文件上传——不为人知的木马上传大法

2023-10-08 21:10

本文主要是介绍文件上传——不为人知的木马上传大法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文件上传第一式(禁JS)

(1)来到第一关,我们查看源代码:

上图可以发现,上传的限制代码块写在js函数内,因此我们可以考虑将js的开关禁掉,直接上传木马的方式,其实,似乎也可以不禁js,直接burp抓包后修改图片类型,一样可以上传成功。

 

(2)上传一句话木马.php,发现直接上传成功,然后在页面进行复制图像地址,可以查看到上传的

<?php eval($_POST['kkk']);?>

 

 

 

(3)使用菜刀对木马进行连接,发现连接成功,第一关顺利通关

 

 

 

 


 

文件上传第二式(改Content-Type) 

 (1)来到第二关卡,这一关又该如何突破呢?老实说如果纯说技术的话,这关能很快速就做出来,但是,我们不能做脚本小子,我们需要了解原理,为什么只需要改一下Content-Type就能绕过上传呢?首先,我们可以观察一下我们上传php木马的回显是什么。

 

 

结果显示:文件类型不正确,请重新上传!

(2)关于Content-Type,这是一种内容类型,一般是指网页中存在的Content-Type,用于定义网络文件的类型和网页的编码,决定浏览器将以什么形式、什么编码读取这个文件,这就是经常看到一些Asp网页点击的结果却是下载到的一个文件或一张图片的原因。(菜鸟教程详解)

 

 

 (3)而原来的文件类型是怎样的呢?Content-Type:multipart/form-data     这又是一种常见的 POST 数据提交的方式。我们使用表单上传文件时,必须让 form 的 enctyped 等于这个值。首先生成了一个 boundary 用于分割不同的字段,为了避免与正文内容重复,boundary 很长很复杂。然后 Content-Type 里指明了数据是以 mutipart/form-data 来编码,以及本次请求的 boundary 是什么内容。

 

 

 (4)然后,Content-Type:application/octet-stream( 文件以二进制流传输,不知道下载文件类型)修改为image/gif就可以上传图片类型,这里我们是将要上传的php文件模拟为图片操作,当然,图片类型有很多种,比如:

 

 

尝试了一下jpeg与png都可以上传成功!

 

可以借鉴一下别人博客的内容:

1.1  application/json:消息主体是序列化后的 JSON 字符串1.2 application/x-www-form-urlencoded:数据被编码为名称/值对。这是标准的编码格式 1.3 multipart/form-data: 需要在表单中进行文件上传时,就需要使用该格式。常见的媒体格式是上传文件之时使用的 1.4 text/plain:数据以纯文本形式(text/json/xml/html)进行编码,其中不含任何控件或格式字符。

 (5)然后,上传成功,使用菜刀直接连接就好!这里我使用的是png类型的!


 

 

 

  如图,连接成功!




文件上传第三式(.htaccess) 

(1)第三关的绕过技巧也特别简单,它的源码显示为不可上传asp、aspx、php、jsp

而第三关的解题思路就是上传一个包含有.htaccess的系统文件,让系统允许上传17kkk.jpg这类木马图片并解析其内容!这一关主要学习文件解析。

 

注明:

.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录

 

配置指令是如何被接收的?
一个.htaccess文件中的配置指令会应用于.htaccess文件的当前目录以及所有子目录。然而,不要忘了可能还有更上层的文件目录中的.htaccess文件。配置指令按照它们被发现的顺序被应用。因此,一个.htaccess文件中的配置指令可能会覆盖更上层的.htaccess文件,以及apache的主配置文件中的配置指令。

 

<FilesMatch "17kkk.jpg">
SetHandler application/x-httpd-php
</FilesMatch>


 (2)此时上传的文件是成功的,同时,它也被重新命名了!这点是由于源代码中对上传的文件进行了重命名操作!

 

(3)此时我们继续上传一个名为17kkk.php的文件,为了与.htaccess文件对应解析,注意将17kkk的后缀修改为jpg进行上传

 

我们的木马图片被上传成功,查看是否能被解析!

 

 

 

 


 

 

文件上传第四式(正则匹配相等性)

首先声明一下环境:php的后端开发+windows系统

双引号" = 点号.
大于符号> = 问号?
小于符号< = 星号*

源代码进行了各种脚本语言的过滤,并且还很恶俗的加上了文件重命名!

 

 (1)因此为我们可以使用这样的正则替换,比如,可以将这个文件修改为任意的文件!先上传一个名为17kkk.php:.jpg的文件,上传成功后会生成17kkk.php的空文件,大小为0KB.然后使用17kkk.<17kkk.<<<17kkk.>>>17kkk.>><后再次上传,重写17kkk.php文件内容,Webshell代码就会写入原来的17kkk.php空文件中。

然后写:test.>>>(重定向符号)

<表示所有 ,test表示test.*

 

(2)将17kkk.php抓包修改为:17kkk.php:.jpg    ,在我们的upload文档内,能很明显地看到一个名为:17kkk.php的空php文档,此时我们将一句话写入到这个php文档内即可!

