【渗透测试】任意文件上传下载漏洞原理、复现方式、防范措施

最新推荐文章于 2025-05-05 20:07:34 发布
最新推荐文章于 2025-05-05 20:07:34 发布
阅读量689 收藏 30
点赞数 36
分类专栏: 网络安全 渗透测试 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45747158/article/details/147675806
版权

文章目录

任意文件上传下载漏洞原理、复现方式、防范措施

一、任意文件下载

原理

任意文件下载漏洞(Unrestricted File Download)是由于服务端未对用户请求的文件路径进行严格校验,导致攻击者可通过构造恶意路径(如目录穿越)下载系统敏感文件。常见于文件下载接口(如download.php?file=)未限制访问范围。

一句话:服务端未对文件下载路径进行合法性校验,攻击者通过路径遍历(如../../)或直接指定路径,下载服务器敏感文件。

示例

pikachu 网站,任意文件下载。

通过 ?filename=../../../index.php,下载了首页的php文件。

产生原因

1.传递过来的文件名称没有做任何的过滤

2.没有限定只能在某个目录下下载文件

​ 比如写一个绝对路径,只能在这个绝对路径下下载文件等

复现方式

1、判断是否有下载漏洞

  1. 判断链接
    • download.php?path=
    • down.php?file=
  2. 判断包含参数
    • &src=
    • &path=
    • &filepath=

2、尝试下载文件

  1. 路径穿越攻击

    • 示例:通过filename=../../../../etc/passwd下载Linux用户信息文件。
    • 实战:攻击者利用../跳转至根目录,获取/etc/shadow(密码哈希文件)或/root/.ssh/id_rsa(SSH私钥)。

  2. URL编码绕过

    • 示例:将../编码为%2e%2e%2f%252e%252e%252f(二次编码),绕过简单过滤规则。
    • 实战:构造file=..%252f..%252fetc%252fpasswd绕过WAF检测。

  3. 利用系统特性

    • 示例:下载/var/lib/mlocate/mlocate.db文件(Linux全文件路径数据库),使用locate命令快速定位敏感文件路径。
    • 实战:通过locate mlocate.db .ssh查找SSH密钥文件。

防范措施

  1. 路径过滤与白名单

    • 过滤.././等特殊字符,仅允许访问指定目录(如/downloads/)。

    • 代码示例

      $file = str_replace(array('../', './'), '', $_GET['file']);

  2. 配置访问限制

    • 在PHP中启用open_basedir,限制文件访问范围(如open_basedir = /var/www/html/)。

  3. 日志监控与权限控制

    • 记录文件下载请求日志,监控异常访问(如频繁请求/etc/passwd)。
    • 设置敏感文件权限为600(仅所有者读写)。

二、任意文件上传

原理

任意文件上传漏洞(Unrestricted File Upload)源于服务端未对上传文件的类型、内容、路径进行有效校验,导致攻击者可上传恶意脚本(如Webshell),进而控制服务器。常见于未校验文件扩展名、MIME类型或依赖客户端检测的场景。

一句话:服务端未对上传文件类型、内容或存储路径进行严格校验,攻击者上传Webshell等恶意文件,通过访问该文件执行任意代码。

复现方式

1、寻找上传接口

只要看到有文件上传的地方都可以进行测试

2、前端js校验情况

绕过客户端检测

  • 示例:删除前端JavaScript校验函数,直接上传.php文件。
  • 实战:使用Burp拦截上传请求,修改文件名为shell.php

3、服务端校验情况

检查内容情况
MIME类型欺骗
  • 示例:上传PHP木马时,将Content-Type改为image/png绕过服务端校验。
  • 实战:构造请求头Content-Type: image/png上传恶意文件。
getimagesize()
  1. 直接伪造头部GIF89A
  2. copy /b test.png+muma.txt muma.png
  3. 使用工具增加备注写入一句话木马

利用前提:上传图片马不能直接利用,还需要配合文件包含漏洞利用。

检查后缀情况

解析漏洞利用

  • 示例:利用Apache解析特性(如test.php.abc被解析为PHP文件)。
  • 实战:上传.htaccess文件配置AddType application/x-httpd-php .jpg,使所有.jpg文件以PHP执行。

