超詳細(xì)的網(wǎng)絡(luò)安全筆記

?

二，文件包含漏洞詳解

二，文件上傳下載靶場(chǎng)安裝

2-1 靶場(chǎng)資源下載

靶場(chǎng)及用到的工具百度網(wǎng)盤(pán)下載地址如下：

百度網(wǎng)盤(pán) 請(qǐng)輸入提取碼百度網(wǎng)盤(pán)為您提供文件的網(wǎng)絡(luò)備份、同步和分享服務(wù)。空間大、速度快、安全穩(wěn)固，支持教育網(wǎng)加速，支持手機(jī)端。注冊(cè)使用百度網(wǎng)盤(pán)即可享受免費(fèi)存儲(chǔ)空間https://pan.baidu.com/s/1E2UWMOFhM9xmju51m8Lu9Q?pwd=8888
提取碼：8888?
現(xiàn)在已經(jīng)準(zhǔn)備好的環(huán)境應(yīng)該如下：

win2003 系統(tǒng)

phpstudy2018? ----- 提供web服務(wù)

Burp Suite抓包工具 ---- 可以安裝在win10虛擬機(jī)或者物理機(jī)上

360zip,notepad++ ---------- 非必需，但是win2003上沒(méi)有解壓縮工具和記事本

2-2?靶場(chǎng)安裝?

?1，從工具文件家里把upload文件夾放到web服務(wù)器根目錄上

?

2，啟動(dòng)我們的web服務(wù)器?

?

3，查看服務(wù)器IP地址

win + r 打開(kāi)命令框輸入cmd回車 ，然后輸入ipconfig

?

4，在物理機(jī)上ip地址加跟目錄訪問(wèn) 192.168.31.159/upload?

?

到此靶場(chǎng)安裝完成?

三，文件上傳下載 1-5?關(guān)

3-1 第一關(guān)：

第一關(guān)是前端校驗(yàn)繞過(guò)，之前學(xué)習(xí)的時(shí)候已經(jīng)學(xué)過(guò)了，可以直接修改代碼繞過(guò)，或者抓包修改繞過(guò)

?

那就源代碼繞過(guò)。鼠標(biāo)右擊，點(diǎn)擊檢查

?

不過(guò)谷歌瀏覽器就是有點(diǎn)問(wèn)題，這樣行不通，可以用火狐瀏覽器試一下

??提示uploads文件夾不存在，請(qǐng)手工創(chuàng)建，所以在upload文件夾下還需要?jiǎng)?chuàng)建一個(gè)upload文件夾

??

創(chuàng)建好了文件夾以后，回到火狐瀏覽器繼續(xù)試一下

??應(yīng)該是上床成功了，我們?nèi)pload文件夾下看看

??確實(shí)已經(jīng)上傳成功了，第一關(guān)就這樣過(guò)了

?

第二種就是抓包修改，你們還記得嗎，先把webshell后綴改為png或jpg，然后上傳的時(shí)候抓包，數(shù)據(jù)包中把后綴也改過(guò)來(lái)，這個(gè)就留給你們自己試一下，之前講的時(shí)候詳細(xì)講過(guò)了的?

3-2 第二關(guān)：

可以查看源碼，發(fā)現(xiàn)它檢查的是mime類型，之前也講過(guò)了這個(gè)如何繞過(guò)，就是抓包改content-type改一下

?

如果直接選擇php結(jié)尾的webshell的話就提示文件類型不正確?

?

?我們上傳的時(shí)候抓包，該文件類型試一試?，源代碼里面已經(jīng)給了白名單

?

?

上傳成功了?

?

