黑客入门实践:如何绕过前端过滤上传文件
今天开始,我们就要开始学习具体的漏洞了,但是希望大家学完后,不要轻易\”入侵\”网站哦,当时测试环境下除外。
今天的课程是关于“文件上传漏洞”,据安界网的老师介绍,文件上传漏洞仅次于命令执行危害,也是比较大的漏洞。
文件上传漏洞一般会出现在有上传功能的网站中。
如果一个网站对用户上传的文件没有过滤控制,或者上传功能处存在缺陷,攻击者就可以利用这个漏洞来上传木马,也就是昨天名词介绍里面的Webshell。
所以总而言之,文件上传漏洞形成的主要原因就是没有对上传的文件进行严格的判断检验(如是不是正常的文件上传,而非恶意文件上传),导致攻击者可以上传shell。
它的危害也正如最开始所介绍,文件上传漏洞可能会造成网站被篡改、劫持,服务器被远程控制,数据库被打包(俗称脱裤)等等。
其次文件上传漏洞的利用方式主要分为前端绕过利用、文件名过滤绕过利用、文件头过滤绕过、特性上传漏洞(.htaccess、.user.ini)、文件截断上传、竞争条件文件上传等。
今天老师所讲的就是其中最简单的第一类,前端过滤绕过上传。
前端JS过滤绕过示例代码(靶场源码,可以保存为php文件,自己尝试攻击):
<?php
if (isset($_POST[\’submit\’])) {
if (file_exists(UPLOAD_PATH)) {
$temp_file = $_FILES[\’upload_file\’][\’tmp_name\’];
$img_path = UPLOAD_PATH . \’/\’ . $_FILES[\’upload_file\’][\’name\’];
if (move_uploaded_file($temp_file, $img_path)){
$is_upload = true;
} else {
$msg = \’上传出错!\’;
}
} else {
$msg = UPLOAD_PATH . \’文件夹不存在,请手工创建!\’;
}
}
?>
<div id=\”upload_panel\”>
<ol> <li>
<h3>前端JS绕过练习/h3>
<form enctype=\”multipart/form-data\” method=\”post\” onsubmit=\”return checkFile()\”>
<p>请选择要上传的图片:<p>
<input class=\”input_file\” type=\”file\” name=\”upload_file\”/>
<input class=\”button\” type=\”submit\” name=\”submit\” value=\”上传\”/>
</form>
<div id=\”msg\”>
<?php
if($msg != null){
echo \”提示:\”.$msg;
}
?>
</div>
<div id=\”img\”>
<?php
if($is_upload){
echo \'<img src=\”\’.$img_path.\’\” width=\”250px\”/>\’;
}
?>
</div>
</li>
</ol>
</div>
<script type=\”text/javascript\”>
function checkFile() {
var file = document.getElementsByName(\’upload_file\’)[0].value;
if (file == null || file == \”\”) {
alert(\”请选择要上传的文件!\”);
return false;
}
//定义允许上传的文件类型
var allow_ext = \”.jpg|.png|.gif\”;
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf(\”.\”));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name) == -1) {
var errMsg = \”该文件不允许上传,请上传\” + allow_ext + \”类型的文件,当前文件类型为:\” + ext_name;
alert(errMsg);
return false;
}
}
</script>
第一次看肯定是看的不是很明白,这么一长串其实主要的是最后一段<script>……</script>中的内容,<script>标签中的内容就是Javascript脚本,在本例中进行判断文件的类型(根据后缀即拓展名)是否是\”.jpg|.png|.gif\”;中的一个,如果不是就不允许上传。
那对于前端JS验证怎么样去绕过呢?
