正在阅读:

文件上传漏洞演示脚本之js验证

27,571

关于文件上传漏洞,想必玩web安全的同学们都有接触,之前本站也发布过一篇文章介绍文件上传漏洞的各种绕过方法,但是只是有文档却没有演示代码,最近给公司一客户培训,就照文档中的绕过写出了相应的代码,方便我等小菜研究,此次的文章我会连续发几天都是关于如何绕过的,全都是科普文,很简单的,希望小伙伴们喜欢。

关于文件上传漏洞的文章

绕过文件上传验证

为什么文件上传表单是主要的安全威胁

js验证绕过演示代码

<?php
/**
 * Created by 独自等待
 * Date: 14-1-22
 * Time: 下午7:19
 * Name: upload1.php
 * 独自等待博客:http://www.waitalone.cn/
 */
//文件上传漏洞演示脚本之js验证
$uploaddir = 'uploads/';
if (isset($_POST['submit'])) {
    if (file_exists($uploaddir)) {
        if (move_uploaded_file($_FILES['upfile']['tmp_name'], $uploaddir . '/' . $_FILES['upfile']['name'])) {
            echo '文件上传成功,保存于:' . $uploaddir . $_FILES['upfile']['name'] . "\n";
        }
    } else {
        exit($uploaddir . '文件夹不存在,请手工创建!');
    }
    //print_r($_FILES);
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <meta http-equiv="Content-Type" content="text/html;charset=gbk"/>
    <meta http-equiv="content-language" content="zh-CN"/>
    <title>文件上传漏洞演示脚本--JS验证实例</title>
    <script type="text/javascript">
        function checkFile() {
            var file = document.getElementsByName('upfile')[0].value;
            if (file == null || file == "") {
                alert("你还没有选择任何文件,不能上传!");
                return false;
            }
            //定义允许上传的文件类型
            var allow_ext = ".jpg|.jpeg|.png|.gif|.bmp|";
            //提取上传文件的类型
            var ext_name = file.substring(file.lastIndexOf("."));
            //alert(ext_name);
            //alert(ext_name + "|");
            //判断上传文件类型是否允许上传
            if (allow_ext.indexOf(ext_name + "|") == -1) {
                var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
                alert(errMsg);
                return false;
            }
        }
    </script>
<body>
<h3>文件上传漏洞演示脚本--JS验证实例</h3>

<form action="" method="post" enctype="multipart/form-data" name="upload" onsubmit="return checkFile()">
    <input type="hidden" name="MAX_FILE_SIZE" value="204800"/>
    请选择要上传的文件:<input type="file" name="upfile"/>
    <input type="submit" name="submit" value="上传"/>
</form>
</body>
</html>

js验证绕过方法

JS验证是最好绕过,好像有句话是基于客户端的验证都是不安全的,这里我们有多种绕过方法。

如何判断文件上传是基于客户端JS验证?

方法也比较多,比如直接查看网站源文件、使用抓包工具查看客户端是否向服务器提交了数据包,如果没有则是js验证、随便上传一个文件,看返回结果。

文件上传漏洞演示脚本

文件上传漏洞演示脚本

如上图所示,JS验证的会在你提交了上传文件以后,直接弹出一个提示,并终止文件向服务器提交。绕过方法如下:

A、我们直接删除代码中onsubmit事件中关于文件上传时验证上传文件的相关代码即可。

文件上传漏洞演示脚本

B、直接更改文件上传JS代码中允许上传的文件扩展名你想要上传的文件扩展名。

文件上传漏洞演示脚本

C、使用本地提交表单即可,如下图,作相应的更改。

文件上传漏洞演示脚本

D、使用burpsuite或者是fiddle等代理工具提交,本地文件先更改为jpg,上传时拦截,再把文件扩展名更改为asp即可。

文件上传漏洞演示脚本

以上4种方法,大家可以自由使用,都可以绕过本地JS验证。

目前有:16条访客评论,博主回复13

  1. 我是小菜鸡

    很多情况下是不是不能直接改代码?我看都是include其他文件进来

  2. zed
    2014-11-29 02:01

    大神你好,请问你编写py用的是什么编辑器

  3. 风
    2014-11-29 10:34

    真的很牛,小白膜拜大牛中

    • 独自等待
      2014-11-30 10:21

      其实我技术也一般,只不过乐于分享,希望大家多支持。

  4. 人生如戏
    2015-03-25 15:16

    学习了,膜拜前辈

  5. 哈哈
    2015-05-24 20:25

    [/鼓掌] 哈哈,膜拜大神啊

  6. Blood_Zero
    2015-07-07 10:48

    引用了一下你的这篇文章,希望可以交流一下!

