渗透测试-文件上传之大小写和window特性绕过(三)

已于 2023-01-20 10:45:15 修改
阅读量2.8k 收藏 3
点赞数 1
分类专栏: 渗透测试 文章标签: 测试工具 运维开发
于 2022-04-16 16:06:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/124213671
版权

文件上传之大小写和window特性绕过

文件上传upload-labs实验室第6,7,8关

前言

一、什么是window特性

window特性就是window对于文件的后缀名自动的修改,例如空格和点,冒号后面的内容都省略掉,可以利用window特性进行绕过。

二、大小写和window特性绕过

1.大小写绕过

第六关没有限制大小写,可以进行大小写绕过
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
上传文件zhi.PhP
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16上传成功。
复制网址到蚁剑进行连接
http://192.168.222.4/upload/upload/202204160654088873.PhP
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
连接成功,成功拿到shell。

这里补充关卡四,实验还有另一个方法,也可以行的通就是利用window特性冒号进行绕过。
第一步
上传58.jpg文件
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
第二步
用burp抓包,修改后缀名,修改为58.php:.jpg重发
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
修改成功,成功上传58.php文件,将58.php:.jpg解析成.php文件,冒号后面的内容都会省略掉,会生成.php文件
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_14,color_FFFFFF,t_70,g_se,x_16
在burp上再修改为58.<进行重发
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
再查看文件大小,原来上传的时候是0kb,再上传是大小增加了
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_17,color_FFFFFF,t_70,g_se,x_16
打开文件查看,里面存在一句话木马

<?php @eval($_POST['chopper']); ?>

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
复制网址上传到蚁剑进行连接
http://192.168.222.4/upload/upload/58.php
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
连接成功,成功拿到shell。

关卡四的实验原理很简单,利用window和php环境的叠加特性,以下符号在正则匹配时的相等性:
双引号’’ = 点号.
大于符号> = 问号?
小于符号< = 星号*

上面则是用了<号,再次上传58.<,重写58.php内容,webshell代码就会写入原来的空文件中。

2.利用空格和点绕过

接下来进行第七关
看一下源代码,发现没有限制空格
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
利用空格进行绕过,在window中,空格会自动省略
上传zhi.PhP文件,进行抓包修改文件后缀名
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
在zhi.PhP后面加上空格和点
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
找到路径
…/upload/202204160636393878.php
复制网址到蚁剑进行连接
http://192.168.222.4/upload/upload//202204160748393371.php
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
连接成功,成功拿到shell。

第八关
查看源码可知没有限制点,利用点进行绕过
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
上传58.jpg文件,进行抓包修改为58.php.
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
复制网址到蚁剑连接
http://192.168.222.4/upload/upload/58.php
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16#pic_center
连接成功,成功拿到shell。

总结

本次实验是对文件上传漏洞进一步提升练习,学会了window特性方法的绕过,介绍了几种常用的绕过方法。

炫彩@之星
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
window 查看文件大小工具 - TreeSizeFreeSetup
10-28
window 查看文件大小工具(TreeSize),window 查看文件大小工具(TreeSize)
react-window:用于渲染大型列表和表格数据的 React 组件-开源
06-04
React 窗口仅通过渲染大数据集的一部分(刚好足以填充视口)来工作。 这有助于解决一些常见的性能瓶颈。 它减少了呈现初始视图和处理更新所需的工作量(和时间)。 它通过避免过度分配 DOM 节点来减少内存占用。 react-window 是对 react-virtualized 的完全重写。 如果 react-window 提供了您的项目需要的功能,强烈建议您使用它而不是 react-virtualized。 但是,如果您需要仅 react-virtualized 提供的功能,您有两种选择。 使用React虚拟化。 (它仍然被许多成功的项目广泛使用!)。 或者,创建一个组件来装饰一个 react-window 原语并添加您需要的功能。 您甚至可能希望将此组件发布到 NPM(作为它自己的独立包)!
最新[web安全-文件上传漏洞解析,及常见绕过方式]简单易懂超友好(1),2024年最新2024年你与字节跳动只差这份笔记
最新发布
2401_84240222的博客
05-09 948
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
react-window-grid:一个具有基于react-window同步的列和行标题的react网格
02-18
@ andrglo / react-window-grid 具有列和行标题的React网格,例如电子表格 在查看演示 安装 # Yarn yarn add react-window # NPM npm install --save react-window 用法 import { ReactWindowGrid } from '@andrglo/react-window-grid' const Grid = props => ( < ReactWindowGrid xss=removed xss=removed xss=removed xss=removed xss=removed> ) ReactDOM . r
gulp-windowed::window:Gulp插件,用于处理和映射指定大小的Windows数组中的文件
05-24
加尔夫开窗 处理和映射Windows /数组中指定大小的文件。 安装 $ npm i gulp-windowed 用法 以下示例将5个markdown文件的组串联在一起。 如果src/posts包含文件post0.md到post99.md ,则下一个管道将接收到包含page0.md到page19.md的流,其中page0.md是post0.md到post4.md的串联。 通过使用可以保证。 import gulp from 'gulp' import sort from 'gulp-sorted' import { windowed } from 'gulp-windowed' import concat from 'gulp-concat' gulp . task ( 'default' , ( ) => gulp . src ( 'src/posts/
node-window-manager:使用Node.js管理Windows,macOS和Linux中的窗口
02-01
节点窗口管理器 在Windows,macOS和Windows中管理Windows Linux (在制品) 安装 要安装此软件包,只需运行 $ npm install node-window-manager 快速开始 下面的示例显示如何获取当前焦点窗口的标题并将其隐藏。 const { windowManager } = require ( "node-window-manager" ) ; const window = windowManager . getActiveWindow ( ) ; // Prints the currently focused window bounds. console . log ( window . getBounds ( ) ) ; // This method has to be called on macOS before changing the window's bounds, otherwise it will throw an error. // It will prompt an accessibility permission r
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
weixin_42075643的博客
03-28 3786
文件上传绕过总结;编辑器文件上传渗透测试记录
文件上传漏洞基础/htaccess重写解析绕过/大小写绕过上传/windows特性绕过
ChenD的学习笔记
10-22 3039
htaccess文件可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能!有的黑名单没有对后缀名大小写进行严格判断(一般不会有),导致可以更改后缀大小写绕过,如PHP、Php、pHp、PhP、pHP....Windows中后缀名.,系统会自动忽略末尾的".",所以可以通过在末尾加.来进行绕过。到这里我们能发现,前面的代码没有一行是没用的,每一行都针对一种上传方法!
常见绕过姿势小结
weixin_45253622的博客
04-01 1万+
一、SQL注入 假设关键词被过滤掉,我们尝试以下绕过方法。 1、大小写绕过注入 id=1 AND 1=1 、id=1 anD 1=2 #查看是否存在注入 id=1 And 1=1 、id=1 aNd 1=2 id=1 Order by 3.... 2、双写绕过注入 id=1 anandd 1=1 、 id=1 anandd 1=2 #过滤and id=1 ororderby 3 #若过滤掉or则双写or即可 3、编码绕过注入 服务器会自动对URL进行一次URL解码,所以需要把关键词编码两次。注意,UR
