文件上傳繞過的一次思路總結學習

一丶測試上傳正常文件

這里可以判定文件名雖然是重命名，但是可控的，因為我們上傳的文件名被帶進去了(*****_1.txt)這里利用的思路主要:

1.目錄沒有執行權限（通過控制文件名進行../../跳目錄，跳到可以執行腳本語言的目錄）

2.上傳文件找不到路徑（通過控制文件名進行../../跳目錄，層級跳到根目錄進行訪問）

3.上傳白名單截斷 （有些文件上傳處是白名單，后綴名不可以繞，可以利用控制文件名截斷的方式去繞過白名單，例如1.jsp%00.jpg）

4.截斷文件前置名（這里后面會詳細講）

二丶測試上傳非正常文件

這里主要觀察是不是黑名單，或者說是沒有限制名單，下圖可以看到，上傳tx格式是可以正常上傳的，但是上傳jsp文件就上傳不成功。

如果上傳tx可以上傳，但是jsp不可以，可以判斷為上傳黑名單，這里可以嘗試繞黑名單的一下后綴格式，常見的繞黑名單的后綴格式有：

aspx&asp：ashx、asa、asmx、cer

php：php3、phtml

jsp：jspx、jspf

這里簡單列舉幾個，具體詳細的我之前發的文章有，這里補充一個小知識點，假如站點為php的站點，但是只限制了php的后綴格式，我們這里可以利用別的腳本語言都測試一下，因為可能這個服務器可以運行多種語言，雖然概率比較低，但是沒有好的繞過辦法的時候可以試一下，萬一成功了呢，我在項目中就碰到過這種情況

上傳tx后綴，上傳成功：

上傳jsp 上傳失?。?/span>

三、繞過測試

這里主要講一下常見的一些繞上傳的方法，這個是朋友給的站，我也不知道能不能繞過去，我也是一邊繞一邊記錄著，是我繞上傳的一個基本的思路，給大家學習一下

上面測試了，上傳黑名單，我們就先測試一下繞上傳后綴

1.jspx繞過，失敗，測試了別的php什么的都不可以，限制的比較全，html都不可以。

2.截斷繞過

這里可以嘗試 ：，；、%00、’、^ 等都可以，這幾種方法在windows服務器上成功率是比較高的，因為windows在創建文件的時候這些特殊字符是不允許出現的

最后測試利用 “：”截斷成功了，但是很遺憾，雖然傳上去了，也可以訪問到，但是內容沒有寫進去，這就是利用：截斷的一個弊端，只有文件，沒有內容

3.利用跳目錄

因為文件名可以控制，我們就可以利用../跳目錄的方式去截斷代碼本身給添加的前置名，就此系統為例，我們上傳1.txt，代碼會自動給我們添加2022_06_20_1.txt,這里的利用思路就是上傳配合解析的配置文件，例如上傳.htaccess配合解析，當然這里實戰應用的場景還有很多，只是提供一個思路

我們這里也是成功截斷前置名，并且跳到上層目錄了，但是在此服務器這種方法并不是很好用，因為是java的站，利用此方式暫時沒有好的getshell的方法，這里只是提供一下思路

四丶其他上傳點繼續測試

饒了半天始終是繞不過去，也不想繞了，但是文章都寫到這里了，不能白白寫啊，又問朋友要了個賬號，測試一下后臺有沒有別的上傳

功夫不負有心人，文章得以繼續了

確實發現了另一個上傳點

這個上傳點比較有意思，后綴可以用大小寫直接繞過

這不直接get了嗎？

然而并不是，訪問文件目錄404？

通過查看附件的功能發現，查看附件處是用base64加密的一個絕對物理路徑

這里就直接運用我們之前的跳目錄，通過報錯找到網站的真實路徑（也有其他方法查找真實路徑，我這里是用的報錯），直接上傳

但是不妙呀！1.jsP訪問直接下載呀！JSPX也是

這里就體現出我們之前跳目錄加截斷文件前置名的作用了

之前我們第一個上傳點 ，可以利用：截斷，上傳jsp，但是文件內容傳不上去，然后利用第二個上傳點再上傳一次同樣文件名的文件 （1.jsp|1.jsP）

因為windows不區分大小寫，所以就導致我們后面上傳的1.jsP直接就把內容覆蓋到1.jsp上面去了

最終獲得大馬一枚

五、總結

其實對于黑名單的繞過方式很多，之前發過一個上傳繞過的文章文件上傳漏洞總結(繞過方法)_Azjj98的博客-CSDN博客_繞過上傳漏洞有哪些方法并闡述其使用方法

具體可以看上面這個文章，但是現在在實戰環境中，上傳點的限制已經不只是代碼層了，流量層的waf也是很惡心人，之前也寫過文章Bypass WAF實戰總結_Azjj98的博客-CSDN博客_bypass waf

后面的話找機會把上傳的繞過跟bypassWaf都好好總結一下，之前寫的文章都不是很全。