WEB漏洞-文件上传之后端黑白名单绕过
文件上传常见验证:后缀名,类型,文件头
后缀名:黑名单,白名单
黑名单:asp php jsp aspx cgi war…
白名单: txt jpg zip rar gif…
类型:MIME信息
文件头:内容头信息
平台配置文件可能开启了以php解析php3,phtml,php5后缀,所以黑名单中如果疏漏了这些后缀,就可以绕过。(特殊解析后缀)
.htaccess(apache服务器中的一个配置文件)可以通过先上传一个.htaccess文件
<FilesMatch “evil.gif”>
SetHandler application/x-httpd-php #在当前目录下,如果匹配到evil.gif文件,则被解析成PHP代码执行
AddHandler php5-script .gif #在当前目录下,如果匹配到evil.gif文件,则被解析成PHP代码执行
如果代码验证中没有去空格trim的话,可以在数据包中将发送的文件格式设置为.php+空格,代码检测时会检测到为.php+空格,与.php不符,而在上传至系统后会自动将空格去掉。
同理如果代码验证中没有去末尾的 . 的话,也可以抓包修改,与上面原理相同。
可以写作1.php::$DATA,在Windows系统中,且为php文件,会不检测后缀名。
代码中将php替换为空,去空,去点等若都为一次过滤的话,可以通过1.php.空.空,去一次空,去一次末尾点,去一次空得到1.php.,在系统中中执行为1.php,1.phphpp,将php过滤为空,为1.php
%00截断:PHP 5.3以下(路径)上传路径 save_path="…/1.php%00"会截断%00以后内容,所以可以上传,GET请求中会自动解码,但是在POST请求中需要将%00-url编码,%00指的是已经url编码后为%00,而不是字符串中的%00,所以在POST上传时必须上传url编码后为%00的哪个值,即“口”。
1) 0x00截断
0x00是十六进制表示方法,表示ASCII码为0的字符,在一些函数处理时,会把这个字符当作结束符。
0x00可以用在对文件名的绕过上,具体原理:系统在对文件名进行读取时,如果遇到0x00,就会认为读取已经结束。但要注意是文件的十六进制内容里的00,而不是文件名中的00。也就是说系统是按二进制或十六进制读取文件,遇到ASCII码为0的位置就停止,而这个ASCII码为0的位置在十六进制中是00。
总之就是利用ASCII码为0这个特殊字符,让系统认为字符串已经结束。
2) %00截断
url发送到服务器后被服务器解码,这时还没有传到验证函数,也就是说验证函数里接收到的不是%00字符,而是%00解码后的内容,即解码成了0x00。总之就是%00被服务器解码为0x00发挥了截断作用。
3) 0x0a
0x0a是十六进制表示方法,表示ASCII码为/n的换行字符,具体为换行至下一行行首起始位置。
