WEB渗透系统班-文件上传漏洞（二）+文件上传漏洞（三）

+WEB渗透测试工程师系统班250303期

第29节课作业

1. 实操课程内文件上传靶场案例

Less-4

介绍：一个文件里面的内容到底是啥？用惯了Windows的人肯定是看后缀。但是后缀这个东西说改就改，不可靠。所以，最保险的还是把文件类型信息写到文件里面，通常来说，也就是写到文件开头的那几个字节。这是最方便，最快捷的用来辨别一个文件真实内容的方法。

常见的文件头标志如下：

JPEG (jpg)，文件头：FFD8FF

PNG (png)，文件头：89504E47

GIF (gif)，文件头：47494638

HTML (html)，文件头：68746D6C3E

ZIP Archive (zip)，文件头：504B0304

RAR Archive (rar)，文件头：52617221

Adobe Acrobat (pdf)，文件头：255044462D312E

MS Word/Excel (xls.or.doc)，文件头：D0CF11E0

思路一①图片放入二进制编辑工具，末尾加php木马

②可以传成功

PS：图⽚⻢想要解析执⾏的话，那么就需要⽬标有对应的解析漏洞（⽂件包含漏洞，中间件解析漏洞）后续再说

Less4（思路二）

在winodows操作系统里，可以用命令将php木马和图片结合

copycopy 123.png/b+1.php zeke.png

Less4（解决办法）

修改请求体内的⽂件头和 mime ⽂件类型绕过

①劫持上传木马后的包，并修改Content-Type: image/gjf，以及添加GIF89a头

②提交成功

Less-5

双写绕过

①劫持上传php木马后的包，将php后缀修改为pphphp

②上传成功

Less-6

⼤⼩写绕过，Windows 特性 ⼤⼩写不敏感

步骤同上

Less-7

get 请求00 截断绕过（如果是 get 请求的，那么直接写⼊ %00 进⾏截断就可以）

操作同上类似，修改包即可

POST这里，直接修改路径并在后面加%00打断

Less-8

post 请求 00 截断（如果是 post 请求的，那么就需要对 %00 进⾏ url 解码）

①使用bp抓包，并将%00进行url解码

②上传成功

Less7-8小结，%00放到url会自动解，放在POST请求体里则不会，所以在POST请求体里要url解码

Less-9

php后缀平替 phtml pht php3 php4 php5 phs

步骤同上

Less-10

介绍：条件竞争是指一个系统的运行结果依赖于不受控制的事件的先后顺序。当这些不受控制的事件并没有按照开发者想要的方式运行时，就可能会出现 bug。尤其在当前我们的系统中大量对资源进行共享，如果处理不当的话，就会产生条件竞争漏洞。攻击者上传了一个用来生成恶意 shell 的文件，在上传完成和安全检查完成并删除它的间隙，攻击者通过不断地发起访问请求的方法访问了该文件，该文件就会被执行，并且在服务器上生成一个恶意 shell 的文件。至此，该文件的任务就已全部完成，至于后面发现它是一个不安全的文件并把它删除的问题都已经不重要了，因为攻击者已经成功的在服务器中植入了一个 shell 文件，后续的一切就都不是问题了。不过竞争的马因为生存周期短的原因，所以和普通的 Webshell 不太一样，他的使命是在有限的生命中等待一个有缘人的光顾，然后快速生成一个小 Webshell，落红不是无情物，化作春泥更护花（泪目）。这类的 Webshell 内容大体上如下：<?php fputs(fopen('xiao.php','w'),'<?php eval($_REQUEST[1]);?>');?>

原码：

准备一：重复上传2.php的木马包

准备二：重复请求2.php木马包

第三：两个包的payload都设置为 Null payloads和Continue indefinitely

第四：一个上传，一个请求，同时不间断发送请求

第五：成功访问到2.php生成的xiao.php木马文件

PS：总的来说，就是利用可能存在的逻辑漏洞，利用生成木马的木马文件，在该木马文件被检测删除前，访问到该木马文件，就可以凭借这个木马文件生成可以拿到shell的木马文件，所以要重复上传2.php的和包和请求2.php的包同时跑

Less-11

①比对原图和渲染后的图，找到相同部分，插入php木马代码

②上传插入php木马代码后的渲染的图，可以上传成功

③查看php代码是否注入成功

php代码保留下来了，注入成功

一、笔记标题：WEB渗透系统班-文件上传漏洞（二）+文件上传漏洞（三）

二、文章内容：

1. 课程内容概要

        主要知识点1：靶场4-11

        主要知识点2：

        主要知识点3：

2.重点知识与细节

        概念解析

        概念1：条件竞争

        概念2： 00截断

        关键步骤

        步骤1：无

        步骤2：

        步骤3：

        相关代码

3.实操练习 和 解析

在第10关的时候，yakit靶场进行重复发送包的时候出问题，发送不了包，于是换bp进行操作

4.个人总结

        本节课最大的收获是：学习了各种文件上传漏洞的场景

        仍然存在疑问的地方：暂无

        需要课后深入学习的内容：各种上传漏洞的场景