此文主要讲的就是文件上传限制绕过方法,文件上传限制绕过方法有以下三种:
- 解析漏洞
- Windows下 空格 和 . 绕过
- %00截断
一、IIS6.0的解析漏洞
触发条件:必须是IIS6.0的环境
文件名漏洞
正常命名:as.jpg
触发漏洞的命名方式:as.asp;.jpg
http://192.168.16.128/as.jpg 打开是一张正常的图片。
http://192.168.16.128/as.asp;.jpg 打开已经被解析成asp的源码了。
文件夹名漏洞
正常命名:a/as.jpg
触发解析漏洞的命名:a.asp/as.jpg
http://192.168.16.128/a/as.jpg 打开是一张正常的图片。
http://192.168.16.128/a.asp/as.jpg 同样,打开已经被解析成asp的源码了。
二、IIS7.0、IIS7.5 以及Nginx<8.03 解析漏洞
IIS7.0和IIS7.5的解析漏洞没有IIS6.0那样全面,有时候或许没效果。
还有一点需要注意:IIS7.0、IIS7.5这种解析漏洞只适用于PHP编程语言的网站;不像IIS6.0的解析漏洞,ASP和PHP都可以。
正常的命名:a.jpg
触发解析漏洞的命名:a.jpg/.php
www.*.com/upload/20190622/aa0j4si01j741b2ugpgbgc8t4a. jpg 打开是一张正常的图片。
www.*.com/upload/20190622/aa0j4si01j741b2ugpgbgc8t4a. jpg/.php 同样,打开已经被解析成PHP的源码了。
试想一下,如果这个图片是我的PHP一句话木马呢?是不是说明这个PHP一句话木马已经被解析了。接下来,我们用中国菜刀或中国蚁剑连接就可以轻松获取到webshell了。
三、Apache解析漏洞
apache解析很奇怪,它解析是按照向左解析法来的,虽然说,到目前为止,我还暂时没有碰到过有这种漏洞的网站。
向左解析法:a.jpg.asp.gif.xxx
大概意思是,当Apache碰到 .xxx 不认识的时候,它会向左移找下一个,继续解析 .gif,这里就会以 .gif 来解析后面依次类推主。
a.php.xxx 解析成a.php
b.php.xxx 解析成b.php
四、空格 和 . 绕过上传限制
空格和点在Windows系统下会自己忽略掉。
a.asp 去绕过对上传的限制
a.asp. 去绕过上传限制
五、绕过上传的方法之00截断
00截断就是指用%00;
a.asp%00.jpg 就会变成a.asp,后面的.jpg就会被%00截断了。
六、文件上传漏洞getshell 实战
还是以这个网站“www.cbgmgb.com”来简单实战一下吧!
第一种方法:通过解析漏洞getshell
1、找文件上传点
我轻松的就找到了一个文件上传点:www.cbgmgb.com/tujian.asp
2、上传asp一句话木马文件
我上传asp的文件,提示文件格式非法,被限制了。
3、解析漏洞绕过上传限制
绕过文件上传限制,我们又要用到BurpSuite抓包软件了。这里,我把文件名修改为 as.asp;.jpg
4、文件上传成功
已经成功绕过了文件上传的限制,还给我返回了文件上传成功的路径。
5、测试看此路径是否被解析?能否用中国菜刀或中国蚁剑连接上。
毫无疑问,已经被正常解析,这里我用中国菜刀也轻松的连接上了asp一句话木马。
第二种方法:00截断getshell
由于实战的网站都是同一个,跟第一种方法步骤其实是一样的,我这里为了不重复更多的内容,我就能省则省吧!大家能明白意思就可以了。
1、找上传点
2、00截断绕过上传限制
注意:我们同样也需要用到BurpSuite抓包软件,改成 as.asp%00.jpg ;更重的一点是,这里的 %00 需要做一个URL编码。
3、文件上传成功并得到返回路径
4、文件成功解析,并用中国菜刀连接成功
