渗透测试之文件上传绕过

通过是否抓到包来验证是前端验证还是后端验证,前端验证是不发数据包的,而后端验证是会发数据包的,所以可以通过抓包工具进行判断。再通过不同的验证方式,选择绕过方式。

前端验证:通过禁掉js代码,使验证文件格式等代码段失效,从而实现绕过,但是有一定局限性,当上传按钮和js代码绑定时,无法点击上传,从而无法绕过。

这时候可以尝试更改后缀,绕过前端验证,若此时后端没有验证就可以绕过,上传成功后找文件上传路径。

前端验证实例

1、先上传一个php脚本,看是否可以上传

渗透测试之文件上传绕过_第1张图片

发现报错,进行抓包判断是前端验证还是后端验证

打开抓包工具,进行抓包

渗透测试之文件上传绕过_第2张图片

没有抓到数据包,说明这里很有可能是前端验证,通过禁掉js进一步确认

后端验证:通过抓包更改后缀的方式进行绕过。先上传一个被允许的后缀抓包,将content-type置空看是否可以正常返回,可以正常返回说明不对content-type有验证,如果发生错误说明对content-type有验证,当对content-type有验证时,上传不合法的文件后缀可以通过修改content-type内容进行绕过。(同理通过控制变量,可能对content-type进行验证,可能对文件内容进行验证,也有可能对文件的后缀名进行验证)通过判断具体的验证方式,选择不同的改包方式。

后端验证中有黑名单和白名单,如何确定他的具体验证方式呢?

可以通过将后缀改成根本不存在的后缀,如:jpgxxxxxxxx,如果成功绕过说明是黑名单,如果不成功说明是白名单验证。

黑名单验证的绕过方式:

1、大小写文件后缀

2、在后缀名后加一个空格进行绕过(抓包后在文件名的后面加上一个空格)

3、在后缀名后加一个点,在windows系统中文件名最后一个字符是点会被丢弃

4、在后缀名后加点空格点  '. .'

5、在后缀名后加上双冒号dollar符data   '::$DATA'

(在php+Windows的情况下如果是文件名+::$DATA之后的数据当成文件流处理不会检测后缀名,且保持:$DATA前的文件名)

先上传一个php脚本

渗透测试之文件上传绕过_第3张图片

报错文件类型不符合,抓包对文件后缀进行修改

渗透测试之文件上传绕过_第4张图片

成功绕过上传

渗透测试之文件上传绕过_第5张图片

渗透测试之文件上传绕过_第6张图片

6、用特殊后缀进行绕过如:php3、php5、php4、pht、phtml、phps都等于php(运用的前提条件需要修改配置文件使其可以解析对应文件)

7、利用.user.ini绕过

先编写一个配置文件具体内容如下

再将需要执行的脚本放在test.txt中

渗透测试之文件上传绕过_第7张图片

首先将.user.ini上传至目标服务器

渗透测试之文件上传绕过_第8张图片

成功上传

再上传test.txt

渗透测试之文件上传绕过_第9张图片

再访问目录下存在的php文件就可以执行脚本文件了

渗透测试之文件上传绕过_第10张图片

8、.htaccess配置文件绕过

9、复写绕过 pphphp中间的php置空后剩余的还是php

白名单验证的绕过方式:

1、00截断绕过

截断条件:php版本有固定要求(大于5.6.9的版本漏洞修复了)。php的magic_quotes_gpc为OFF状态。(magic_quotes_gpc会在敏感字符前加反斜杠进行转义)

%00是空格

(get型00截断)

渗透测试之文件上传绕过_第11张图片

上传成功

渗透测试之文件上传绕过_第12张图片

对上传位置进行访问

渗透测试之文件上传绕过_第13张图片

(post型00截断)

save_path在data中

渗透测试之文件上传绕过_第14张图片

渗透测试之文件上传绕过_第15张图片

渗透测试之文件上传绕过_第16张图片

将2b改成00,进行00截断

修改后在php的后面就有一个空格存在

渗透测试之文件上传绕过_第17张图片

成功绕过后,访问上传文件

渗透测试之文件上传绕过_第18张图片

2、图片马(文件包含漏洞和文件上传结合)

getimagesize()函数会对目标文件的16进制进行读取,读取前几个字符是否满足图片的要求,所以不能通过content-type来达到目的。文件内容前加上GIF89a,构成伪图片从而绕过。或者制作图片马进行绕过。

GIF89a的方式

渗透测试之文件上传绕过_第19张图片

再将这个文件上传,上传成功!

生成图片马:

渗透测试之文件上传绕过_第20张图片

用文本的方式打开加马图片,在最后可以看到写入的脚本

渗透测试之文件上传绕过_第21张图片

上传成功后进入文件包含点验证

渗透测试之文件上传绕过_第22张图片

你可能感兴趣的:(渗透测试,php,windows,网络安全,web安全)