【web安全】——文件上传绕过方式
Demo不是emo的博客
01-16 1万+
文件上传绕过姿势汇总,持续更新中
文件上传绕过】五、文件后缀大小写绕过
ssrf
10-10 1823
文章目录一、描述二、源码大小写绕过 一、描述 本pass禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.as
第八节 文件上传-绕过黑名单验证($DATA绕过)-01
09-15
文件上传-绕过黑名单验证($DATA绕过文件上传是Web应用程序中常见的功能,但是如果没有正确的验证机制,可能会导致安全漏洞。黑名单验证是一种常见的验证机制,但是如果攻击者能够绕过黑名单验证,那么可能会...
文件上传漏洞条件与简单绕过方式(偏基础)
Pqc010101的博客
03-30 471
1、%00截断和00截断(1.php%00.jpg 传参之后,有些过滤都是直接匹配字符串,他强行匹配到了结尾是.jpg,然后允许上传, 但是php的函数去执行的时候他读取到0x00认为结束了,那么这个文件就变成了1.php,从而实现绕过白名单)上传一个莫名其妙的后缀,比如1.PQCPQC,这个后缀的文件肯定不存在,所以如果能上传成功,说明目标是黑名单检测,如果 上传失败,则目标是白名单检测。
排查中,windows部分浏览器下载文件后缀名被更改
gsls200808的专栏
09-22 3913
最近下载xlm文档结尾的文件是,文件后缀被莫名其妙的改成了xls后缀,下载apk后缀变成了zip后缀,chrome和IE有问题,火狐不受影响,重装系统后正常,正在排查中,估计是系统安装的插件造成的。
Win10 如何批量更改文件扩展名
玩人工智能的辣条哥的博客
02-14 1104
环景: Win10 专业版1904 问题描述: CMD如何批量更改文件扩展名 解决方案: 1.在CMD窗口输入 cd 复制的要重命名扩展名的文件路径,然后点击回车 2.输入 ren *.现有文件扩展名 *.要改成的扩展名 例如: ren *.CHK *.JPG 把CHK格式文件改为JPG格式,点击回车 3.完成 ...
Windows10/11显示文件扩展名 修改文件后缀名教程
热门推荐
我这孩子从小记性就不好,什么东西都要写下来才放心
09-26 4万+
写这篇文章的原因是由于我分享的教程中的文件、安装包基本都是存在阿里云盘的,下载后需要改后缀名才能使用。但是好多同学不会改。。
文件上传的各种绕过方式
qq_59357741的博客
08-11 7795
常见的文件上传的各种漏洞
文件上传漏洞
m0_72324809的博客
05-01 266
攻击者通过上传恶意文件传递给解释器去执行,然后就可以在服务器上执行恶意代码,进行数据库执行,服务器文件管理,命令执行等恶意操作,从而控制整个网站,甚至是服务器,这个恶意的文件 包括( php ,asp ,aspx ,jsp等)又被称WebShell。Apache解析有一个特点,解析文件时是从右往左判断,如果为不可识别解析再往左判断,如aa.php.owf.rar文件,Apache不可识别解析 ‘.owf’和‘.rar’这两种后缀,会解析成.php文件。方法:在本地浏览器客户端禁用JS即可;
文件上传漏洞基础/::$DATA绕过上传/叠加特征绕过/双写绕过
ChenD的学习笔记
10-23 2083
仔细看这个数据包,向test.php中写入
微信小程序 使用 web-view实例上的函数和window函数
05-24
在微信小程序中,可以通过 `web-view` 标签加载一个 web 页面,并且可以在该页面中调用一些函数。同时,也可以在小程序中通过 `wx` 对象调用一些 `web-view` 实例上的函数。 以下是一些示例代码: 1. 在 `web-view` 页面中调用 `window` 上的函数 在 web 页面中,可以使用 `window` 对象定义一个自定义函数,例如: ```js function customFunc() { console.log('custom function called'); } ``` 然后在页面中的某个事件或函数中调用该函数,例如: ```js document.getElementById('btn').addEventListener('click', function() { window.customFunc(); }); ``` 在小程序中,则可以通过 `wx.createWebViewContext` 方法获取 `web-view` 实例的上下文对象,然后使用 `postMessage` 方法向页面发送消息,从而调用该函数,例如: ```js const webViewContext = wx.createWebViewContext('web-view'); webViewContext.postMessage({type: 'callCustomFunc'}); ``` 在 web 页面中,则需要监听 `message` 事件,当收到消息时调用相应的函数,例如: ```js window.addEventListener('message', function(event) { if (event.data.type === 'callCustomFunc') { customFunc(); } }); ``` 2. 在小程序中调用 `web-view` 实例上的函数 在小程序中,可以通过 `wx.createWebViewContext` 方法获取 `web-view` 实例的上下文对象,然后直接调用该对象上的函数,例如: ```js const webViewContext = wx.createWebViewContext('web-view'); webViewContext.postMessage({type: 'callWebViewFunc'}); ``` 在 web 页面中,则需要监听 `message` 事件,当收到消息时调用相应的函数,例如: ```js window.addEventListener('message', function(event) { if (event.data.type === 'callWebViewFunc') { // 调用 web-view 实例上的函数 console.log('web-view function called'); } }); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值