原理:JS代码的验证是在前端进行的,我们可以先将木马的后缀改为.jpg等符合上传要求的类型,这样子就可以通过前端的JS验证,然后再通过BUrp抓包拦截数据,将拓展名后缀改成.php,因为后端没有再进行二次验证,所以就可以成功的上传一个后缀为.php的木马文件了。
- Step1.准备图片木马(后缀为.jpg等图片格式,内容为PHP一句话木马)
- Step2.浏览器挂上Burp的代理,准备开始
- Step3.上传包含一句话木马的图片
- Step4.Burp拦截数据,并将红标处的后缀改成.php
- Step5.成功上传,得到shell地址
前端的JS代码是可以被进行修改的。所以可以通过一些工具(如FireBug)对JS文件进行删除、修改即可绕过,达到上传目的。
大家可以自己去用课上的靶场代码,亲自搭建一下试试。如果你在过程中有什么疑问,或遇到其他一些网络安全的问题,可以私信安仔,安仔会尽快回复的,最后祝大家天天都有新进步!
欢迎大家点击关注我的头条号,0基础掌握更多黑客秘籍
私信回复‘’资料‘’领取更多技术文章和学习资料,加入专属的安全学习圈一起进步
安界贯彻人才培养理念,结合专业研发团队,打造课程内容体系,推进实训平台发展,通过一站式成长计划、推荐就业以及陪护指导的师带徒服务,为学员的继续学习和职业发展保驾护航,真正实现和完善网络安全精英的教练场平台;
想实现进高企、就高职、拿高薪,微信关注“安界网”,发送“福利”,获取更多安全福利课程。
即使低学历也可实现职业发展中的第一个“弯道超车”!赶紧私信我!等你来!
跨站脚本攻击成漏洞老大 服务器被植入后门
360互联网安全中心发布《中国网站安全报告(2015)》,对全年网站漏洞、后门情况,漏洞遭受攻击情况、以及个人信息情况等进行了总体研究,报告显示,目前,4成网站存在漏洞,黑客利用漏洞对8万多家网站进行篡改,两成服务器被植入后门,黑客引导网民前往恶意网站。
上百万网站有漏洞 高危漏洞占两成
2015年全年(截至11月18日),360网站安全检测平台共扫描各类网站231.2万个,较2014年的164.2万个增加了40.8%。其中,扫出存在漏洞的网站101.5万个,占比为43.9%,较2014年的61.7万个增长了64.5%。其中,扫出存在高危漏洞的网站30.8万个,占扫描网站总数的13.3%,较2014年的27.9万个增长了10.4%。
从检测出漏洞的危险等级看,高危漏洞占21.7%,中危漏洞占10.2%,低危漏洞占68.1%。
从漏洞数量来看,360网站安全检测平台全年共扫描发现网站高危漏洞265.1万次,约为2014年462.1万次的一半,平均每月扫出高危漏洞约24.1万次;平均每天扫出高危漏洞约0.8万次。
相比于2014年,高中低危漏洞扫出数量大致相当,由于扫描网站数量大大增加,因此,2015年,高中危漏洞的扫出比例大幅下降。
从漏洞类型来看,从网站漏洞类型上看,跨站脚本攻击(XSS)漏洞、异常页面导致服务器路径泄露、SQL注入漏洞等是2015年最为频繁扫出的漏洞类型。三类安全漏洞之和接近网站所有漏洞检出总次数的一半。其中,跨站脚本攻击漏洞占21.9%、异常页面导致服务器路径泄露占11.8%和SQL注入漏洞占16.0%,这相比2014年,“异常页面导致服务器路径泄露”之漏洞是今年的“黑马”漏洞,超过SQL注入漏洞而跃居第二。
排名漏洞名称漏洞级别扫出次数(万)
1跨站脚本攻击漏洞中危270.7
2异常页面导致服务器路径泄露低危197.9
3SQL注入漏洞低危145.9
4发现目录启用了自动目录列表功能低危75.6
5SQL注入漏洞(盲注)高危70.2
6IIS短文件名泄露漏洞低危69.1
7Mysql可远程连接低危56.5
8发现服务器启用了TRACE Method低危42.4
9发现目录开启了可执行文件运行权限低危36.1
10Flash配置不当漏洞低危17.8
两成服务器有被植入后门 黑客密码也用弱口令
