将在wxid开...

查找女朋友微信历史聊天记录

. 孩子口角炎是怎么回事,孩子经常舔嘴巴会得口角炎吗,孩子口角炎怎么办呢,怎么预防孩子口角炎呢,友谊长存小编为大家带来了关于孩子口角炎的相关的问题的解答,一起来看看吧。 口角炎临床表现 口角炎最...

夏天为了解暑喝什么比较好?蚂蚁庄园7月23日答案

夏天为了解暑喝什么比较好?蚂蚁庄园7月23日答案

夏天为了解暑喝什么比较好?热饮、冷饮。这是支付宝蚂蚁庄园2020年7月22日庄园小课堂的题目,一般来说到了夏天大家就会偏爱冷饮。那么,热饮和冷饮哪个更加解暑呢?下面就是这道题的正确答案和解析了,一起来...

黑客接单删违章记录_顺风黑客那里找

脚本块日志SplashData估量有简直10%的用户至少运用过这25个弱暗码中的一个,有3%的用户运用过123456这个最弱暗码。 尽管在2017年底和2018年头,“歹意挖矿进犯”占有了网络要挟范畴...

什么黑客网站可以解冻QQ账号(黑客下载器账号)-黑客真的把钱追回了

什么黑客网站可以解冻QQ账号(黑客下载器账号)-黑客真的把钱追回了

什么黑客网站可以解冻QQ账号(黑客下载器账号)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑...

最强蜗牛最新密令分享 最强蜗牛最新密令大全

最强蜗牛最新密令分享 最强蜗牛最新密令大全

最强蜗牛是一款很有意思的游戏,游戏中经常会更新密令,密令这玩法大家都很喜欢,正确回答密令就可以获得奖励,所以游戏中密令还是比较重要的,那么到底要怎么获取比较好呢?希望下面这篇最强蜗牛最新密令大全能帮到...