![0771f78f2c1298de6361c3e54b5b1500.png](https://i-blog.csdnimg.cn/blog_migrate/70b724c264bbd6a88650de30eae2302b.png)
Hello,各位小伙伴大家好~
![09d005bc317d3919408454ccc4492bf6.png](https://i-blog.csdnimg.cn/blog_migrate/e2bc26b5e56d9e9f1afa5204e26303eb.png)
最近有点高产似母猪~
![8dbf62d0d858677bbf7886d51eb5f224.png](https://i-blog.csdnimg.cn/blog_migrate/7d8cb37a496829300aa62e20c382dc5e.png)
那今天就少写点,简单记录一个文件上传漏洞的绕过吧~(机智如我..)
![3ac57a5766be32cbfb3ffdecf81786ba.png](https://i-blog.csdnimg.cn/blog_migrate/3bb44625623c5b52d9bca32cec7ac962.png)
之前也介绍过一期文件上传漏洞:
【文件上传与解析】文件上传与解析漏洞总结v1.0
一起来看看今天的内容吧。
![d5fe1df94bfc5109b59d6e4aa1c96596.png](https://i-blog.csdnimg.cn/blog_migrate/1e87a65fddbb2e6233d15e5f9fa74d57.png)
Part.1
漏洞挖掘
漏洞测试
目标站点登陆后可以上传公司logo:
![a3fa35817b301d83f2fc56fd26a8651e.png](https://i-blog.csdnimg.cn/blog_migrate/11175feb6f929a9cc1ac59665f6039e6.png)
先随意上传一张图片:
![ffb039270b68aa9274c66a6cef79ca13.png](https://i-blog.csdnimg.cn/blog_migrate/e496342642196503165162763d4966be.png)
//可以看到文件被重命名了,但返回了路径。
直接访问路径,可以访问到上传的图片:
![d6092cef2574c337a3947a1fc8a74f55.png](https://i-blog.csdnimg.cn/blog_migrate/288c9e312b2064477c3aa47d0554cd64.png)
尝试上传一个html文件,直接上传会出现报错:
![e8f6e245380ba6556f188e2b47a91865.png](https://i-blog.csdnimg.cn/blog_migrate/33d807b7909b7f3007d6b68af917afbb.png)
将test.html文件后缀修改为.png进行上传可以绕过前端检查:
![cf261cc7cdcec145f278ed36cd8470f2.png](https://i-blog.csdnimg.cn/blog_migrate/aab0a3a0d2bfd6393520e1a3341bc16e.png)
//未报错
此时点击上传并抓包,修改后缀名为.html:
![3e75c0690235dbc3a8373d3cb3dc512f.png](https://i-blog.csdnimg.cn/blog_migrate/6ef84411b8cc2f4dcfe2f4fa1a3b93f8.png)
尝试访问返回的路径,成功访问到:
![2ec2a152d8a196554159b698c858ef62.png](https://i-blog.csdnimg.cn/blog_migrate/5ebe1161ea34eedcbd13e1d158147416.png)
本网站是jsp类型的网站,如果能上传并解析jsp文件,就能getshell了。
使用同样的方法进行上传,抓包修改后缀为.jsp:
![c1a631fbceca7806e29a93e6db59ea5e.png](https://i-blog.csdnimg.cn/blog_migrate/bb442b23400217a6c2df2c4a17df932c.png)
会发现服务器不回包,猜测有黑名单检查后缀,或者被waf过滤了。
![ecd346d7aadd8c4d6fb6b92c11a7f9bc.gif](https://i-blog.csdnimg.cn/blog_migrate/5aa1491578ee1f582b73983bcb65d6ee.gif)
WAF绕过
怀疑是waf检查上传内容进行了过滤,尝试绕过。Boundary字段会标识我们上传的内容:
![860a8eb307dda223fd992a243d9d9449.png](https://i-blog.csdnimg.cn/blog_migrate/b3bd8066ad7ad06751b9d5b5f00a4e6e.png)
有些WAF会根据boundary后面的分隔符查找上传内容的字段进行检查。
如上面的分隔符是:15362835159351028081159173135
那么在分隔符后面加一个空格后,waf就会找不到上传的内容对应的字段了:
![7bd50262f812be4d0ffe922aea47c305.png](https://i-blog.csdnimg.cn/blog_migrate/7deaf42fcb87a61310ed3f96449db9bb.png)
顺利访问到上传的jsp文件:
![c0f597c9c16ac8846f47044503e493d9.png](https://i-blog.csdnimg.cn/blog_migrate/337a3bb9f1f2800391d24ac20ca6ac0b.png)
通过此方法上传webshell,冰蝎连接成功:
![f91672dfc643aa6fb26031e3c4afef6d.png](https://i-blog.csdnimg.cn/blog_migrate/2c53ee9baf21a2ac88a0dd9f8fa93137.png)
完毕~
拓展阅读:
https://www.cnblogs.com/blacksunny/p/8001201.html
![d5fe1df94bfc5109b59d6e4aa1c96596.png](https://i-blog.csdnimg.cn/blog_migrate/1e87a65fddbb2e6233d15e5f9fa74d57.png)
Part.2
结语
好啦,以上就是今天的全部内容了~
![69b44de27bea23ecc9d3b035b29650b2.png](https://i-blog.csdnimg.cn/blog_migrate/bc7a750b1d81f05bef8934e2fcc748c7.jpeg)
如果有问题,欢迎到公众号一名白帽的成长史留言~
Peace!
![7c7d0c5e2fdb4b62a239de60189ba5c8.png](https://i-blog.csdnimg.cn/blog_migrate/1d37d9b771e6dab31786f820bf31fef1.png)
你“在看”我吗?
![2f091d63bdf98d43bc0b0d71d3857c3a.png](https://i-blog.csdnimg.cn/blog_migrate/5d547fb81779b22a421481003a2af70b.png)