防范措施

  1. 检查后缀:白名单校验与文件重命名

    • 仅允许上传指定扩展名(如.jpg, .png),使用随机字符串重命名文件(如20250502_abc123.jpg)。

  2. 检查内容:内容检测与二次渲染

    • 使用getimagesize()验证图片真实性,对上传图片进行二次渲染(破坏嵌入的恶意代码)。

  3. 禁用危险解析配置

    • 在Apache/Nginx中关闭.htaccess覆盖权限,避免解析漏洞(如配置php_admin_value engine Off)。

三、综合防御策略

技术层面

  1. 输入过滤与输出编码

    • 使用正则表达式严格校验文件名(如/^[a-z0-9_\-]+\.(jpg|png)$/i)。

  2. 最小权限原则

    • 上传目录设置为不可执行(如chmod 755 uploads/),Web服务器以低权限用户运行。

  3. 安全框架与组件更新

    • 采用成熟框架(如Spring FileUpload)处理上传逻辑,及时修复解析漏洞(如Tomcat、Nginx补丁)。

管理层面

  1. 渗透测试与代码审计

    • 定期扫描文件上传/下载接口,使用工具(如Burp Suite)模拟攻击路径。

  2. 安全意识培训

    • 开发人员需掌握安全编码规范(如OWASP Top 10),避免直接拼接用户输入。

总结

任意文件上传/下载漏洞的核心在于信任用户输入缺乏纵深防御。通过白名单校验、内容检测、权限隔离等技术手段,结合持续的安全测试与团队培训,可有效降低风险。攻防对抗中需关注新兴绕过技术(如AI生成恶意文件),动态调整防御策略。

