"""本人网安小白,此贴仅作为记录我个人测试的思路、总结以便后期复习;今后本着少就是多,慢就是快的方式一步一个脚印进行学习,把这个知识点学扎实了,再学另外一个知识点。费曼教授是不是曾经说过以教代学是最好的学习方式?有很多错点可圈可指,所以也请dalao指出不对的地方,所谓教他人的时候也是在稳固自身"""
未做严格排版,后面有时间了再来整理整理
“”“白盒测试看着源码是挺好过的,但是实战环境中黑盒测试,可没有源码让我们看,而且上传后的路径,文件名也不清楚,刷这些靶机能让我们学习到更多的文件上传绕过姿势”“”
Ps:靶机链接:https://blog.youkuaiyun.com/qq_35258210/article/details/112465795
目录
Pass-01
这里上传后缀为.php的webshell提示我们不允许上传,我们开启bp抓包试下
查看html源码可以看到,前端做了个后缀验证
把xiao.php再加个.jpg后缀,开启bp
拦截到请求包后,把上传的文件名xiaoma.php.jpg改为xiaoma.php即可绕过前端验证
成功上传,使用蚁剑连接即可
Pass-02
第二关直接选择一个webshell,开启bp拦截,上传
拦截后把content-type的值改为image/jpeg即可
后端只是判断content-type的格式是否为:image/jpeg 或者 image/png 或者 image/gif
我们拦截到请求包后修改为它指定的其中一种即可,上传成功
Pass-03
直接上传后缀为以下几种脚本后缀的文件估计是不行了的,后端设置后黑名单为以下几种后缀的文件
我们上传其他可解析的后缀:如php5 php3 php.. phtml等
Pass-04
上传后缀为php的文件,提示不允许上传,没有提示不允许什么后缀的文件
这时查看源码
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
把上面这些后缀都禁了,这里我也是不知道还可以上传什么后缀的文件当脚本执行,然后上网找资料了。。。呜呜呜
发现还可以上传:.htaccess后缀的文件
要在服务器上Apache目录下的httpd.conf文件里AllowOverride None,改为AllowOverride All
新建 .htaccess文件,内容:
SetHandler application/x-httpd-php
//该语句作用是让Apache将其他类型文件均以php格式解析先命名为3.htaccess,上传的时候抓包修改为.htaccess
上传成功
这时我们上传一个图片ma
成功把phpinfo.jpg执行
txt后缀的也正常被执行,说明上传了.htaccess文件之后上传的所有文件都会按照php后缀执行
Pass-05
查看源码,看到上传时重命名文件名时拼接的是file_name
file_name只是做个删除末尾点
我们在.php后面加点空格点 ,发现上传成功了,后端的转换为小写代码并没有起作用,因为拼接的是file_name,file_name只做了对末尾点进行删除,的确是删除了一个点,删除了点后检查到前面有个空格,php把它当字符了,所以没有再进行删除
可以看到我们上传的全文件名应该是 2.php.空格,但是到了服务器的时候,操作系统会认为这个点和空格是没用的,所以自动删除掉了,这样我们的文件名在服务器就是 2.php
Pass-06
大小写绕过
这关,查看了源码,发现没有对大小写进行过滤
我们把php后缀改为大写的就可以绕过了,因为后端进行了重新命名所以需要抓包查看命名后的文件名
Pass-07
后缀名加空绕过,可以看到源码不像上一关卡对首尾做了空格去除
我们只需要在上传的中途用bp抓包,在php后缀后面加个空格,就能绕过了
Pass-08
这一关禁止了所有Apache可解析后缀
.php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini"
查看源码后端没有对我们上传的文件名末尾去点
上传后缀为php的文件,bp抓包在php后面加个点,上传成功,我到服务器里看,发现我们加的点被去掉了,原理应该是监测到点后面并没有字符了,所以在上传成功后操作系统默认跟我们把点去掉了。
成功绕过后端全部后缀过滤
Pass-09
查看源码看到源码里没有了$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
我们试着在php后缀后面加::$DATA
上传成功
在服务器里看发现我们最php后面加的::$DATA,在服务器文件重命名是没有当做字符命名,直接去掉了
Pass-10
这关提示只能上传jpg、png、gif
查看源码,发现圈1那里是对上传的文件名末尾的点进行删除,删除后返回到file_name。
圈2上传后命名的时候,拼接的是file_name,而不像前面几关对file_ext进行拼接
为了验证后端对我们上传的文件名后缀进行的转换为小写是否生效,这里我上传时把php改为了大写的,
其他操作和pass-05一样
这种上传后保存到服务器时重新命名拼接错了变量的失误,非常致命
扫一扫
1806
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
