文章总结: 文档系统分析了文件上传漏洞的成因、危害及多种绕过手法,包括前端验证、Content-Type检测、黑名单限制、系统特性利用等,并提供了防护建议如设置上传白名单、禁止脚本执行目录。核心结论是文件上传漏洞危害严重,需综合采用权限控制、严格过滤和目录安全设置进行防御。 综合评分: 78 文章分类: WEB安全,漏洞分析,渗透测试,安全意识,实战经验
绕过方法
分别上传 .htaccess 和 .jpg 文件,当访问 .jpg 文件时, .jpg 文件会被解析成php文件。
5.6 大小写绕过上传
有的上传模块 后缀名采用黑名单判断,但是没有对后缀名的大小写进行严格判断,导致可以更改后缀大小写可以被绕过。如 PHP、 Php、 phP、pHp
代码分析
绕过方法
- 首先判断图片是否允许上传 gif,gif 图片在二次渲染后,与原图片差别不会太大。所以二次渲染攻击最好用 git 图片马,png和jpg用起来比较繁琐
- 制作图片马
- 将原图片上传,下载渲染后的图片进行对比,找相同处,覆盖字符串,填写一句话后门,或者恶意指令。
5.18 数组绕过上传
有的文件上传,如果支持数组上传或者数组命名。如果逻辑写的有问题会造成安全隐患,导致不可预期的上传。这种漏洞在白盒审计中发现的居多。
代码分析
,例子:上传1.jpg,那么访问 1.jpg/1.php,会将 1.jpg 解析成 1.php</p>
<p>Apache Httpd 换行解析漏洞(CVE-2017-15715), apache通过mod_php来运行脚本,其中2.4.0-2.4.29 版本中存在换行解析漏洞,在解析 XXX.php\x0A 时,会按照 .php 进行解析,又是可以使用此方法绕过一些安全策略</p>
<h3 id=)
5.20 通用检测方法
判断是否为黑白名单,如果是白名单 寻找可控参数。如果是黑名单禁止上传,可以用有危害的后缀名批量提交测试。
5.21 文件上传的繁育方法
- 服务器端使用白名单进行防御
- 修复 WEB 中间件漏洞
- 进制客户端存在可控参数
- 文件存放目录进制脚本执行
- 严格限制后缀名,并且让文件名随机,不可预测
课程详情
目前限时特惠价格!
SRC课程:999
红队课程:1999
SRC课程+红队课程:2699
学习方式:直播+录播。
1.提供课程中涉及的所有笔记内容,实现课后高效化复习。
2.提供课后答疑,解决学习过程中存在的疑惑。
3.提供漏洞知识库,方便大家测试存在指纹的站点时,能快速的找到自己想要的POC。
4.提供漏洞挖掘中所为用到的工具,辅助挖洞时的配置文件及字典,实现漏洞挖掘高效化。
5.有内部圈子及内部群进行交流学习及工具的获取。
6.一次付费永久免费,无论后续更新任何SRC的新内容均免费跟学。
特别提醒
语雀笔记及内部辅导视频,禁止外传,违者视为自动放弃学习资格。
语雀,注册后在会员信息页填写邀请码BL3R17 即可领取 30 天语雀会员。
前往注册:https://www.yuque.com/about
学员可享受
漏洞库
详细的课件
内部专属圈子(漏扫工具/POC/适合挖洞的插件规则/漏洞报告等)
学员的真实反馈:
较为有天赋的学员
大部分学员现况
耐心的为每一位学员解决问题,并且会挑出大家都出现的问题,即使之前讲过,也会耐心的再次讲解
记录学员的学习情况
也会随机进行回访
很多已经就业的师傅,也能课程从中学到许多知识
也会耐心帮助学员进行简历修改及发展规划建议
实时根据学员反馈调整上课内容
随机进行漏洞知识提问
以实操的形式帮扶大家学习
免责声明
参与学习需要遵守国家法律法规,相关知识只做技术研究,请勿用于违法用途,造成任何后果自负与本人无关。
法律法规
中华人民共和国网络安全法(2017年6月1日起施行)
第二十二条 任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。
第三十八条 任何个人和组织不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息。
第六十三条 违反本法规定,给他人造成损害的,依法承担民事责任。第六十四条 违反本法规定,构成犯罪的,依法追究刑事责任。
中华人民共和国刑法(285.286)第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
中华人民共和国刑法修正案7(第九条)在刑法第二百八十五条中增加两款作为第二款、第三款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
扫描二维码添加微信咨询学习
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:web安全小白 web安全小白 web安全小白《文件上传漏洞总结》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论