本文总结了CTF比赛中的文件上传绕过常见技术和结合点,包括前台JS验证、后缀名绕过、Content-type检测、头部信息过滤等,并探讨了与文件包含、中间件解析漏洞的结合。提到了IIS 6.0的解析漏洞利用方法,以及多种文件类型的头部信息。
0X00说在前面的话
CTF中或多或少都有点文件上传的题目,而这个又是最好整理的,变化的方式不是很多(至少到目前为止我没有发现太多的姿势。。。。),随意就先整理这个吧。
0x01文件上传绕过的主要姿势有:
A:基于前台JS的验证,这个 不要说就是firebug下修改一下JS文件就绕过了
B:基于文件后缀名的绕过,这里面的主要姿势有:利用后缀名大小写混用绕过、空格或者加点的方式绕过,还有对于PHP来说就是PHP3、PHP4、PHP5这种方式绕过,同时还可以考虑的是%00阶段绕过。这种绕过主要是利用了黑名单以及白名单的特点,去测试系统是采用白名单还是黑名单。
C:基于文件类型的检测:Content-type
D:基于文件头部信息的过滤
0x02:考察结合点:
白名单:控制目录配合解析漏洞 iis6.0: 1.asp/xxx.xxxx 1.asp;.xxx asa,cer,
Iis7.5/nginx<0.8 (php.cgi)
Apache 1.php.rar
与黑名单:
只要不是黑名单内的类型均可
0x03文件包含结合的点主要是中间件的解析漏洞来利用:
中间件的解析漏洞主要有:
A:IIS 6.0解析利用方法有两种
1.目录解析
/xx.asp/xx.jpg
2.文件解析
sp.asp;.jpg
第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。
例如创建目录 sp.asp,那么/sp.asp/1.jpg将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。
第二种,在IIS6.0下,分号后面的不被解析,也就是说sp.asp;.jpg会被服务器看成是sp.asp
还有IIS6.0 默认的可执行文件除了asp还包含这三种
/sp.asa、/sp.cer、/sp.cdx
附录http Content-type类型表:http://tool.oschina.net/commons
文件扩展名 Content-Type(Mime-Type) 文件扩展名 Content-Type(Mime-Type)
.*( 二进制流,不知道下载文件类型) application/octet-stream .tif image/tiff
.001 application/x-001 .301 application/x-301
.323 text/h323 .906 application/x-906
.907 drawing/907 .a11 application/x-a11
.acp audio/x-mei-aac .ai application/postscript
.aif audio/aiff .aifc audio/aiff
.aiff audio/aiff .anv application/x-anv
.asa text/asa .asf video/x-ms-asf
.asp text/asp .asx video/x-ms-asf
.au audio/basic .avi video/avi
.awf application/vnd.adobe.workflow .biz text/xml
.bmp application/x-bmp .bot application/x-bot
.c4t application/x-c4t .c90 application/x-c90
.cal application/x-cals .cat application/vnd.ms-pki.seccat
.cdf application/x-netcdf .cdr application/x-cdr
.cel application/x-cel .cer application/x-x509-ca-cert
.cg4 application/x-g4 .cgm application/x-cgm
.cit application/x-cit .class java/*
.cml text/xml .cmp application/x-cmp
.cmx application/x-cmx .cot application/x-cot
.crl application/pkix-crl .crt application/x-x509-ca-cert
.csi application/x-csi .css text/css
.cut application/x-cut
CTF中或多或少都有点文件上传的题目,而这个又是最好整理的,变化的方式不是很多(至少到目前为止我没有发现太多的姿势。。。。),随意就先整理这个吧。
0x01文件上传绕过的主要姿势有:
A:基于前台JS的验证,这个 不要说就是firebug下修改一下JS文件就绕过了
B:基于文件后缀名的绕过,这里面的主要姿势有:利用后缀名大小写混用绕过、空格或者加点的方式绕过,还有对于PHP来说就是PHP3、PHP4、PHP5这种方式绕过,同时还可以考虑的是%00阶段绕过。这种绕过主要是利用了黑名单以及白名单的特点,去测试系统是采用白名单还是黑名单。
C:基于文件类型的检测:Content-type
D:基于文件头部信息的过滤
0x02:考察结合点:
白名单:控制目录配合解析漏洞 iis6.0: 1.asp/xxx.xxxx 1.asp;.xxx asa,cer,
Iis7.5/nginx<0.8 (php.cgi)
Apache 1.php.rar
与黑名单:
只要不是黑名单内的类型均可
0x03文件包含结合的点主要是中间件的解析漏洞来利用:
中间件的解析漏洞主要有:
A:IIS 6.0解析利用方法有两种
1.目录解析
/xx.asp/xx.jpg
2.文件解析
sp.asp;.jpg
第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。
例如创建目录 sp.asp,那么/sp.asp/1.jpg将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。
第二种,在IIS6.0下,分号后面的不被解析,也就是说sp.asp;.jpg会被服务器看成是sp.asp
还有IIS6.0 默认的可执行文件除了asp还包含这三种
/sp.asa、/sp.cer、/sp.cdx
附录http Content-type类型表:http://tool.oschina.net/commons
文件扩展名 Content-Type(Mime-Type) 文件扩展名 Content-Type(Mime-Type)
.*( 二进制流,不知道下载文件类型) application/octet-stream .tif image/tiff
.001 application/x-001 .301 application/x-301
.323 text/h323 .906 application/x-906
.907 drawing/907 .a11 application/x-a11
.acp audio/x-mei-aac .ai application/postscript
.aif audio/aiff .aifc audio/aiff
.aiff audio/aiff .anv application/x-anv
.asa text/asa .asf video/x-ms-asf
.asp text/asp .asx video/x-ms-asf
.au audio/basic .avi video/avi
.awf application/vnd.adobe.workflow .biz text/xml
.bmp application/x-bmp .bot application/x-bot
.c4t application/x-c4t .c90 application/x-c90
.cal application/x-cals .cat application/vnd.ms-pki.seccat
.cdf application/x-netcdf .cdr application/x-cdr
.cel application/x-cel .cer application/x-x509-ca-cert
.cg4 application/x-g4 .cgm application/x-cgm
.cit application/x-cit .class java/*
.cml text/xml .cmp application/x-cmp
.cmx application/x-cmx .cot application/x-cot
.crl application/pkix-crl .crt application/x-x509-ca-cert
.csi application/x-csi .css text/css
.cut application/x-cut
最低0.47元/天 解锁文章
9428
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
