文件上传漏洞“%00截断”绕过

网上传说的 %00截断 其实非常的简单,没有想像中的那么高深,以下给大家简单的讲解一下!还有一点需要注意,关于如何判断文件上传漏洞是否能用%00截断绕过?这个只能试一下才能知道结果,不行的话只能换其它的方法喽!

 

一、%00截断原理

www.xxx.com/qq.jpg

www.xxx.com/qq.php%00.jpg => www.xxx.com/qq.php

 

二、文件上传漏洞 %00截断 绕过正确用法

这里需要用上抓包工具,我这里以“BurpSuite ”抓包工具为例,具体步骤如下:

 

1、 %00截断 GET 用法

当是GET接收情况的时候,直接用 %00 就可以了。

错误的 %00截断 用法

 

某些情况下,直接在文件名中加 %00 进行截断这是不对的,因为 %00 会以字符串的形式解析了。

如果没有做后缀名判断的情况下,那样会变成:

www.xxx.com/qq.php%00.jpg => www.xxx.com/qq.php%00.jpg

也就是所谓的任意文件上传漏洞了,这又是另一个概念了。

 

如果做了后缀名判断的情况下,那样是会直接报错,不让你上传,因为你的后缀是 .jpg,不是 .php;

 

2、%00截断 POST 用法

当是POST接收情况的时候,正确的用法应该是我们需要对 %00 做一个URL解码,也就是URL-decode;

%00截断 URL-decode

 

为什么两者用法不同?

这是因为 %00 截断在 GET 中被 url 解码之后是空字符。但是在 POST 中 %00 不会被 url 解码,所以只能通过 burpsuite 修改 hex 值为 00 (URL decode)进行截断。

 

注意:

有些时候数据包中必须含有上传文件后的目录情况才可以用。

例如:数据包中存在 path: uploads/,那么攻击者可以通过修改path的值来构造paylod: uploads/aa.php%00

 

像以下这个PHP文件上传检测代码,这个就需要有上传文件后的目录才能用。

$uploaded_name = $_FILES[ 'file' ][ 'name' ];
$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); // 提取上传文件后缀
$target_name = md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; // 对上传文件进行重命名
if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" )) 
{  
    move_uploaded_file($_FILES["file"]["tmp_name"],
    $dir . $target_name); // 将临时文件移动到指定目录
    $result = $dir . $target_name;
    echo "Stored in: $result"; 
}
else{
    echo "Invalid file";
}

 

为什么修改path才可以?

因为程序中检测的是文件的后缀名,如果后缀合法则拼接路径和文件名。

那么,攻击者修改了path以后的拼接结果为:uploads/aaa.php%00/20190818.php

移动文件的时候会将文件保存为:uploads/aaa.php

从而达到Getshell效果。

付杰
52ABP ASP.NET Core与Angular开发教程
  • ¥ 398.0元
  • 市场价:598.0元
iOS应用开发指南第7季:iOS常用设计模式
  • ¥ 69.0元
  • 市场价:99.0元
Java全栈教程
  • ¥ 298.0元
  • 市场价:498.0元
Golang从入门到精通视频教程
  • ¥ 499.0元
  • 市场价:499.0元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: