1、绕过前端js检测
(1)将要上传的php文件改成jpg或在其他允许上传的文件格式,抓包,在bp里面将格式改回php
(2)F12查看源代码,将判断文件格式的函数删除
2、绕过content-type检测上传
上传脚本文件,抓包将content-type改成image/jpeg或其他允许上传的文件格式即可绕过上传
3、绕过黑名单上传
上传黑名单以外的后缀名,在iis里asp禁止上传了,可以上传asa、cer、cdx这些后缀,如果网站允许.net执行,可以上传ashx代替aspx。
在apache里如果开启了application/x-http-php,后缀名phtml、php3均被解析成php
4、htaccess重写解析绕过
如果黑名单过滤了所有可执行的后缀名,如果允许上传.htaccess文件。此文件可以实现:文件夹密码保护、用户自动重定向、自定义错误页面、改变文件扩展名、封禁特定ip地址的用户、只允许特定ip地址用户、禁止目录列表,以及使用其他文件作为index文件等功能。
在htaccess里写入SetHandler application/x-httpd-php可以重写成php文件。要htaccess的规则生效,需要在apache开启rewrite重写模块,大多数都是开启了这个模块的
<FilesMatch "jpg">
SetHandler application/x-httpd-php
</FilesMatch>
先上传后缀改成jpg的恶意文件,再上传htaccess,就会将jpg后缀名改成php
5、大小写绕过
后缀名 Php、pHp、phP、PhP、PHp、PHP等
6、空格绕过
上传模块中采用黑名单上传,没有对空格进行去掉就可能被绕过
抓包在后缀加空格即可
7、利用windows系统特征绕过
(1)在windows中文件后缀名,系统会自动忽略. 所以shell.php.和shell.php的效果一样。
(2)如果后缀名没有对::$DATA进行判断,利用windows系统NTFS特征可以绕过上传,抓包将恶意文件后缀改成
.php::$DATA
8、利用windows环境叠加特征绕过
在windows中上传文件名name.php:.jpg的时候,会在目录下产生空白的文件名name.php
再利用php和windows环境叠加属性
以下符号再在正则匹配时相等
" 等于 .
等于 ?
< 等于 *
上传jpg文件,抓包,文件后缀改成name.php:.jpg,会在目录下生成一个name.php的文件,回到bp,后缀改成name.>>>然后将要写入的内容写在下方
9、双写后缀名绕过
有些会把黑名单后缀名替换成空,使用双写,asaspp、pphphp即可绕过
10、目录可控%00 截断绕过
上传参数目录可控攻击:在gpc关闭,php版本小于5.3.4的情况下,可以用%00对目录或文件名进行截断
上传后缀名为jpg的恶意文件,抓包,在路径上增加name.php%00
目录可控post绕过:上面时Get请求的,可以直接在URL输入%00即可截断,但是在post下需要把%00解码编程空白符才有效
上传后缀名为jpg的恶意文件,抓包,在路径上增加name.php%00,将%00转换成URl-decode
11、文件头检测绕过
1、制作图片一句话木马,使用copy name1.gif/b +name2.php shell.php,将php文件附加在gif图片上直接上传即可,上面的命令时将两个文件附加在一起形成新的文件,再将形成的文件改成能上传的后缀即可
2、上传脚本,抓包,在上传的数据包头加上能上传的文件的文件头即可
常见的文件头:jpg = FFD8FF png = 89504E47
gif = 47494638 tif = 49492A00 bmp = 424D
12、图片检测函数上传
getimagesize是获取图片的大小,只有是图片才能上传,用图片马绕过
13、绕过图片二次渲染上传
首先判断是否允许上传gif,gif图片在二次渲染后与原图片差别不大,所以二次渲染攻击最好用gif图片马,使用HxDHexEditor工具,用工具打开原图与二次渲染后的图片,在对应文本中对比下相同的地方,在相同的地方写入一句话木马覆盖
14、文件名可控绕过上传
文件上传时,文件名可被客户端修改控制,导致漏洞产生
1、上传文件,文件名用%00截断,例如1.php%00.jpg截断后成1.php
2、与中间件的漏洞配合使用,iis6.0里1.php;1.jpg apache里 1.php.a也能解析文件,也可以使用/. ,抓包在文件名后面加/.也可绕过
15、数组并接绕过
16、文件上传其他漏洞
在nginx 0.83 里,1.jpg%00php
apache 1x或者2x里,当apache遇到不认识的后缀名,就会向前解析,例如a.php.rar,不认识rar就会向前解析,直到它认识的后缀名
phpcgi漏洞(在nginx iis7或者以上)上传图片1.jpg。访问1.jpg/1.php也会解析成php
apache HTTPD换行解析漏洞(CVE-2017-15715)
apache通过mod_php来运行脚本,其2.4.0-2.4.29中存在apache换行解析漏洞,在解析php时,xxx.php\0xA将被按照php后缀进行解析
17、文件上传漏洞检测方法
判断是否为黑白名单,如果时白名单,寻找可控参数。如果是黑名单禁止上传,可以用有危害的后缀名批量提交测试,寻找遗留的执行脚本
.php
.php5
.php4
.php3
.php2
.html
.htm
.phtml
.pht
.pHp
.phP
.pHp5
.pHp4
.pHp3
.pHp2
.Html
.Htm
.pHtml
.jsp
.jspa
.jspx
.jsw
.jsv
.jspf
.jtml
.jSp
.jSpx
.jSpa
.jSw
.jSv
.jSpf
.jHtml
.asp
.aspx
.asa
.asax
.ascx
.ashx
.asmx
.cer
.aSp
.aSpx
.aSa
.aSax
.aScx
.aShx
.aSmx
.cEr
.sWf
.swf
.htaccess
抓包,将后缀名设置成变量,加上面后缀名设置成字典批量测试
18、文件上传防御方法
服务器使用白名单防御,修复中间件的漏洞,禁止客户端存在可控参数,设置存放目录禁止脚本执行,限制后缀名
版权归原作者 会上树的老张 所有, 如有侵权,请联系我们删除。