POST /common/sysFile/upload HTTP/1.1Host: whfw.rcsd.cnCookie: TYSBID=17ed5339-b0d9-4a9d-841f-c6f112ae20deUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0Accept: application/json, text/javascript, */*; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateX-Requested-With: XMLHttpRequestContent-Type: multipart/form-data; boundary=---------------------------14611432123277508856115343063  给出服务器表单Content-Length: 254Origin: https://whfw.rcsd.cnReferer: https://whfw.rcsd.cn/common/sysFileSec-Fetch-Dest: emptySec-Fetch-Mode: corsSec-Fetch-Site: same-originTe: trailersConnection: close000000000000000000000000000~~~-----------------------------14611432123277508856115343063     开始结束位置Content-disposition: form-data; name="file"; filename="jsp"Content-Type: application/txt         验证文件类型1111                      webshell内容-----------------------------14611432123277508856115343063--黑白名单绕过上传常见验证：后缀名：黑名单、白名单文件头：内容头信息文件类型：MIME信息黑名单：明确不能上传的后缀php，jsp，asp,aspx,cgi,war等推荐--白名单：明确能够上传的后缀jpg，png，gif,zip,rar 等等【别名】asp  asa  cer   cdxaspx  ashx  asmx  ascxjsp jspx jspf jspasp asa cer aspxphp php2 php3 php4 php5  phps phtml pht  htm php7 html php1exe exee php环境尽量选低，要不然会出现访问木马文件出现下载的现象apache服务器能够使用php解析.phtml .php3 .php5 前提是apache的httpd.conf中有如下配置代码AddType application/x-httpd-phpAddType application/x-httpd-php .php .phtml .php3 .php5.htaccess(分布式配置文件)解析局部变量成功作用于当前目录下文件的两个条件（1.启用AllowOverride，2.开启mod_rewrite模块）修改httpd.conf:1、Allow Override All2、LoadModule rewrite_module modules/mod_rewrite.so是Apache服务器中的一个配置文件负责相关目录下的网页配置。针对每个目录改变配置的方法可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。把.htaccess文件放在一个目录中，其中里面的指令作用于此目录及其所有子目录。意味着允许用户自己修改服务器的配置，可能会导致某些意想不到的修改。安全起见，应该尽可能地避免使用.htaccess文件。<FilesMatch "myqf">SetHandler application/x-httpd-php</FilesMatch>作用是文件名包含myqf的都会以php代码执行.user.ini文件  所有的php文件都自动包含jpg文件1、服务器脚本语言为PHP2、服务器使用CGI／FastCGI模式3、上传目录下要有可执行的php文件 配置了黑名单，拒绝了几乎所有有问题的后缀名，除了.htaccess先上传一个.htaccess文件 上传后，403无法访问上传一个myqf.jpg文件，内容包含<?php phpinfo(); ?>1、apache服务器。2、能够上传.htaccess文件，一般为黑名单限制。3、AllowOverride All，默认配置为关闭None。4、LoadModule rewrite_module mod  ules/mod_rewrite.so #mod_rewrite模块为开启状态5、上传目录具有可执行权限 windows特性绕过常规的绕过手法末尾加点号、     windows下NTFS 特征，导致上传文件xxx.php::$DATA = xxx.php字符串::$DATA在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名且保持::$DATA之前的文件名，他的目的就是不检查后缀名例如:"phpinfo.php::$DATA“Windows会自动去掉末尾的::$DATA变成"phpinfo.php”windows特性，会自动去掉后缀名中最后的空格将文件后缀改为.php+空格，绕过黑名单windows特性，会自动去掉后缀名中最后的”.”，可在后缀名中加”.”绕过。windows下文件名结尾加入“.”、“空格”、“<”、“>”、“>>>”、“0x81-0xff”等字符，最终生成的文件均被windows忽略。fuzz正斜杠可以绕过/windows下文件名不区分大小写，linux下文件名区分大小写上传.PHP文件windows系统下，文件后缀名最后一个点会被自动去除，如果在上传中，没把末尾的.去除则会绕过。例如 windows下新建一个1.php. 文件，会自动更正为1.php用sss.php..代码不限制后缀名   Waf 绕过  后缀名jsp，jspx会拦截，但是jspp，jspxx等不会拦截https://blog.csdn.net/include_voidmain/article/details/124961147绕过JSP标记检测jspEL表达式绕过jspx命名空间绕过利用${}标记${Runtime.getRuntime().exec(request.getParameter("x"))}深信服waf过滤了一句话变形绕过命名空间的特性使用自定义的命名空间，替换掉jsp的关键字，将原本的替换成jsp:scriptletTomcat与Apache不同根目录并不是以代码运行位置决定所在的目录，而是默认为Tomcat/bin作为根目录编码或加密绕过waf写入shellfuzz 五层base64编码即可绕过RSA、AES等加密算法绕过一次过滤与循环过滤(递归过滤)作用：将字符串里的php替换为空一次过滤：1.php --> 1.[空]1.phphpp --> 1.php  双写绕过后缀改为.pphphp绕过循环过滤(递归过滤)1.php --> 1.[空]1.phphpp --> 1.[空]点+空格+点绕过（循环递归过滤）原理是1.php+(点+空格+点)上传时，结束上面的操作后，$file_name值为test10.php.空格，$file_ext值为.因为.不在黑名单之中，所以可以进入第三条if语句存储文件时是以$file_name变量的值，test10.php.空格作为文件名因为文件名不符合windows规则，上传到服务器之后会保留文件名test10.php%00截断与0x00截断前提：php的版本要小于5.3.4并且魔术引号必须关闭(php的magic_quotes_gpc为OFF状态)在magic_quotes_gpc=On的情况下，如果输入的数据有单引号（’）、双引号（”）、反斜线（）与 NUL（NULL 字符）等字符都会被加上反斜线。%00：主要针对地址上的截断 (url)0x00截断：主要针对文件命名上的截断0x：16进制表示00：表示00x00：就是代表16进制的0有的函数在处理这个字符时，会当做结束符%00 和 00 是一样的，只是在get提交时，经过url编码后，00就成了%00get会自动解码一次，而post方式不行，需要手动解码Get请求方式是优先于Post服务端优先接收get 方式提交的参数get url: /upload/1.php%00post : /upload/1.php+ 解码后的%00把目录截断成1.phppost 的内容自动转到1.php 里 POST不会像GET对%00进行自动解码 需要在二进制中进行修改1.php%00    -->16进制返回路径1.通过查看network1.jpg 的请求 消息头2.抓包 看返回包的路径【任意文件上传 waf】数据包中存在非法内容时，waf会对数据包进行阻断。拦截  非法后缀名拦截文件内容绕过硬件waf首先对文件后缀名的限制进行bypass修改Content-TypeContent-Type: multipart/form-data; boundary=----WebKitFormBoundarynyPW4lGbujY0nBEL在"boundary="和"----"中间插入tab键Content-Type: multipart/form-data; boundary=    ----WebKitFormBoundarynyPW4lGbujY0nBEL对文件内容检测进行绕过<%response.write("hello world")%>waf对 <% %> 进行了匹配无法绕过waf的规则，只能从waf缺陷使用垃圾数据构造一个大的数据包，然后把恶意代码藏到里面由于waf检测要考虑内存占用，带宽占用等等不可避免的问题，因此有几率绕过waf检测。成功上传使用客户端连接超时，看来waf还对常见的客户端流量特征进行了查杀.可以使用去除特征的客户端连接，或者使用中转的方式绕过。上传一个命令执行功能的小马小马中存在函数代码内容，触发了代码层waf。免杀小马看看拦截的规则小马分的多段，一段一段的添加测试，寻找拦截的点发现waf并没有做大小写的判断拦截的参数大小写改变一下就能bypass比如修改Request为RequesT文件头：塒NG：png的文件头xFFxD8：jpg的文件头GIF89a：gif的文件头每种类型的文件都有自己固定的文件头信息，比如GIF89a是gif图片的文件头信息，可以通过手动在脚本文件前面增加文件头的方式绕过MIME（multipurpose Internet mail extensions）多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。【文件类型MIME-Type绕过】数据包中的Content-Type就是MIME，通过格式猜测哪种类型的MIME{".3gp",    "video/3gpp"},  {".apk",    "application/vnd.android.package-archive"},  {".asf",    "video/x-ms-asf"},  {".avi",    "video/x-msvideo"},  {".bin",    "application/octet-stream"},  {".bmp",    "image/bmp"},  {".c",  "text/plain"},  {".class",  "application/octet-stream"},  {".conf",   "text/plain"},  {".cpp",    "text/plain"},  {".doc",    "application/msword"},  {".docx",   "application/vnd.openxmlformats-officedocument.wordprocessingml.document"},  {".xls",    "application/vnd.ms-excel"},   {".xlsx",   "application/vnd.openxmlformats-officedocument.spreadsheetml.sheet"},  {".exe",    "application/octet-stream"},  {".gif",    "image/gif"},  {".gtar",   "application/x-gtar"},  {".gz", "application/x-gzip"},  {".h",  "text/plain"},  {".htm",    "text/html"},  {".html",   "text/html"},  {".jar",    "application/java-archive"},  {".java",   "text/plain"},  {".jpeg",   "image/jpeg"},  {".jpg",    "image/jpeg"},  {".js", "application/x-javascript"},  {".log",    "text/plain"},  {".m3u",    "audio/x-mpegurl"},  {".m4a",    "audio/mp4a-latm"},  {".m4b",    "audio/mp4a-latm"},  {".m4p",    "audio/mp4a-latm"},  {".m4u",    "video/vnd.mpegurl"},  {".m4v",    "video/x-m4v"},   {".mov",    "video/quicktime"},  {".mp2",    "audio/x-mpeg"},  {".mp3",    "audio/x-mpeg"},  {".mp4",    "video/mp4"},  {".mpc",    "application/vnd.mpohun.certificate"},         {".mpe",    "video/mpeg"},    {".mpeg",   "video/mpeg"},    {".mpg",    "video/mpeg"},    {".mpg4",   "video/mp4"},     {".mpga",   "audio/mpeg"},  {".msg",    "application/vnd.ms-outlook"},  {".ogg",    "audio/ogg"},  {".pdf",    "application/pdf"},  {".png",    "image/png"},  {".pps",    "application/vnd.ms-powerpoint"},  {".ppt",    "application/vnd.ms-powerpoint"},  {".pptx",   "application/vnd.openxmlformats-officedocument.presentationml.presentation"},  {".prop",   "text/plain"},  {".rc", "text/plain"},  {".rmvb",   "audio/x-pn-realaudio"},  {".rtf",    "application/rtf"},  {".sh", "text/plain"},  {".tar",    "application/x-tar"},     {".tgz",    "application/x-compressed"},   {".txt",    "text/plain"},  {".wav",    "audio/x-wav"},  {".wma",    "audio/x-ms-wma"},  {".wmv",    "audio/x-ms-wmv"},  {".wps",    "application/vnd.ms-works"},  {".xml",    "text/plain"},  {".z",  "application/x-compress"},  {".zip",    "application/x-zip-compressed"},  {"",        "*/*"}  $_FILES[‘upfile’]访问文件的有关信息MIME-Type验证黑名单绕过 特殊解析后缀.htaccess绕过大小写绕过后缀名空格绕过点绕过::$DATA绕过点+空格+点绕过（循环递归过滤）双写绕过%00截断 GET请求%00截断 POST请求 复制前端代码（源代码）修改action=删除check js函数

概述

文件上传漏洞是指用户上传了一个可执行的脚本文件，

并通过此脚本文件获得了执行服务器端命令的能力。

常见场景是web服务器允许用户上传图片或者普通文本文件保存，
而用户绕过上传机制上传恶意代码并执行从而控制服务器。

这种漏洞是getshell最快最直接的方法之一
上传文件操作本身是没有问题的，问题在于文件上传到服务器后，服务器怎么处理和解释文件。

一.常见校验上传文件的方法

客户端校验

1.通过javascript来校验上传文件的后缀是否合法，可以采用白名单，也可以采用黑名单的方式

• 判断方式：在浏览加载文件，但还未点击上传按钮时便弹出对话框，内容如：只允许上传.jpg/.jpeg/.png后缀名的文件，而此时并没有发送数据包 。

服务器端校验

1.校验请求头 content-type字段

• 用PHP检测
  

2. 正则匹配来判断文件幻数(文件头)内容是否符合要求

一般来说属于白名单的检测，常见的文件头（文件头标志位）如下

（1）.JPEG;.JPE;.JPG，”JPGGraphicFile”（FFD8FFFE00）（2）.gif，”GIF89A”（474946383961）（3）.zip，”ZipCompressed”（504B0304）（4）.doc;.xls;.xlt;.ppt;.apr，”MSCompoundDocumentv1orLotusApproachAPRfile”（D0CF11E0A1B11AE1）

3. 文件加载检测：

一般是调用API或函数去进行文件加载测试，例如图像渲染测试，当测试结果正常的时候才允许上传

一次渲染（代码注入）
二次渲染

4. 后缀名黑名单、白名单 后缀名校验

5. 自定义

6. WAF校验

即使用不同的WAF产品来进行过滤，通常是独立与服务程序的一段中间程序或者硬件

二.对应校验的绕过方法

1.客户端校验绕过：

直接修改js代码或者使用抓包的方法修改请求内容绕过
先上传一个gif木马，通过抓包修改为 jsp/php/asp，只用这种方法来检测是肯定可以绕过的。

2. 服务端绕过

校验请求头content-type字段绕过
通过抓包来修改Http头的content-type即可绕过，也肯定是可以绕过这种检测

POST /upload.php HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: localhost
User-Agent: libwww-perl/5.803
Content-Type: multipart/form-data; boundary=xYzZY
Content-Length: 155
--xYzZY
Content-Disposition: form-data; name="userfile"; filename="shell.php"
Content-Type: image/gif (原为 Content-Type: text/plain)
<?php system($_GET['command']);?>
--xYzZY-

文件幻数(文件头)检测绕过：

在木马内容的前面插入对应的文件头内容，

例如：GIF89a ，

更保险的方法是在可上传的文件中插入木马代码，然后修改后缀

文件加载检测

通过例如加载文件进行图像渲染的方式来测试，
这个时候就一般需要在正常的文件中插入木马代码了

例如图像，那么插入的代码一般会放在图像的注释区

因此不会影响图像正常渲染绕过这种检测，

此时可以使用工具（称为插马器）来进行插入

例如edjpgcom，或者直接用copy命令来合成也可以。

当然这种检测不一定能够完全绕过

后缀名检测

后缀黑名单检测：找查blacklist(黑名单列表)的漏网之鱼，例如

大小写：

如果检测的时候不忽略大小写，那么可以改变后缀名的大小写绕过

扩展名：列表中如果忽略了某些后缀

能被解析的文件扩展名列表：

jsp jspx jspasp asa cer aspxphp php php3 php4 phtexe exee

后缀白名单检测：

白名单检测还是会比黑名单强一点，常见的绕过方法有%00截断，还有服务器的解析漏洞

%00截断漏洞：

如果存在这类漏洞，那么后缀名的检测都可以绕过，此时我们可以如下命名一个上传文件

解析漏洞：

这类漏洞是本身服务器的中间件产生的，例如apache，nginx都被爆出过存在解析漏洞，存在解析漏洞的话，上传的安全性几乎就完全失去了 。

和其他漏洞结合的上传

服务器解析漏洞

IS5.x-6.x解析漏洞

使用iis5.x-6.x版本的服务器，
大多为windows server 2003，网站比较古老，开发语句一般为asp；
该解析漏洞也只能解析asp文件，而不能解析aspx文件。

目录解析(6.0)

形式：www.xxx.com/xx.asp/xx.jpg

原理: 服务器默认会把.asp，.asp目录下的文件都解析成asp文件。

文件解析

形式：www.xxx.com/xx.asp;.jpg
原理：服务器默认不解析;号后面的内容，因此xx.asp;.jpg便被解析成asp文件了。

解析文件类型

IIS6.0 默认的可执行文件除了asp还包含这三种 :

/test.asa
/test.cer
/test.cdx

apache解析漏洞

漏洞原理

Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。

比如 test.php.qwe.asd “.qwe”和”.asd” 这两种后缀是apache不可识别解析,
apache就会把wooyun.php.qwe.asd解析成php。

漏洞形式

www.xxxx.xxx.com/test.php.php123

其余配置问题导致漏洞

1.如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php
这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。

2.如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg
即使扩展名是 jpg，一样能以 php 方式执行。

修复方案

1.apache配置文件，禁止.php.这样的文件执行，配置文件里面加入2.用伪静态能解决这个问题，重写类似.php.*这类文件，打开apache的httpd.conf找到LoadModule rewritemodule modules/modrewrite.so 把#号去掉，重启apache,在网站根目录下建立.htaccess文件<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .(php.|php3.) /index.php
RewriteRule .(pHp.|pHp3.) /index.php
RewriteRule .(phP.|phP3.) /index.php
RewriteRule .(Php.|Php3.) /index.php
RewriteRule .(PHp.|PHp3.) /index.php
RewriteRule .(PhP.|PhP3.) /index.php
RewriteRule .(pHP.|pHP3.) /index.php
RewriteRule .(PHP.|PHP3.) /index.php
</IfModule>

nginx解析漏洞

漏洞原理

Nginx默认是以CGI的方式支持PHP解析的，

普遍的做法是在Nginx配置文件中通过正则匹配设置 SCRIPT_FILENAME。
当访问 www.xx.com/phpinfo.jpg/1.php这个URL时

$fastcgi_script_name会被设置为 “phpinfo.jpg/1.php”，
然后构造成 SCRIPT_FILENAME传递给PHP CGI，

但是PHP为什么会接受这样的参数，并将phpinfo.jpg作为PHP文件解析呢?

这就要说到fix_pathinfo这个选项了。

如果开启了这个选项，那么就会触发在PHP中的如下逻辑：

PHP会认为SCRIPTFILENAME是phpinfo.jpg，
而1.php是PATHINFO，所以就会将phpinfo.jpg作为PHP文件来解析了

漏洞形式

www.xxxx.com/UploadFiles/image/1.jpg/1.php
www.xxxx.com/UploadFiles/image/1.jpg %00.php
www.xxxx.com/UploadFiles/image/1.jpg/ %20.php

另外一种手法：上传一个名字为test.jpg，
然后访问test.jpg/.php,在这个目录下就会生成一句话木马shell.php。

IIS7.5解析漏洞

IIS7.5的漏洞与nginx的类似，都是由于php配置文件中，开启了 cgi.fix_pathinfo，
而这并不是nginx或者iis7.5本身的漏洞。

操作系统相关

1.上传不符合windows文件命名规则的文件名

test.asp.
test.asp(空格)
test.php:1.jpg
test.php::$DATA
shell.php::$DATA…….

会被某些版本的windows系统自动去掉不符合规则符号后面的内容。

2.linux下后缀名大小写

linux是大小写敏感的，因此一般检测也会区分大小写，
但某些解析器是不区分大小写的，例如PHP，上传php不被解析，可以试试上传pHp后缀的文件名。

CMS、编辑器漏洞

CMS漏洞：可以针对不同CMS存在的上传漏洞进行绕过。

编辑器漏洞：比如FCK，ewebeditor等，可以针对编辑器的漏洞进行绕过。

可参考以下链接

https://www.leavesongs.com/PENETRATION/UseOfFckeditor.html

https://docs.google.com/document/d/1w_61xR8U7nmn4Y0CvBHpG1uFIU2ORx69QnqTxQt8Km0/edit?pli=1

常见WAF绕过姿势

1.大小上限：WAF对校验的用户数据设置大小上限，此时可以构造一个大文件的木马，前面都是填充的垃圾内容

2.filename：针对早期版本的安全狗，可以多加一个filename来绕过

或者可以通过吧filename放在非常规的位置来绕过
（这里的filename指在http请求头中上传的文件名字）

post/get：

如果WAF规则是：只检测特定请求类型的数据包，
但服务端接收的时候却用了request来，此时通过修改请求头的请求方法就可以绕过

利用waf本身的缺陷

对于不同的waf产品可以搜索其对应的漏洞缺陷，进行绕过

利用NTFS ADS特性

ADS是NTFS磁盘格式的一个特性，用于NTFS交换数据流。
在上传文件时，如果waf对请求正文的filename匹配不当的话可能会导致绕过

文件重命名绕过：

如果web程序会将filename除了扩展名的那段重命名的话，那么还可以构造更多的点、符号等等。

其他规则结合

截断：

例如 %00， 0x00等

test.php(0x00).jpg
test.php%00.jpg

路径/upload/1.php(0x00)，文件名1.jpg，结合/upload/1.php(0x00)/1.jpg

伪代码演示：

name= getname(httprequest) //假如这时候获取到的文件名是 help.asp.jpg(asp 后面为 0x00)
type =gettype(name)        //而在 gettype()函数里处理方式是从后往前扫描扩展名，所以判断为 jpg
if(type == jpg)SaveFileToPath(UploadPath.name, name)   //但在这里却是以 0x00 作为文件名截断
//最后以 help.asp 存入路径里

可上传.htaccesss

上传当前目录的.htaccess 文件然后修改为以下内容：

AddType application/x-http-php .jpg   #(上传的jpg 均以php执行)

把.htaccess 上传后，且上传成功后，再上传内容为一句话的jpg文件

文件校验的建议

文件扩展名服务端白名单校验。

文件内容服务端校验。

上传文件重命名。

隐藏上传文件路径。

以上几点，可以防御绝大多数上传漏洞，但是需要跟服务器容器结合起来。

如果解析漏洞依然存在，那么没有绝对的安全。

参考文章：

http://www.cnblogs.com/shellr00t/p/6426945.html

http://www.freebuf.com/vuls/128846.html

https://thief.one/2016/09/22/%E4%B8%8A%E4%BC%A0%E6%9C%A8%E9%A9%AC%E5%A7%BF%E5%8A%BF%E6%B1%87%E6%80%BB-%E6%AC%A2%E8%BF%8E%E8%A1%A5%E5%85%85/

文件 包含 基本操作

 https://www.hetianlab.com/expc.do?ec=ECIDef72-03b9-4edc-8626-d1e623989ecb

利用目录穿越反弹SHELL

---

实战测试

• 一句话 不行
  
  
  

---

---- 开机启动

• windows 10 的启动目录
• 注意免杀的 问题就可以

上传漏洞原理利用

02 文件上传漏洞原理与利用

第一章：文件上传漏洞原理与流程

1.1 文件上传漏洞原理

post urldecode发送 报文
上传文件 multipart

• php 特有 临时目录

编码形式 为 multipart/form-data 报文

放过

• 上传报文
  
  
  
  
  
• php 生命周期之后 删除几秒 特有 将 文件内容 写入 临时文件

利用phpinfo信息LFI临时文件 高级利用

• 本地文件包含 上传漏洞 利用

1.2 文件上传检测流程

• 绕过 检测点
  

文件名
文件内容 检测

恶意代码 webshell 检测

隔离区

*（跟解析漏洞 00截断配合）

读取文件内容 ----未知位置

答案：
1、正确答案：A
2、正确答案：B
3、正确答案：B
4、正确答案：A
5、正确答案：A

第二章：前端检测绕过

第一节 客户端检测绕过

• 提交包 校验 app 签名

ajax 检测

删除 检测函数 审查元素

ctrl + U

2.2 提交报文修改检测

打开代理
选择 白名单 类型 文件




可以对 历史 进行 重放

APP 下 burp 抓包

安卓 进行 代理 抓包

答案：
1、正确答案：D
2、正确答案：D
3、正确答案：B
4、正确答案：A
5、正确答案：A

第三章：服务端检测绕过

3.1 MIME类型检测绕过

服务端绕过 需要我们 去猜程序员的 检测方法
不像前端 很简单 操作 就绕过去

1. 扩展名 黑白名单
2. MIME/type 浏览器生成的 也是根据 拓展名
3. 文件内容 图片 文本 evel system phpinfo 不是很正常内容的

找到盲点
组合 上传

w3school

关注 白名单 的 mime 类型

php里的 $_FILES数组 文件参数 MIMEtype

判断 是否为 图像类型

MIMEtype 浏览器自动生成

可以修改 不影响上传内容

3.2 文件内容检测绕过

检测 文件中 是否 有 恶意内容

开头 有 魔术标记

GIF89a

三位 的 16进制 3个字节

JPG

%ff %d8%ff
url 编码 形式

完整文件结构 检测

动态 混淆

测试 被 匹配的 关键字
替换 关键字

第三节 文件上传小技巧

小技巧

filename 多个

目录可控 穿越

禁止访问 php

查看 目录 是否被 禁止

文件夹 验证 避免 路径要打全

绕过 waf …/ …/

…/./…/

拿到后台 之后的 操作 白名单

• 允许上传的 参数 提示

答案
1、正确答案：A
2、正确答案：B
3、正确答案：A
4、正确答案：A
5、正确答案：B

第四章：解析漏洞

第一节 常见解析漏洞

服务器 访问 静态文件非动态文件 --解析成–> 动态文件 一种错误

iis/nginx + php fastcgi 取值错误 解析漏洞 （配置错误）

伪静态

默认配置

新版的fastcgi 默认 只有 默认 php 可以解析

环境 php7

图片 里有 phpinfo 检测了 图片 内容

新版的 fastcgi 不会出现 。

nginx 文件名逻辑漏洞 CVE-2013-4547

看版本 可以看 响应报文

加一个空格

C+S+U url解码

apache 解析漏洞

配置错误

也是 留后门 的 方法

IIS 5.x/6.0 解析漏洞

FckEditor

加 ;.jpg

可进行修改

第五章：文件上传高级利用

5.1 图片重绘

取到 temp_name

img_info 文件检测

清洗掉了 转换脚本

在上面 加上了 phpinfo

php 是 字节流 机械
unicode 合并 还是可以解析

5.2 PHPINFO与文件包含的利用

没有找到 上传点

多线程
垃圾数据

构造 上传报文 和 包含报文

5.3 在线解压缩漏洞利用

模板上传 等 解压上传到 固定文件夹
可以在 模板的基础上 进行修改

zip 目录穿越
安卓库 可以 写入文件 替换关键系统文件 命令执行

ios zip解压漏洞

软连接
当前文件 指向一个 绝对路径 类似于 快捷方式


symlinks 进行将 软连接 压缩

上传漏洞 挖掘分析

# 废话没有直接干货

# PHP $_FILES 函数

• 测试下

---

PHP move_uploaded_file() 函数

• ——将上传的文件移动到新位置。

若成功，则返回 true，否则返回 false。

---

• 上传 MIME 文件头/后缀 是否存在

---

渗透测试-文件上传/下载/包含相关推荐

1. 2022渗透测试-文件上传漏洞的详细讲解

   目录 1.什么是文件上传漏洞 2.生成图片木马 3.靶场 1.第一关 2.前端检测(第二关) 3.服务器端检测--MIME类型(第二关) 4.服务器端检测--文件类型(第十四关) 5.服务器文件内容验 ...

2. 渗透测试-文件上传之getimagesize函数绕过

   文件上传之getimagesize函数绕过 文章目录 文件上传之getimagesize函数绕过 前言 一.什么是getimagesize函数 二.文件上传之getimagesize函数绕过 1. g ...

