【文件上传绕过】三、黑名单不全绕过

---

一、描述

Web系统可能会采用黑名单的方式进行过滤。而过滤的方式存在一定的缺陷，比如存在过滤的黑名单不全，未考虑大小写，以及对上传文件名单次进行敏感字符清除。

二、实验原理

当下流行的网站开发语言均存在多个可解析后缀，例如asp脚本语言的可解析后缀，不仅仅是.asp，还有.cer，.asa等等。而由于开发人员相关知识或安全意识的局限性（欠缺），导致设置的黑名单不全。这时就可以通过其他可解析后缀绕过黑名单上传可执行的webshell。在实际环境中我们可以将所有的可解析后缀测试一遍，若可以上传且成功解析，则说明黑名单不全。

语言可能解析后缀：

|:--|:--|
|asp/aspx|asp,aspx,asa,asax,ascx,ashx,asmx,cer,aSp,aSpx,aSa,aSax,aScx,aShx,aSmx,cEr|
|php|php,php5,php4,php3,php2,pHp,pHp5,pHp4,pHp3,pHp2,html,htm,phtml,pht,Html,Htm,pHtml|
|jsp|jsp,jspa,jspx,jsw,jsv,jspf,jtml,jSp,jSpx,jSpa,jSw,jSv,jSpf,jHtml|

三、检测代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;            
            if (move_uploaded_file($temp_file,$img_path)) {
                 $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件！';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

代码的中的黑名单只设置了4个默认的后缀，且对大小写做了转换，去掉后缀中的小数点和空格，但是没有考虑其他可解析后缀。这时就可以使用其他解析后缀进行突破。比如当下环境是php，那么我可以上传一个后缀为.php3的webshell。

四、添加黑名单中未做限制的后缀进行绕过

使用burosuite批量测试哪些后缀是可以上传成功的

1、抓包

2、发送intruder

3、使用正则

4、设置payloads

5、开始批量上传

我这里将所有后缀格式全部上传了，以我当前的实验环境phpStudy PHP-5.4.45+Apache访问上传的文件没有解析成功的

注意：除了默认后缀（.php,.asp,.aspx,.jsp等）以外的可解析后缀，在不同的场景下，不一定可以成功解析。这和中间件的配置相关，故需要尝试不同的可解析后缀，并验证好是否可以解析。

网上查阅资料发现需要我们在php_study修改httpd.conf，在这里添加可以被解析的后缀

如下图php2中的代码被成功解析