 

 

 

内容重定向写入的操作似乎相当有用呢!

 

 

(3)此时直接访问此木马文件即可成功获得webshell,注:我的php使用的是5.2.17版本的,当然,现在我们来演示一下高版本是否会触发此类漏洞!

 

(4)附加测试,只报告结果,可以自行测试!Apache+Win的解析漏洞

php-5.4.45亲测有效

。。。。。。。。。。。。。。。省略无数更高版本

      php-5.5.38亲测有效

。。。。。。。。。。。。。。。省略无数更高版本

      php-7.2.10-NTS亲测有效

转载于:https://www.cnblogs.com/cute-puli/p/10921922.html

这篇关于文件上传——不为人知的木马上传大法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/167994

相关文章

Java实现数据库图片上传功能详解

《Java实现数据库图片上传功能详解》这篇文章主要为大家详细介绍了如何使用Java实现数据库图片上传功能,包含从数据库拿图片传递前端渲染,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1、前言2、数据库搭建&nbsChina编程p; 3、后端实现将图片存储进数据库4、后端实现从数据库取出图片给前端5、前端拿到

Vue ElementUI中Upload组件批量上传的实现代码

《VueElementUI中Upload组件批量上传的实现代码》ElementUI中Upload组件批量上传通过获取upload组件的DOM、文件、上传地址和数据,封装uploadFiles方法,使... ElementUI中Upload组件如何批量上传首先就是upload组件 <el-upl

Java文件上传的多种实现方式

《Java文件上传的多种实现方式》文章主要介绍了文件上传接收接口的使用方法,包括获取文件信息、创建文件夹、保存文件到本地的两种方法,以及如何使用Postman进行接口调用... 目录Java文件上传的多方式1.文件上传接收文件接口2.接口主要内容部分3.postman接口调用总结Java文件上传的多方式1

使用Python实现大文件切片上传及断点续传的方法

《使用Python实现大文件切片上传及断点续传的方法》本文介绍了使用Python实现大文件切片上传及断点续传的方法,包括功能模块划分(获取上传文件接口状态、临时文件夹状态信息、切片上传、切片合并)、整... 目录概要整体架构流程技术细节获取上传文件状态接口获取临时文件夹状态信息接口切片上传功能文件合并功能小

Spring MVC 图片上传

引入需要的包 <dependency><groupId>commons-logging</groupId><artifactId>commons-logging</artifactId><version>1.1</version></dependency><dependency><groupId>commons-io</groupId><artifactId>commons-

在SSH的基础上使用jquery.uploadify.js上传文件

在SSH框架的基础上,使用jquery.uploadify.js实现文件的上传,之前搞了好几天,都上传不了, 在Action那边File接收到的总是为null, 为了这个还上网搜了好多相关的信息,但都不行,最后还是搜到一篇文章帮助到我了,希望能帮助到为之困扰的人。 jsp页面的关键代码: <link rel="stylesheet" type="text/css" href="${page

【CTF Web】BUUCTF Upload-Labs-Linux Pass-13 Writeup(文件上传+PHP+文件包含漏洞+PNG图片马)

Upload-Labs-Linux 1 点击部署靶机。 简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 注意 1.每一关没有固定的通关方法,大家不要自限思维! 2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路

Vue3上传图片报错:Current request is not a multipart request

当你看到错误 "Current request is not a multipart request" 时,这通常意味着你的服务器或后端代码期望接收一个 multipart/form-data 类型的请求,但实际上并没有收到这样的请求。在使用 <el-upload> 组件时,如果你已经设置了 http-request 属性来自定义上传行为,并且遇到了这个错误,可能是因为你在发送请求时没有正确地设置

OpenStack:Glance共享与上传、Nova操作选项解释、Cinder操作技巧

目录 Glance member task Nova lock shelve rescue Cinder manage local-attach transfer backup-export 总结 原作者:int32bit,参考内容 从2013年开始折腾OpenStack也有好几年的时间了。在使用过程中,我发现有很多很有用的操作,但是却很少被提及。这里我暂不直接

使用http-request 属性替代action绑定上传URL

在 Element UI 的 <el-upload> 组件中,如果你需要为上传的 HTTP 请求添加自定义的请求头(例如,为了通过身份验证或满足服务器端的特定要求),你不能直接在 <el-upload> 组件的属性中设置这些请求头。但是,你可以通过 http-request 属性来自定义上传的行为,包括设置请求头。 http-request 属性允许你完全控制上传的行为,包括如何构建请求、发送请