3-3 第三關(guān)：

黑名單繞過(guò)之php3、php5

大家可以看看源代碼

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
 ? ?if (file_exists(UPLOAD_PATH)) {
 ? ? ? ?$deny_ext = array('.asp','.aspx','.php','.jsp'); // 黑名單
 ? ? ? ?$file_name = trim($_FILES['upload_file']['name']);
 ? ? ? ?$file_name = deldot($file_name);//刪除文件名末尾的點(diǎn)
 ? ? ? ?$file_ext = strrchr($file_name, '.');
 ? ? ? ?$file_ext = strtolower($file_ext); //轉(zhuǎn)換為小寫(xiě)
 ? ? ? ?$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA，這個(gè)怎么繞過(guò)，后面會(huì)將
 ? ? ? ?$file_ext = trim($file_ext); //首尾去空
 ? ? ? ?if(!in_array($file_ext, $deny_ext)) {
 ? ? ? ? ? ?$temp_file = $_FILES['upload_file']['tmp_name'];
 ? ? ? ? ? ?$img_path =
UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext; ? ? ? ? ? ?
 ? ? ? ? ? ?if (move_uploaded_file($temp_file,$img_path)) {
 ? ? ? ? ? ? ? ? $is_upload = true;
 ? ? ? ? ? } else {
 ? ? ? ? ? ? ? ?$msg = '上傳出錯(cuò)！';
 ? ? ? ? ? }
 ? ? ? } else {
 ? ? ? ? ? ?$msg = '不允許上傳.asp,.aspx,.php,.jsp后綴文件！';
 ? ? ? }
 ? } else {
 ? ? ? ?$msg = UPLOAD_PATH . '文件夾不存在,請(qǐng)手工創(chuàng)建！';
 ? }
}

這里是黑名單驗(yàn)證(‘.asp‘,‘.aspx‘,‘.php‘,‘.jsp‘)，我們可上傳php3,php5...等這樣可以被服務(wù)器解析的后綴名，當(dāng)然，這個(gè)是根據(jù)服務(wù)器的配置來(lái)，如果配置中可以被解析，那么我們就可以上傳這樣的文件，不過(guò)現(xiàn)在apache等默認(rèn)是不支持這種文件解析了。比如下面這種 ?

?

?現(xiàn)在默認(rèn)是解析不了的，除非改apache的配置文件 ?

我們選擇了一個(gè)php3的文件，結(jié)果能上傳成功了

?

但是我們看看它能不能執(zhí)行

192.168.31.159/upload/upload/202310291406466984.php3

??因?yàn)閍pache默認(rèn)不會(huì)運(yùn)行php3,php5結(jié)尾的文件

?

讓apache解析，修改httpd配置文件，如下位置 ?

AddType application/x-httpd-php .php .phtml php3 php5

?

隨便找個(gè)位置，然后加上上面那句話?，保存

?

重啟服務(wù)器?

?

重試以后還是一樣的原因，不過(guò)這種漏洞很少見(jiàn)，一般服務(wù)端不會(huì)開(kāi)啟那個(gè)配置，而且默認(rèn)是關(guān)閉的，所以即便上傳成功了，也沒(méi)辦法以php代碼執(zhí)行，除非想辦法改后綴

?

3-4 第四關(guān)：

黑名單繞過(guò) .htaccess和文件名疊加特性繞過(guò)

分析代碼發(fā)現(xiàn)，這里對(duì)上傳的后綴名的判斷增加了，php3.php5....已經(jīng)不允許上傳，但是沒(méi)有限制.htaccess文件的上傳，所以我們依然可以使用。

?

這是也是黑名單中的一種方法，黑名單中沒(méi)有將這個(gè)后綴名的文件加入黑名單，那么我們就可以利用這種文件來(lái)進(jìn)行攻擊，這種文件是apache的一個(gè)配置文件，里面我們寫(xiě)了三行代碼?？梢哉f(shuō)是，這個(gè)文件中可以改apache的配置，導(dǎo)致apache出現(xiàn)解析漏洞。 ?

<FilesMatch "">
SetHandler application/x-httpd-php
</FilesMatch>

我們只要把這個(gè)文件上傳上去，然后再上傳一個(gè)jpg啊之類的可上傳的后綴名文件上去，那么apache都會(huì)當(dāng)作php文件來(lái)解析，我這里就不上傳了，比如我們?cè)趗pload文件夾中放這么兩個(gè)文件： ?

??

上傳以后訪問(wèn)后的效果?

?

3-5 第五關(guān)：

大小寫(xiě)混合繞過(guò)

?

分析代碼，發(fā)現(xiàn)以.htaccess為后綴的文件已經(jīng)不允許上傳，并且上傳的文件被改名字了，所以我們上面的方式都不行了，但是 $file_ext = strtolower($file_ext); //轉(zhuǎn)換為小寫(xiě) 這一句沒(méi)有了，我們就可以使用文件名后綴大小寫(xiě)混合繞過(guò)，把1.php改為1.phP...來(lái)上傳 ?

比如選了一個(gè)tou.pHP文件就成功上傳了?

?文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-739668.html

到了這里，關(guān)于【網(wǎng)絡(luò)安全 --- 文件上傳靶場(chǎng)練習(xí)】文件上傳靶場(chǎng)安裝以及1-5關(guān)闖關(guān)思路及技巧，源碼分析的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！