文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

文件上传漏洞基础/::$DATA绕过上传/叠加特征绕过/双写绕过

2023-10-05 11:14

关注

一、NTFS交换数据流::$DATA绕过上传

如果后缀名没有对::$DATA进行判断,利用windows系统NTFS特征可以绕过上传

在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持::$DATA之前的文件名,其实和空格绕过点绕过类似

upload-pass08

代码分析

 $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");        $file_name = trim($_FILES['upload_file']['name']);        $file_name = deldot($file_name);//删除文件名末尾的点        $file_ext = strrchr($file_name, '.');        $file_ext = strtolower($file_ext); //转换为小写        $file_ext = trim($file_ext); //首尾去空

看到这里还是黑名单过滤,比前面少了一行

 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

尝试上传

我们开启抓包,上传test.php 抓包中修改 test.php::$DATA

 

上传成功 

二、利用windows环境的叠加特征绕过上传

在windows中如果上传文件test.php:.jpg时,会在目录下产生空白的文件test.php

再利用php和windows环境的叠加属性

正则匹配:

双引号等同于点

大于号等同于问号(任意一个字符)

小于号等同于星号(任意个任意字符)

upload-pass09

代码分析

其实就是把前面的代码加上了,基本上算后缀名检测的防护都开了,这种情况下我们可以尝试使用叠加特征上传

尝试上传

先上传一个test.php 抓包中加入:.jpg

 可以看到,我们上传进了一个test.php但是是0kb,也就是没有任何内容的空文件

下一步就是写入这个文件,我们再次上传抓包

仔细看这个数据包,向test.php中写入其实这里有写入的过程,我们只需要把test.php写成我们刚才传入文件的名字并且绕过后缀,使用正则匹配

将test.php变成 test.>>>

 写入成功,上传成功

三、双写绕过

这个就很简单了

upload-pass10

代码分析

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {    if (file_exists($UPLOAD_ADDR)) {        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");        $file_name = trim($_FILES['upload_file']['name']);        $file_name = str_ireplace($deny_ext,"", $file_name);        if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $file_name)) {            $img_path = $UPLOAD_ADDR . '/' .$file_name;            $is_upload = true;        }    } else {        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';    }}

 str_ireplace("黑名单","空",后缀名)

从后缀名中匹配黑名单中的字符串,如果出现则换成空,从左到右匹配

类似sql注入中的双写绕过

如.pphphp,从左往右匹配到第一个php时去掉变为.php,达到了绕过的目的

尝试上传

 

 

 上传成功

来源地址:https://blog.csdn.net/qq_40345591/article/details/127472128

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