文件上传漏洞:突破JS验证详解

  • 内容
  • 相关
et_highlighter51

关于文件上传漏洞不多说了吧,搞web安全的都应该接触过,在上传漏洞中我们常碰到的一种js验证比较烦人,对于网站是否启用的js验证的判断方法,无法就是利用它的判断速度来判断,因为js验证用于客户端本地的验证,所以你如果上传一个不正确的文件格式,它的判断会很快就会显示出来你上传的文件类型不正确,那我们就能判断出该网站是使用的js验证,ok,今天就教大家怎么突破它。
废话不多说了吧,直接上测试用的代码吧。


js验证绕过演示代码:

<?php
/**
 * Created by cracer
 * Date: 15-10-7
 * Time: 下午1:19
 * Name: upload1.php
 * cracer:http://www.cracer.com/
 */
//文件上传漏洞演示脚本之js验证
$uploaddir = 'uploads/';
if (isset($_POST['submit'])) {
 if (file_exists($uploaddir)) {
 if (move_uploaded_file($_FILES['upfile']['tmp_name'], $uploaddir . '/' . $_FILES['upfile']['name'])) {
 echo '文件上传成功,保存于:' . $uploaddir . $_FILES['upfile']['name'] . "
";
 }
 } else {
 exit($uploaddir . '文件夹不存在,请手工创建!');
 }
 //print_r($_FILES);
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
 "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
 <meta http-equiv="Content-Type" content="text/html;charset=gbk"/>
 <meta http-equiv="content-language" content="zh-CN"/>
 <title>文件上传漏洞演示脚本--JS验证实例</title>
 <script type="text/javascript">
 function checkFile() {
 var file = document.getElementsByName('upfile')[0].value;
 if (file == null || file == "") {
 alert("你还没有选择任何文件,不能上传!");
 return false;
 }
 //定义允许上传的文件类型
 var allow_ext = ".jpg|.jpeg|.png|.gif|.bmp|";
 //提取上传文件的类型
 var ext_name = file.substring(file.lastIndexOf("."));
 //alert(ext_name);
 //alert(ext_name + "|");
 //判断上传文件类型是否允许上传
 if (allow_ext.indexOf(ext_name + "|") == -1) {
 var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
 alert(errMsg);
 return false;
 }
 }
 </script>
<body>
<h3>文件上传漏洞演示脚本--JS验证实例</h3>
<form action="" method="post" enctype="multipart/form-data" name="upload" onsubmit="return checkFile()">
 <input type="hidden" name="MAX_FILE_SIZE" value="204800"/>
 请选择要上传的文件:<input type="file" name="upfile"/>
 <input type="submit" name="submit" value="上传"/>
</form>
</body>
</html>

文件上传漏洞:突破JS验证详解 渗透测试 第1张

“/”应用程序中的服务器错误。

由于连接方在一段时间后没有正确答复或连接的主机没有反应,连接尝试失败。 164.132.80.104:80

说明: 执行当前 Web 请求期间,出现未经处理的异常。请检查堆栈跟踪信息,以了解有关该错误以及代码中导致错误的出处的详细信息。

异常详细信息: System.Net.Sockets.SocketException: 由于连接方在一段时间后没有正确答复或连接的主机没有反应,连接尝试失败。 164.132.80.104:80

源错误:

执行当前 Web 请求期间生成了未经处理的异常。可以使用下面的异常堆栈跟踪信息确定有关异常原因和发生位置的信息。

堆栈跟踪:


[SocketException (0x274c): 由于连接方在一段时间后没有正确答复或连接的主机没有反应,连接尝试失败。 164.132.80.104:80]
   System.Net.Sockets.Socket.DoConnect(EndPoint endPointSnapshot, SocketAddress socketAddress) +208
   System.Net.ServicePoint.ConnectSocketInternal(Boolean connectFailure, Socket s4, Socket s6, Socket& socket, IPAddress& address, ConnectSocketState state, IAsyncResult asyncResult, Exception& exception) +464

[WebException: 无法连接到远程服务器]
   System.Net.HttpWebRequest.GetResponse() +6558436
   Img_Save.SaveImg.Page_Load(Object sender, EventArgs e) +187
   System.Web.Util.CalliEventHandlerDelegateProxy.Callback(Object sender, EventArgs e) +51
   System.Web.UI.Control.OnLoad(EventArgs e) +92
   System.Web.UI.Control.LoadRecursive() +54
   System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +772


版本信息: Microsoft .NET Framework 版本:4.0.30319; ASP.NET 版本:4.0.30319.36400
" />

代码保存为upload.php即可,然后还有在同级目录下创建个uploads文件夹,用来存放上传的文件。

js验证绕过方法

JS验证是最好绕过,好像有句话是基于客户端的验证都是不安全的,这里我们有多种绕过方法。

如何判断文件上传是基于客户端JS验证?


方法也比较多,比如直接查看网站源文件、使用抓包工具查看客户端是否向服务器提交了数据包,如果没有则是js验证、随便上传一个文件,看返回结果。

文件上传漏洞:突破JS验证详解 渗透测试 第2张


如上图所示,JS验证的会在你提交了上传文件以后,直接弹出一个提示,并终止文件向服务器提交。绕过方法如下:


A、我们直接删除代码中onsubmit事件中关于文件上传时验证上传文件的相关代码即可。

文件上传漏洞:突破JS验证详解 渗透测试 第3张ok我们用firebug去掉后

文件上传漏洞:突破JS验证详解 渗透测试 第4张文件上传漏洞:突破JS验证详解 渗透测试 第5张B、直接更改文件上传JS代码中允许上传的文件扩展名你想要上传的文件扩展名。

文件上传漏洞:突破JS验证详解 渗透测试 第6张


ok以下两种方法操作也比较简单我这里就不演示了

C、使用本地提交表单即可,作相应的更改。

D、使用burpsuite或者是fiddle等代理工具提交,本地文件先更改为jpg,上传时拦截,再把文件扩展名更改为asp即可。


以上4种方法,大家可以自由使用,都可以绕过本地JS验证。

文件上传漏洞:突破JS验证详解

  • 打赏支付宝扫一扫
  • 打赏微信扫一扫
  • 打赏企鹅扫一扫

本文标签:

版权声明:若无特殊注明,本文皆为《Mushroom》原创,转载请保留文章出处。

本文链接:文件上传漏洞:突破JS验证详解 - http://www.0xmg.com/post-1545.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注