文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

【文件上传漏洞-04】文件上传路径截断靶场实战

2023-09-05 12:21

关注

00截断

在ASCII码中,00代表的是空(Null)字符,在URL中表现为%00。在文件截断攻击中,就是采用空字符来误导服务器截断字符串,以达到绕过攻击的目的。00截断会导致文件上传路径截断

原理:

服务器后台采用的是move_uploaded_file()函数将上传的文件移动到新位置也就是文件另存,函数在执行的时候会有两个参数,第一个参数就是原文件的路径,第二个参数就是目标函数的路径,这两个路径都是作为字符串来出现的;该函数属于文件系统函数,涉及到文件操作,底层是采用C语言实现的,在C语言中,判断字符串是否结束是以空字符为标志的。因此,当上传的文件名中含有%00符号时,服务器会认为字符串到此结束,从而达到绕过的目的

简单来说,在C语言中%00是字符串的结束标识符,而PHP就是C语言写的,所以继承了C语言的特性,所以判断为%00是结束符号不会继续往后执行。

利用前提条件:

漏洞利用

  1. PHPstudy切换到5.2.17版本

  1. 关闭GPC,打开对应的php.ini文件将GPC关闭,然后重启服务器

实战前准备

准备好一个文件,该文件可能是木马,也可能是其他任意文件,本实验以php探针作为测试文件,来验证是否存在文件上传漏洞以及绕过漏洞检测的方法。

文件名为:phpinfo.php,文件内容:

靶场环境:upload-labs

less12

实战详细步骤

测试过程:可以先测试前端JS绕过→MIME绕过→服务端后缀名绕过→文件内容绕过等

访问upload-labs并点击进入第12关

  1. 点击浏览,选择提前准备的探针文件phpinfo.php

  1. 在页面点击上传按钮之前,打开burp,打开拦截请求

  1. 打开拦截后,返回页面继续上传,之后发现burp成功拦截请求,这意味着浏览器端并没有检测文件后缀名。将拦截的请求,右键发送到repeater模块。

  1. 在repeater模块中,点击send,查看响应结果,出现错误提示:只允许上传.jpg|.png|.gif类型文件

  1. 在repeater模块中,将http请求中的文件后缀名由php修改为gif,点击send,可以看到响应中正常,出现文件上传路径,说明文件上传成功。(由此 我们可以断定服务器在文件上传进行验证的时候,未验证文件内容,也未验证Content-Type类型,但是服务器会把我们上传的文件进行重命名)

  1. 返回Proxy模块中按照上一步操作,http请求中的文件后缀名由php修改为gif,点击forward,可以看到请求发送成功,并收到后端的响应显示如下,由于该文件不是真的图片,因此显示失败。

  1. 点击图标右键选择新建标签页打开,可以看到无法执行(这是由于于所上传的文件无法按照php解析)

  1. 在http请求中,我们发现了"save_path",顾名思义就是文件上传的路径,也可以影响文件存储路径,而根据响应的文件路径,可以发现服务器对上传的文件进行了重命名。在Burp中的repeater模块,尝试是否可以在http请求的请求行中将上传文件另存为.php的文件呢?尝试之后发现,上传出错。

  1. 由于我们只想保存到test.php后面路径都不需要了,因此我们只能在repeater模块中进行00截断。在http请求的路径参数中添加test.php%00来进行文件路径截断,由于C语言会将空字符认为是字符串终止符号,函数move_uploaded_file()在保存文件时会将%00后面的字符“截断”,导致服务器将文件以攻击者想要的后缀名存储在攻击者想要的位置。

  1. 在Proxy模块中,http请求中的文件后缀名由php修改为gif,且在文件路径后添加test.php%00,点击forward。返回到浏览器,可以看到文件成功上传。

  1. 点击图标右键选择新建标签页打开,发现打开页面404,此时我们只需删除test.php符号后的字段,可以看到文件的代码被成功执行。

注意:在http请求中,存储路径可控,是可以采用00截断的一个条件,且采用00阶段是为了使上传的文件可执行。

来源地址:https://blog.csdn.net/2301_76334474/article/details/129074907

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