MSF多种渗透测试实例合集
weixin_45380284的博客
03-05 3868
MSF多种渗透测试实例合集 声明:本文漏洞均为已发布漏洞,仅供学习实验,切勿违法使用,请自己搭建靶机进行学习。 1.(MS08-067)缓冲区溢出漏洞 漏洞简介: MS08-067漏洞的全称为“Windows Server服务RPC请求缓冲区溢出漏洞”,如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程履行代码。在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上,攻击者可能未经身份验证即可利用此漏洞运行任意代码,此漏
渗透测试】文件包含漏洞原理、利用方式防范措施
weixin_45747158的博客
05-03 824
文件包含漏洞的本质是信任未经验证的用户输入,防御需从输入过滤、权限控制、安全编码多维度构建纵深防护。攻击者常通过路径穿越、伪协议、文件上传组合拳突破防线,而防御方需结合白名单、日志监控、框架更新等手段持续对抗。
#渗透测试#红蓝攻防#HW#漏洞挖掘#漏洞复现02-永恒之蓝漏洞
soc的博客
11-28 1310
永恒之蓝(EternalBlue)是一种严重的安全漏洞,主要影响Windows系统的SMB(Server Message Block)协议。该漏洞最早由美国国家安全局(NSA)发现并利用,后来在2017年4月被黑客组织“影子经纪人”(Shadow Brokers)公开,导致全球范围内的大规模网络攻击。
渗透测试】-CVE-2016-4437-Shiro550漏洞复现
weixin_65311462的博客
09-13 1207
Shiro550漏洞(CVE-2016-4437)是Apache Shiro框架中的一个高危反序列化漏洞,主要影响版本为1.2.4及以前版本。该漏洞允许攻击者通过RememberMe功能实现远程代码执行(RCE)。及时更新Apache Shiro框架到最新版本,确保已修复该漏洞。对来自用户的输入进行严格的验证和过滤处理,以防止恶意代码的注入。使用安全的加密算法和密钥管理策略来保护敏感数据。
文件包含漏洞漏洞复现
来日可期的博客
08-31 2657
文件包含漏洞(File Inclusion Vulnerability)是一种常见的Web安全漏洞,它允许攻击者通过构造恶意请求,将恶意代码或者非授权文件包含到应用程序中执行。
深入剖析C#文件上传漏洞原理、危害与防范
远程部署调试 运行安装 项目调试 二次开发 项目技术新 持续迭代 部分源码免费分享
03-24 750
某企业内部使用的一个基于 C# 开发的 Web 应用程序,主要用于员工上传各类工作文档,如项目报告、合同文件等。该应用程序采用了ASP.NET框架,运行在 IIS 服务器上,数据库使用的是 Microsoft SQL Server。随着企业对信息安全的重视,进行了一次全面的安全检测,在检测过程中发现了文件上传功能存在严重的安全漏洞
[Vulhub] Weblogic 漏洞复现
weixin_45605352的博客
09-11 3244
Weblogic 反序列化远程代码执行漏洞(CVE-2019-2725) 0x00 漏洞描述 Weblogic反序列化远程代码执行漏洞。由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送特意构造的恶意HTTP请求,利用该漏洞获取服务器权限,实现远程代码执行。 0x01 影响版本 Oracle WebLogic Server 10.* Oracle WebLogic Server 12.1.3 0x03 漏洞分析 该漏洞存在于wls9-async组件,该组件为异步通讯服务,攻击者可以在/
Web 安全之文件下载漏洞详解
zz12345600354的博客
06-09 4147
引言文件下载漏洞原理文件下载漏洞的危害文件下载漏洞类型文件下载漏洞的利用方法文件下载漏洞示例文件下载漏洞的防护措施漏洞检测与测试小结。
web渗透测试----13、URL跳转漏洞
七天
06-23 4502
一、URL跳转 URL跳转一般分为两种,客户端跳转和服务端跳转,两种跳转对用户来说,都是指向或者跳转到另一个界面,页面发生了变化,但是对开发来说,其区别还是挺大的。 1、客户端跳转 客户端跳转也被称为URL重定向,用户浏览器的地址栏URL会发生明显变化,比如,当前页面为http://www.xxx.com/news.php,当点击登录按钮后,变成了http://www.xxx.com/login.php,且页面发生了变化,这就是客户端跳转。 比如:Index.jsp中 包含重定向语句 <% respo
渗透测试 ( 0 ) --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
freeking101的博客
06-12 4512
渗透测试 --- http协议、XSS、CSRF、文件上传、文件包含、反序列化漏洞
蓝凌OA系统 thirdimsyncforkkwebservice 任意文件读取漏洞分析及复现
12-21
内容概要:本文详细分析了蓝凌OA系统的 thirdimsyncforkkwebservice 任意文件读取漏洞。...阅读建议:读者在学习时应重点理解漏洞原理复现过程,结合实际环境进行测试,并采取相应措施修复潜在的安全风险。
漏洞复现实验报告
qq_45721890的博客
10-30 4041
漏洞复现实验报告 一、 概述 1.1项目背景 织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018 年 1 月 10 日,锦行信息安全公众号公开了一个关于 DeDeCMS前台任意用户密码修
Apache Solr任意文件读取漏洞详解及Python利用
开发者或安全研究人员在研究此EXP时,应当仔细分析这些文件,了解其工作原理,并在合法的前提下尝试复现漏洞,以更好地理解和防范此类攻击。 总的来说,Apache Solr任意文件读取EXP突显了在开发和部署Web应用时,...
IEEE会议:第十届网络安全与信息工程国际会议(ICCSIE 2025)
iaast的博客
04-28 652
2025西部信息工程与技术学术论坛暨第十届网络安全与信息工程国际会议(10th International Conference on Cyber Security and Information Engineering)将于7月23-25日西宁召开。本届会议由北京工业大学、青海理工学院主办,浙江工业大学协办,IEEE计算机学会(IEEE Computer Society)技术赞助。
2025蓝桥杯省赛网络安全组wp
2301_79035389的博客
04-27 1517
这个也是在赛后才想明白,aes加密用的是十六字节,将前十一个都填成AAAA发过去,因为ecb模式是分组加密,每一组的加密过程都是一样的,所以不需要写脚本还原加密过程去破解(其实硬写也做不到,因为拿不到key,当时我觉得用户名肯定是key,不然解不了,于是就一直卡在这一步了,实际上用户名是明文),直接将发过来的加密数据取出后几组就是admin的加密了。首先是一个按位与,我们都知道,如果gift的结果是1,那说明参与按位与的两个数在对应位置上一定是1.这道题想到思路了,但是忘记dfs怎么写了,脚本没写出来。
网络安全零基础培训 L1-9 PHP连接MySQL数据库
2401_86544210的博客
05-01 813
MySQLi是 PHP 用于与 MySQL 数据库进行交互的扩展。
网络安全原理和基本知识点
最新发布
mrzyun0811的博客
05-05 211
Python在网络安全防护中具有广泛的应用,通过利用丰富的库和模块,可以实现网络扫描、漏洞检测、渗透测试、恶意软件分析、防火墙规则管理、Web安全防护、安全日志分析和加密通信等功能,帮助提升网络系统的安全性和抵御潜在威胁的能力。网络安全:保护网络系统和数据免受攻击、损坏或未经授权的访问,确保其机密性、完整性和可用性。使用Python解析和分析系统日志、网络流量日志,检测异常活动,及时发现潜在的安全威胁。使用nmap库进行端口扫描和主机发现,识别网络中的开放端口和服务,发现潜在漏洞
2024 网络安全回顾与 2025 展望:守护数字世界的新征程
weixin_43172311的博客
05-01 778
数据来源:安全内参在当今数字化时代,网络如同一张无形的大网,将世界紧密相连。我们在享受网络带来便捷的同时,也面临着日益严峻的网络安全挑战。今天,就让我们一起来回顾 2024 年网络安全产业的发展态势,并展望一下 2025 年的趋势。
Socat 用法详解:网络安全中的瑞士军刀
vortex5的博客
05-03 1777
socat是一个多功能的中继工具,允许用户在两个数据通道之间建立双向数据流。这些通道可以是文件、管道、设备(如串口或伪终端)、网络套接字(TCP、UDP、Unix 域套接字等),甚至可以通过 SSL/TLS 进行加密传输。与netcat(另一款类似工具)相比,socat安全性增强:支持chroot、用户切换(su)和 SSL/TLS 加密。灵活性:支持多种协议和地址类型,允许复杂的数据流配置。多进程处理:通过fork选项支持并发连接。调试功能:提供详细的日志和数据流监控选项(如-x和-v。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值