  7. 独自等待
    2015-07-07 10:51

    可以引用的,注明出处即可。

  8. oyeahtime
    2015-07-24 13:59

    大牛,你好你这里本地提交表单的中转代码是怎么样?能不能共享出来呀?

    • 独自等待
      2015-07-24 17:04

      这个代码是当时随手写的,没有保存,不过就是最普通的那种文件上传表单,最主要的是action地址要补全成网站绝对路径。你可以对着打。

  9. cracer
    2015-09-25 16:25

    [/坏笑] 交换个链接吧

  10. 小贩
    2016-01-12 10:24

    大神,为什么我wamp中调试的时候,一直显示错误,是哪里有问题啊?

    • 独自等待
      2016-01-12 21:42

      这要看你的错误信息是什么了,直接这样说我也不明白。

      • 小贩
        2016-01-14 20:32

        @独自等待:嗯嗯,解决了,是我弄混了。

        大神,推荐个自学的入门教程吧?还有就是学习的路径?
        我在***网站上看的是下面的学习路径,但是他那个网站需要收费==!对于这种学习路径,不知道适不适合0基础的菜鸟呢?
        【基础知识】
        1、基础语言(ASP、PHP、Linux等)
        2、数据库学习(SQL语言、SQL Server、My SQL、Oracle等)
        3、服务器配置(Linux服务器配置、Windows服务器配置、Iptables配置等)
        【web安全基础】
        1、ASP下安全技术
        2、PHP下安全技术

        • 独自等待
          2016-01-15 09:17

          确定一条学习的主线,从SQL注入这条主线切入的话,就要先学习SQL数据库查询语言,php等,然后xss主线,就需要学习html,javascript 从主线切入,然后遇到不懂的就去学习这样就ok了。

          • 小贩
            2016-01-15 22:52

            @独自等待:嗯嗯嗯,懂了,谢谢!

  11. 啊哈
    2016-01-25 19:34

    试验了方法1和4都可以~~
    请问大牛~~方法3
    本地提交表单 是如何实现的呢?用到AJAX了吗?
    ~方法2~直接更改文件上传JS代码中允许上传的文件扩展名你想要上传的文件扩展名。
    是改的哪个文件呢~~~
    持续关注中~~~请博主大牛解答~~~

    • 独自等待
      2016-01-26 19:34

      本地提交的话,是把action地址修改为上传地址,然后把js验证代码去掉,保存为html文件提交即可。

  12. fangzhang
    2016-06-29 16:32

    大神 我能在qq上直接问你问题吗

    • 独自等待
      2016-07-05 19:22

      可直接在博客回复,我基本上都会回复的。QQ人太多,反而经常忽略。

  13. bput
    2017-01-06 17:07

    hi,我在做上传漏洞测试时,碰到一个问题,就是服务端把上传的文件名做了md5运算,我想知道上传到服务器后的相对路径和文件名,有方法可以获取到吗,之前一个朋友说有exp可以实现,我没搞过,请教大哥?

    • 独自等待
      2017-01-06 18:04

      这个你可以去审计相同的cms,看一下代码里面是怎么写的。

  14. 比斯利
    2017-03-24 20:58

    大佬,每次找东西都能找到大佬的博客的文章,后来自然而然的直接来这寻干货了。您说更换网站后旧版本的内容不保留,这太可惜了,可以做个镜像嘛,供大家学习

    • 独自等待
      2017-03-24 22:17

      暂时不换了,主要没有时间,所以还会保留的,兄弟还可以继续关注。

  15. 历史趣谈
    2017-11-12 18:51

    大佬,每次找东西都能找到大佬的博客的文章,后来自然而然的直接来这寻干货了。您说更换网站后旧版本的内容不保留,这太可惜了,可以做个镜像嘛,供大家学习

    • 独自等待
      2017-11-13 16:21

      目前还是保留的,主要是运营维护太费钱了,阿里云太贵了。2019年后看情况吧,直到不想保留为止。

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