RCE/文件包含/文件上传基本利用手法

命令注入

RCE

测试中极少

原理:某些脚本语言中执行系统命令的函数的参数可随意控制

三大类

• 代码过滤不严

• 系统漏洞 bash破壳漏洞(cve-2014-6271)

• 第三方组件 (Wordpress中用来处理图片的imagemagick组件)(java命令注入struts2/elasticsearchgroovy)(thinkPHP命令注入)

利用手法:红队拿到RCE可以反弹shell,测试中执行whoami即可提交

文件包含

原理:开发者将被包含文件设置为变量,攻击者可以控制执行代码文件路径

本地文件包含 :爆破敏感文件

session文件包含

通过phpinfo中session.save_path拿到session 存储位置

在session可被控制的情况下传入恶意代码,包含可执行

远程文件包含: 钓鱼,包含shell

php配置文件

• allow_url_fopen = on (是否允许打开远程文件)

• allow_url_include = on (是否允许include/require远程文件)

PHP伪协议

• php://input entype="multipart/fORM-data"时无效

  • post传值');?>

• php://filter/read=convert.base64-encode/resource=/etc/passwd

• phar://shell.png/shell.php 利用文件上传将恶意代码压缩zip修改后缀为可上传文件,然后利用phar协议解压

• zip://shell.png#shell.png 和phar一样

文件上传

原理:开发者在上传模块没有做好限制,允许攻击者上传脚本文件

文件上传整体就是绕过

• 改Content-Type

• 图片马利用其它漏洞

• 图像渲染

  • 对比渲染前和渲染后16进制哪里不变换哪里

• 条件竞争:先将上传文件存入服务器再判定

  • 上传一个生成木马文件,不断请求执行

解析漏洞

• IIS5.x/6.0

  • 目录解析:文件夹是.asp则其中任何文件被IIS做asp解析
    • /xx.asp/xx.jpg
  • 文件解析:分号后面不解析
    • xx.asp;.jpg

• IIS7.0/IIS7.5/Nginx<8.03畸形解析漏洞,默认Fast-CGI开启状态

  • 上传xx.jpg');?>
    • 访问xx.jpg/.php后,在此目录生成shell.php

• Nginx<8.37零零截断

  • xxx.jpg%00.php

• Apache解析漏洞:从右往左开始判断,可以上传但Apache不可解析

  • xxx.php.safj.sdfal

• Apache中.htaccess可被上传

  • 写入 SetHandler application/x-Httpd-php
    • 上传xxx.jpg木马

修复:

• 和业务确认用白用黑

• 针对单一文件类型上传严格限制文件类型,同时限制上传目录执行权限

• 重命名上传文件,隐藏上传路径,或者上传到文件服务器

来源地址：https://blog.csdn.net/weixin_53396158/article/details/127468731