3. 渗透测试-文件上传之过滤绕过（二）

   文件上传之过滤绕过(二) 文件上传实验室第3,4关 文章目录 文件上传之过滤绕过(二) 前言 一.下载upload实验室,进行练习 二.进行后缀名绕过,拿shell 1.更改后缀名.php3绕过 2. ...

4. 渗透测试-文件上传漏洞之MIME type验证原理和绕过

   文件上传漏洞之MIME type验证原理和绕过 文章目录 文件上传漏洞之MIME type验证原理和绕过 前言 一.什么是MIME type 二.MIME type验证原理和绕过 1. MIME ty ...

5. 渗透测试-文件上传之大小写和window特性绕过（三）

   文件上传之大小写和window特性绕过 文件上传upload-labs实验室第6,7,8关 文章目录 文件上传之大小写和window特性绕过 前言 一.什么是window特性 二.大小写和window ...

6. 渗透测试-文件上传之双写文件名和::$DATA绕过（四）

   文件上传之双写文件名和::$DATA绕过 文件上传实验室upload-labs第9,10,11,12关 文章目录 文件上传之双写文件名和::$DATA绕过 前言 一.什么是::$DATA 二.双写文件 ...

7. 58.网络安全渗透测试—[文件上传篇8] —[. htaccess重写解析漏洞-突破上传]

   我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.. htaccess重写解析漏洞 1.重写解析漏洞的原理: 2.重写解析漏洞的利用: 一.. htacces ...

8. 53.网络安全渗透测试—[文件上传篇3]—[扩展名黑白名单穷举-突破上传]

   我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.黑白名单的穷举 1.解题过程: 2.扩展名字典 一.黑白名单的穷举 1.解题过程: 第一步:发现文件上传动作 ...

9. 通过ajaxFileUpload异步请求上传文件（ajaxFileUpload+servlet实现文件上传下载）

   1.最终效果 实现选择图片(此处以图片为例,支持所有类型文件的上传),选择之后将选择的图片在页面中显示出来,点击上传,可以将文件上传到指定的地址中,上传成功后在当前页面自动显示下载标签. 源码下载地址 ...

最新文章

1. Java进程占用内存过高，排查解决方法
2. 记了老是忘记那就写下来吧宏任务微任务
3. http服务器异步响应,python – 具有异步响应的Twisted http服务器,其中请求必须等待数据变为可用或超时...
4. C 结构体嵌套一级指针 二级指针 动态分配内存
5. Java Collections singletonMap（）方法与示例
6. 写在国产接口管理工具ApiPost 5.2.5发布后的一些话
7. 最新最全 快递公司编码 更新时间2020.07.31
8. Adober Pro DC 破
9. C#支付宝扫码支付代码完整版（转）
10. php cms 公文,POSCMS文件信息查看
11. 如何把立创EDA上导出的原理图和封装导入AD的元件库
12. ChatGPT指令大全（建议收藏）
13. 分享使用PHP开发留言板
14. sql2000的安装以及sp4的升级
15. 利用占空比的改变调节小车速度
16. [linux kernel] 内核下ksz8081驱动调试
17. 从电商平台到新经济体 阿里如何创造36810000个工作岗位？
18. 都 2021 年了，你还在用 Kafka？快试试这个全新平台吧
19. 基于JAVA学生健康管理系统计算机毕业设计源码+系统+数据库+lw文档+部署
20. 进击的PyTorch，和它背后的开源领袖

热门文章

1. 解决NVIDIA GeForce系列显卡NVENC并发Session数目限制问题
2. 使用gstreamer,rtsp拉流，保存图像， jeston，使用硬件加速nvdec/nvenc
3. 和互联网公司服务器有关的一些情况
4. There are 2 audio listeners in the scene.的问题
5. 关于5G的理解：5G的发展历程、5G原理
6. 课设：指纹签到系统-支持PC网页端查看
7. 如何保证用log4J 写log 的时间和系统设置的timezone 保持一致
8. ThinkPhp6+Vue智慧医疗后台管理系统
9. 选择城市，按城市的首字母进行排序
10. git-cz git commit 定制提交规范