黑客入侵网站后,一般有三类常见攻击行为:一是篡改网站内容;二是植入后门程序,三是通过其他方式骗取管理员权限,进而控制网站或进行拖库。
360互联网安全中心对扫描监测的231万个网站进行大数据分析,存在漏洞的网站中被篡改(不包括被植入后门程序)的网站8.4万个,比2014年的17.7万个下降了52.5%,网站遭篡改情况明显好转。
而从每月数据统计来看,2015年前十一个月平均每个月扫描检出被篡改网站1.6万个,比2014年的3.28万,减少了50.5%。
2015年全年(截至11月18日),360互联网安全中心共对21854台网站服务器进行了网站后门检测,覆盖网站322.3万个,扫描发现约4097台服务器存在后门,比2014年的3465台服务器增加了18.2%,约占所有扫描网站服务器的19%。
2015年全年(截至11月18日)360互联网安全中心已扫出各类网站后门文件样本数量多达858.1万个。其中,SEO后门数量占比最高,达45.0%,其次是一句话木马,占比35.0%,多功能木马占比2.0%。与2014年一句话木马占到了网站后门的69.2%不同,今年恶意SEO后门的占比最高。
(下表给出了2015年感染服务器最多的十个后门及其恶意行为。其中仅一个812Byte后门,便感染了3253台服务器。)
排名后门名称后门类型感染服务器个数大小恶意行为描述
1ASP一句话木马asp一句话木马3253812 Byte插入到图片中的一句话木马代码,用来远程执行任意asp代码
2dede一句话木马Php一句话木马2561111 Bytedede建站系统的一句话木马变形,针对dedecms系统漏洞自动被植入
3Asp一句话木马变种asp一句话木马2531122 Byteasp的一句话木马变形,用来远程执行任意asp代码
4Php一句话木马Php一句话木马245929 BytePhp一句话木马,密码511348,黑客可远程执行任意php代码
5Asp一句话木马变种2asp一句话木马231292 Byteasp的一句话木马变形,用来远程执行任意asp代码.可绕过一些专杀
6隐藏型Asp一句话木马asp一句话木马2253311 Byte可隐藏自身的一句话木马后门文件。黑客可执行任意asp代码
7不正常文件包含Php恶意文件包含186444Byte包含不正常文件,可执行任意php代码
8Asp小马Asp木马1701913ByteAsp小马,可执行系统命令以及删除指定文件
9PHP加密后门Php加密后门1599135 Bytephp的ddos攻击脚本,用来攻击远程计算机系统
10Asp seo后门Asp seo后门147718.5 KbAsp seo类木马后门。可生成大量seo类文件
目前,大部门网站后门都暗藏恶意域名链接,这些恶意域名链接会指向一个受黑客控制的恶意网站。下表为2015年网站后门中出现次数最多的10个恶意网站域名。
排名恶意域名感染文件数量
1、http://php1.sh1850.com13437372
2、http:// www.yuanzhangyi.com8231259
3、http://hb.sb9906.com7031676
4、http://295544.com6792239
5、http://news.qu9999.com4312857
6、http://7609000.com4275196
7、http://www.8596666.com3994499
8、http://xksf.awf9.com3597664
9、http://www.478866.com3543291
10、http://933947.com3495562
一般来说,黑客会在植入控制类木马时设置密码,目的是防止其他黑客使用自己植入的后门。但DDoS脚本木马通常则不会设置密码,一般只需要填写要攻击的host和端口,就可以发动流量攻击。
有意思的是,很多网站被成功入侵的原因之一就是管理员使用了弱密码或弱口令。但通过对网站后门的分析研究也发现,黑客在设置后门程序密码时,也会习惯性的使用一些常见密码。
