【渗透测试】-上传漏洞之攻击方法 Plus

0x01：.htaccess上传利用

• .htaccess只在Apache下有，默认开关是打开的，用来控制文件的解析、网站的伪静态。
• 这个不是文件解析漏洞，之前说过Apache只有一种文件解析漏洞。
• 如果拿站的时候可以控制.htaccess文件，可以通过这个方式来攻击。
• 目前.htaccess存在的漏洞是：
  • 将.htaccess文件增加以下代码，就可以将gif文件按照php语法来解析(文件名为：x_php.gif)

SetHandler application/x-httpd-php

0x02：编辑器上传利用——->利用核心是：获取网站编辑器的地址

• ewebeditor：多使用于asp网站

  • 大多使用编辑器的默认设置，从而获取默认数据进入：

    • 默认后台：ewebeditor/admin_login.asp
    • 默认密码：admin
    • 默认数据库：ewebeditor/db/ewebeditor.mdb

  • 攻击过程：先进入默认后台，尝试使用默认密码登录（如果登陆失败，获取默认数据库获取密码），登陆成功后，设置上传属性（添加可上传的的类型），上传后门文件，获得webshell。

  • ewebeditor其他漏洞1：跨目录漏洞（遍历目录漏洞）

    • 编辑器后台可以查看目录，然后修改GET参数dir=../../就可以遍历目录

      
      
      

  • ewebeditor其他漏洞2：构造上传———>利用前辈渗透痕迹继续入侵

    • 小提示：为什么有时候将允许上传的后缀修改为asaspp，因为有时候代码中会对后缀进行过滤，当删掉asp时，剩下的刚好是asp了。

      
      
      

• FCKeditor：aspx、php、asp都有使用，主要在aspx程序上使用。

  • 第一步还是要获取编辑器的地址
  • 然后查找上传地址进行上传
    • 高版本的fck会对上传的文件或者新建的文件夹的名字做修改，将点(.)修改为下划线(_)，因为之前讲过IIS6.0的两个文件解析漏洞
    • 对于这种情况是有绕过方案的：抓包分析，绕过过滤参数，修改非过滤参数进行新建文件夹
      • CurrentFolder=/qing.asp&NewFolderName=x.asp —-> /qing.asp/x.asp fck程序对NewFolderName参数进行了过滤，但是没有对CurrentFolder参数过滤，所以我们修改参数，将文件夹名称创建为qing.asp

0x03：其他漏洞利用

• 文件名后缀的后边加上点(.)或者(空格)来进行绕过目标站点的黑名单，得到webshell。在Windows环境下，空格和点号都会被系统自动消除。
• 上传漏洞格式asa、cer等格式的文件，是按照asp格式进行解析的，应为他们使用的是同一个dll解析的

---

欢迎关注微信公众号（coder0x00）或扫描下方二维码关注，我们将持续搜寻程序员必备基础技能包提供给大家。