錄播課件8.2文件解析漏洞二_第1頁
錄播課件8.2文件解析漏洞二_第2頁
錄播課件8.2文件解析漏洞二_第3頁
錄播課件8.2文件解析漏洞二_第4頁
已閱讀5頁,還剩7頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

掌控安全-Web安全微專業(yè)講師:聶風(fēng)8.2文件上傳解析漏洞(二)等待開課今日課程:文件上傳解析漏洞(二)等待其他同學(xué)入場(8.00-8.05)8.05準時開講!#好課程幫忙推#快推薦同學(xué)、同事一起加入班級,來學(xué)習(xí)課程啦!推薦人可以得到500元的福利,被推薦者購買課程時可以享受折扣優(yōu)惠哦!#詳情聯(lián)系輔導(dǎo)員#微信公眾號:掌控安全EDU#歡迎大家添加我的微信號:zkaq-niefeng等待開課本章內(nèi)容文件上傳解析漏洞(二)#本節(jié)主要內(nèi)容總結(jié)一、%00截斷和00截斷二、靶場大闖關(guān)三、條件競爭%00截斷和00截斷

了解%00實際上我們要先了解0x00,0x00實際上是一個十六進制表示方式,實際上就是表示ascii碼值為0,有些函數(shù)在處理這個字符的時候會把這個字符當(dāng)做結(jié)束符,他們就讀取到這里認為這一段結(jié)束了這有什么用呢?在文件上傳時,如果遇到了白名單機制只允許上傳jpg后綴的,在沒有解析漏洞的情況下我們該怎么辦?JPG格式并不會被解析,那么我們需要繞過上傳過濾。假如我寫了1.php%00.jpg傳參之后,有些過濾都是直接匹配字符串,他強行匹配到了結(jié)尾是.jpg,然后允許上傳,但是php的函數(shù)去執(zhí)行的時候他讀取到0x00認為結(jié)束了,那么這個文件就變成了1.php%00實際上和00截斷是一模一樣的原理,只不過%00是經(jīng)過URL編碼的,%00解碼后就是0x00截斷的那個字符

靶場大闖關(guān)Pass-11(%00截斷):

前面講了%00截斷,然后我們現(xiàn)在看題目,他會自動重命名,這是個頭疼的問題,我們該如何解決這里很明顯使用了直接的拼接,然而我們對$_GET['save_path']卻沒有任何檢測,那么我們是可以構(gòu)建的然后再%00,豈不是就可以繞過了。get提交1.php%00然后是不是最后就輸出了1.phpPass-12(%00截斷(二)):

這個東西和第一題很像,無非就是變成了POST方式提交save_path,問題在于POST方式我們用%00卻失效了,這是因為POST傳參并不會URL解碼,所以需要我們該Hex改為00Pass-13-16(圖片馬繞過)(getimagesize圖片類型繞過)(php_exif模塊圖片類型繞過)(二次渲染繞過):

這幾題目實際上不能利用,只是要你上傳一個圖片馬,必須配合文件包含使用條件競爭首先了解一個定義——競爭條件是什么?競爭條件”發(fā)生在多個線程同時訪問同一個共享代碼、變量、文件等沒有進行鎖操作或者同步操作的場景中。開發(fā)者在進行代碼開發(fā)時常常傾向于認為代碼會以線性的方式執(zhí)行,而且他們忽視了并行服務(wù)器會并發(fā)執(zhí)行多個線程,這就會導(dǎo)致意想不到的結(jié)果。線程同步機制確保兩個及以上的并發(fā)進程或線程不同時執(zhí)行某些特定的程序段,也被稱之為臨界區(qū)(criticalsection),如果沒有應(yīng)用好同步技術(shù)則會發(fā)生“競爭條件”問題。在我理解就是兩只哈士奇(線程)同時去搶一個丟出去的飛盤(資源),不知道到底哪只能搶到,此處便形成了競爭。那我們上傳是和誰去競爭?一般而言我們是上傳了文件,上傳了但是最后卻因為過濾或者因為其他原因被刪除了,那么我們可以使用條件競爭,我們實際上是和unlink,是和刪除文件的函數(shù)進行競爭。假如我不斷的上傳發(fā)包,然后我同時也不斷的訪問那個我們上傳上去的文件的地址,我們就開始和服務(wù)器的函數(shù)比手速了,函數(shù)執(zhí)行都是要時間的,如果我這邊上傳上去,且沒有刪除,那個時間可能很短,然后被我訪問到了,豈不是就可以執(zhí)行PHP了~我就比服務(wù)器手速快了~你可以上傳一個php然后訪問后,由這個php去寫一個馬<?php$a='<?php@eval($_REQUEST[\'a\'])?>';file_put_contents('1.php',$a)?>靶場大闖關(guān)Pass-17(條件競爭):

開始和服務(wù)器比手速的時候到了,我們用burp模塊抓包然后去爆破就行,一個不斷上傳,一個不斷訪問Pass-18(條件競爭2)(這題有Bug):

實際上還是條件競爭,只不過做了各種檢查,其實還是一樣的,只不過這次要上傳圖片馬。Pass-19(00截斷):

這里又是一個00截斷,做法和之前的%00截斷沒區(qū)別,第一開始也講了,這兩個其實原理一樣,這里主要是用到了move_uploaded_file(),這是移動文件的函數(shù),上傳上去然后移動到這邊重命名作業(yè)完成11-19關(guān)(第18關(guān)可以不做),靶場倒是沒什么flag好提交的,主要就是寫筆記,寫寫怎么做的和思路優(yōu)先使用傳送門,備用地址因為是Liunx所以有些漏洞不存在互動答疑#同時歡迎大家添加我的微信號:zkaq-niefeng提問時間到!課程回放會在一天內(nèi)上傳至騰訊課堂!本節(jié)課程到此結(jié)束,謝謝大家,下節(jié)見!#好課程幫忙推#快推薦同學(xué)、同事一起加入班級,來學(xué)習(xí)課程啦

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論