(下表就列出了2015年检出的网站后门中,使用率最高的10个密码及其被扫出的次数。)
排名密码使用次数排名密码使用次数
1、alihack.com2804286pass27721
2、autoshell1820817zzz26792
3、c1243908ninja23767
4、sb576459#12620
5、semhat4158910diaosi12575
因漏洞 个人信息泄露将雪崩出现
2015年,关于网站被拖库、撞库的新闻时时见诸于各类媒体。记者根据报告统计显示,在2015年(截至2015年11月18日)中国最大的漏洞信息响应平台补天平台收录的网站漏洞中,共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能泄露的个人信息量(本章下文简称泄露信息量)高达55.3亿条。这一数字较2014年的23.6亿条翻了一倍还多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民就至少可能泄漏了8条以上的个人信息。
报告指出,目前,个人信息的泄漏已经成为电信骚扰和网络盗号、网络诈骗等网络犯罪频发的首要原因。越来越多的黑客和犯罪分子参与到个人信息的盗窃和交易当中。未来三至五年内,个人信息的泄漏可能仍将呈现不可逆的,雪崩式的增长。
在万物互联时代,物联网、车联网、互联网+金融、O2O创业等领域方兴未艾,事实证明,
厂商重视客户端应用界面的快速上线,而忽略了应用背后常规、基础的安全保障功能,以致对安全投入成本跟不上,导致大量应用及网站服务器端漏洞曝出。
专家说法:大数据保障网络安全
裴智勇博士介绍, 网站漏洞通常为事件型漏洞和通用型漏洞,事件性漏洞不易被自身监测。网站加入补天平台,通常意味着网站会安排专人对补天平台报告的漏洞进行响应和处理,但是,统计显示,加入补天后,网站信息漏洞呈直线下降趋势,安全性大大提高。在2015年被报告漏洞的备案网站中,有22.0%的网站已加入补天平台,还有近八成的网站未加入。
裴智勇博士介绍,,2015年,“数据驱动安全”的全新技术理念正在逐步取代传统的被动防御、静态防御、孤立防御的技术理念,成为广泛认可的重要的网络安全发展趋势,并且已经取得了一系列的重要成果。威胁情报将是未来一两年内,最具发展潜力的新兴安全服务技术。人工智能、机器学习以及大数据可视化等一系列新兴的网络安全技术,将成为网络安全企业竞争力的核心体现。
网站服务器如何防止PHP木马病毒一句话Webshell 注入
相信只要是做网站的朋友对于网站安全很重视,网站安全事情涉及网站以后的发展,如果网站被黑面临着被搜索引擎降权,用户的极度不信任从而导致的用户流失,或者网站被挂信息导致的法律问题,或者黑客直接对你的服务器信息进行监控偷偷使用服务器来进行挖矿,再为严重的就是黑客直接对网站进行删除数据库,删除网站文件等等毁灭性的操作,多年的努力付之东流,可想而知服务器安全问题尤为重要。
网站服务器防止PHP木马病毒一句话Webshell 注入防范措施:
1、配置网站的WEB服务器Apache或Nginx来防止webshell上传。
2、禁用网站服务器的相关函数方式来避免漏洞而达到防止注入。
3、定期利用云锁、安全狗、悬镜等对网站服务器的文件进行查杀。
4、勤快一点计划对网站数据库、网站文件进行备份,下载到本地电脑。
5.安装服务器运维面板-宝塔面板
宝塔面板有专门防御PHP木马病毒一句话Webshell 注入的插件,轻松抵御木马病毒,有效防止sql注入/xss/一句话木马等常见渗透攻击;
6.攻击网站常用的手段无非使用SQL注入、XSS跨站攻击、webshell、远程代码执行、或者办法直接爆破服务器后台,尝试登录网站管理员账号等等方法。
本文作者及来源:Renderbus瑞云渲染农场https://www.renderbus.com
文章为作者独立观点不代本网立场,未经允许不得转载。
投诉举报&联系我们:
