我们上传的木马文件,要能够在服务器解析,那么就必须要使得服务器端把我们上传的各种木马文件使用 正确的方式解析才行。服务端的服务软件比如apache、nginx,会根据我们上传文件的后缀来判别使用什么方式解析,如果网站的后端是php开发的,那么如果我们成功上传了.php文件,服务端的服务软件会调用php解析引擎来解析php文件,从而才能达到我们的目的。
1.前端js验证
上传一个图片后,发现下方可以正常显示。由网页的url中,可推断出该网页是php的,尝试上传我的一句话php木马。
上传之后看到有弹框提醒,而且网页并没有加载的过程就快速的提示弹框,我们推断它这里是有前端的js验证,通过f12查看源码后,
发现,在提交之后会触发checkfile()函数,
可以看到这里使用js语法定义了一个函数,用来检查文件的后缀(拓展名),如果不是jpg.gif.png,就会弹框提醒并且return flase。这是前端的验证,如果后缀名不符合规定格式,就会直接return flase,是不会上传到服务器的,直接在前端进行了拦截,而且由于在前端验证,如果格式不符合,也是压根抓不到包的,因为请求压根就不会发出去。·这种前端验证的好处是直接在前端验证进行验证,可以减少服务器的压力。但是如果只有前端验证的话,直接修改前端代码就可以绕过,实际当中应该采取前后端双重验证。
直接删除对应的事件,
这个时候就可以访问了,尝试用蚁剑、菜刀连接
连接成功之后,就拿到了shell权限
这就是一个通过上传web拿到shell权限。
2.服务器端检测mime
mime存放请求头当中的content type类型当中,本题服务端从请求包中取出mime的值,进行黑白名单的匹配。通过修改mime即可绕过。
发现这一关和上一关的前端代码当中都有js验证,但是我们删除了js代码之后还是提示错误
所以我推测这是后端服务器也有验证,查看提示
根据提示可知,这是后端对请求体当中的mime字段的值进行了验证,那我们抓包修改mime
的值即可绕过。
首先要知道mime是由当前网页的前端代码去判定生成并附加到请求包当中的。
当前的mime是php文件的,将它修改为图片的,再重放即可,这里的话服务器它的图片类型当中设置的白名单当中由jpeg而没有jpg,所以要多多尝试。
3.服务端黑名单验证,但是其中的后缀名称不全,可以尝试一些等价拓展名,比如php3,是可以绕过的,但是虽然可以上传成功,但是具体能否被服务端解析,还要看服务端对这种拓展名的解析配置。我们自己靶场的话,可以手动去修改里面的配置文件,
AddType application/x-httpd-php 是用于在Apache Web服务器上配置的一种指令。它告诉服务器如何处理特定类型的文件。具体来说,这个指令用于将文件类型标识为 PHP 脚本文件,以便在通过 HTTP 请求访问这些文件时,服务器知道要将它们解释为 PHP 代码并执行。
4.也是黑名单,但是更加全面。
通过上传hta文件,修改服务端的解析配置。
在上传之前需要修改http config的配置
先要上传一个文件名就是.htaccess的文件,里面写我们要修改的配置,含义就是将我们上传的图片文件使用php解析器进行解析。注意php的版本要小于5.3
先上传这个文件,然后再把我们的木马文件后缀改为图片的再上传就可以了。
5.
不允许上传hta配置文件,但是我们还是可以尝试同类的操作上传配置文件user.ini,但是需要修改php的版本为nts模式,
然后上传一个user.
ini文件之后再上传一个图片文件。
也可以通过大小写混合.pHP。这是利用windos的特性,windos是不区分大小写的。
6.利用空格绕过
这也是windos的特性,在拓展名的最后加上点或者空格,在服务端存储的时候会自动去除,但是在验证的时候,后缀名的php加上一个空格所以可以绕过。
7.也是利用windos的特性,在拓展名的最后加上空格或者点进行绕过。
8.windos下的基于ntfs文件流绕过,但是这里要求php的版本也必须是ntfs的
通过在文件名后面加上::$DATA,绕过,
只需要知道windos服务端在存储的时候会将::$DATA去除,所以上传过去的还是php文件。
9.还是点空格的绕过
10.双写绕过
这一关和之前的判断只是根据黑名单里面的内容进行判断不一样,这里采用替换为空的方式。
但是要了解它是怎样替换的,它会根据替换内容的长度,然后从第一位开始,依次扫描指定长度的字符,如果符号则替换,不符合的话,就找下一个位置。
替换也是有讲究的 phpphp是不行的,而pphphp可以。
3615
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
