提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
提示:以下是本篇文章正文内容,下面案例可供参考
文件上传的绕过
一、文件上传的绕过
1:使用%00来绕过(这个经常是绕过白名单的检测)
2:使用0x00来绕过 (这个用在文件命名方面的截断)
3:用空格和点来进行绕过
4:大小写混合来绕过后缀名检测
5:双写绕过
6:利用DATA来绕过
7:文件扩展名绕过
8:当后台对与文件名ph相关的都过滤了时侯
9:当对文件内容检测禁止出现<?的时候
10:文件上传和文件包含漏洞实例
1.使用步骤
(1):首先%00是在地址上进行截断 如果在post使用%00的话要对它进行url编码
因为%00在url中会解码
实质不是%00来进行截断, 其实是%00经过url编码过后的来进行截断, 在bp工具中对%00进行编码过后类似于口的形状
读取到%00的时候就停止了 apache是从右边往左边读取的
这个方法经常用来绕过白名单的
(2):使用0x00来绕过
上传文件假如说是1.php但是经过后台处理就变成了1.php1.jpg这个时候就要用0x00来截断了
(3):使用空格和点来绕过后缀名
在文件后缀名加上空格和点过后,系统会自己把空格和点给过滤掉
但是在对方的后台是对php进行识别
我们加上点和空格过后对方识别到的就是php点和空格
从而进行了绕过
(4):大小写来进行绕过
当对方后台对php进行过滤可以用PhP混写来进行绕过
(5): 双写来进行绕过
当后台对php进行过滤,但是后台只对一次php进行过滤
这个时候我们可以phphpp构造这样的后缀名来进行绕过
(6):利用DATA 来进行绕过
当后台没有过滤掉字符串DATA,并且是windows版本的话加上这个DATA
系统会把数据当作文件流处理,就不会检查它的后缀名
像这样
(7):对文件扩展名绕过
当对php可以解析php后缀还可以解析php4和php5或者phtml
asp可以解析asa,cer,cdx
aspx可以解析ashx和asmx或者ascx
jsp可以解析jspx或者jspf
(8):当后台对与文件名ph相关的都过滤了时侯
我们不能用扩展名就相当于不能够命名文件=不能执行我们写的php代码
存在.htaccess漏洞
在我们原有的基础上加上#define width 16和#define height 7这2个
在apache中会当做注释从而实现绕过 并且还不会破坏文件
例子:#define width 16
#define height 7
<FilesMatch 333.png>
SetHandler application/x-httpd-php
后面做法和.htaccess漏洞做法一样,在上传带有一句话木马的333.png的图片
连接工具就行了
(9):当对文件内容检测禁止出现<?的时候
还可以使用其他的一句话木马 换个思路看看行不行
(10):文件上传和文件包含漏洞实例
先随便上传一个带有一句话木马的图片看到反应如下
如果用bp工具抓包看看数据包
看到这个关键的地方想到可能会有文件包含,然后利用php伪协议去读取一下文件
先读取index.php在进行bas64解码得到
因为在前段提示还有?read.php所以我们在用php伪协议读取文件
在进行解码得到
发现还过滤falg这个关键字
所以说我们要利用文件包含来执行我们的代码
在前面说过不能命名文件名就不能够执行我们的代码
用函数system来找到flag
因为falg是存在的环境变量所以可以用system来找flag
然后
这里返回了路径然后在用文件包含来让它执行我们的代码
用伪协议来读取刚刚上传的文件
falg就在这里
所以说文件上传漏洞还可以搭配其他的漏洞来使用比如说解析漏洞
简单提一下
先看一下是apache还是iis还是nginx
然后在对应版本去搜索 对应着版本来看是否符合 还要看中间件等等
比如说当是nginx解析漏洞的时候
你上传了一句话木马的图片马,返回给你一个路径
你在url中去请求那个路径在后面加/随便写.php
后面你加的东西就是来触发那个解析漏洞的
总结
这是最近学习结果,后面会有所补充,如果有错误请告诉小弟或者有什么见解可以和我分享,一起探讨一起进步。