這是朋友的一個滲透測試的項目,有個上傳的黑名單,我就試了一下,本文章是一邊測試一邊記錄的,對于一些知識點總結的不全,只是提供了一個滲透中碰到上傳的思路,文章無排版,是筆記的形式做記錄。
一丶測試上傳正常文件
這里可以判定文件名雖然是重命名,但是可控的,因為我們上傳的文件名被帶進去了(*****_1.txt)這里利用的思路主要:
1.目錄沒有執行權限(通過控制文件名進行../../跳目錄,跳到可以執行腳本語言的目錄)
2.上傳文件找不到路徑(通過控制文件名進行../../跳目錄,層級跳到根目錄進行訪問)
3.上傳白名單截斷 (有些文件上傳處是白名單,后綴名不可以繞,可以利用控制文件名截斷的方式去繞過白名單,例如1.jsp%00.jpg)
4.截斷文件前置名(這里后面會詳細講)
二丶測試上傳非正常文件
這里主要觀察是不是黑名單,或者說是沒有限制名單,下圖可以看到,上傳tx格式是可以正常上傳的,但是上傳jsp文件就上傳不成功。
如果上傳tx可以上傳,但是jsp不可以,可以判斷為上傳黑名單,這里可以嘗試繞黑名單的一下后綴格式,常見的繞黑名單的后綴格式有:
aspx&asp:ashx、asa、asmx、cer
php:php3、phtml
jsp:jspx、jspf
這里簡單列舉幾個,具體詳細的我之前發的文章有,這里補充一個小知識點,假如站點為php的站點,但是只限制了php的后綴格式,我們這里可以利用別的腳本語言都測試一下,因為可能這個服務器可以運行多種語言,雖然概率比較低,但是沒有好的繞過辦法的時候可以試一下,萬一成功了呢,我在項目中就碰到過這種情況
上傳tx后綴,上傳成功:
上傳jsp 上傳失?。?/span>
三、繞過測試
這里主要講一下常見的一些繞上傳的方法,這個是朋友給的站,我也不知道能不能繞過去,我也是一邊繞一邊記錄著,是我繞上傳的一個基本的思路,給大家學習一下
上面測試了,上傳黑名單,我們就先測試一下繞上傳后綴
1.jspx繞過,失敗,測試了別的php什么的都不可以,限制的比較全,html都不可以。
2.截斷繞過
這里可以嘗試 :,;、%00、’、^ 等都可以,這幾種方法在windows服務器上成功率是比較高的,因為windows在創建文件的時候這些特殊字符是不允許出現的
最后測試利用 “:”截斷成功了,但是很遺憾,雖然傳上去了,也可以訪問到,但是內容沒有寫進去,這就是利用:截斷的一個弊端,只有文件,沒有內容
3.利用跳目錄
因為文件名可以控制,我們就可以利用../跳目錄的方式去截斷代碼本身給添加的前置名,就此系統為例,我們上傳1.txt,代碼會自動給我們添加2022_06_20_1.txt,這里的利用思路就是上傳配合解析的配置文件,例如上傳.htaccess配合解析,當然這里實戰應用的場景還有很多,只是提供一個思路
我們這里也是成功截斷前置名,并且跳到上層目錄了,但是在此服務器這種方法并不是很好用,因為是java的站,利用此方式暫時沒有好的getshell的方法,這里只是提供一下思路
四丶其他上傳點繼續測試
饒了半天始終是繞不過去,也不想繞了,但是文章都寫到這里了,不能白白寫啊,又問朋友要了個賬號,測試一下后臺有沒有別的上傳
功夫不負有心人,文章得以繼續了
確實發現了另一個上傳點
這個上傳點比較有意思,后綴可以用大小寫直接繞過
這不直接get了嗎?
然而并不是,訪問文件目錄404?
通過查看附件的功能發現,查看附件處是用base64加密的一個絕對物理路徑
這里就直接運用我們之前的跳目錄,通過報錯找到網站的真實路徑(也有其他方法查找真實路徑,我這里是用的報錯),直接上傳
但是不妙呀!1.jsP訪問直接下載呀!JSPX也是
這里就體現出我們之前跳目錄加截斷文件前置名的作用了
之前我們第一個上傳點 ,可以利用:截斷,上傳jsp,但是文件內容傳不上去,然后利用第二個上傳點再上傳一次同樣文件名的文件 (1.jsp|1.jsP)
因為windows不區分大小寫,所以就導致我們后面上傳的1.jsP直接就把內容覆蓋到1.jsp上面去了
最終獲得大馬一枚
五、總結
其實對于黑名單的繞過方式很多,之前發過一個上傳繞過的文章文件上傳漏洞總結(繞過方法)_Azjj98的博客-CSDN博客_繞過上傳漏洞有哪些方法并闡述其使用方法
具體可以看上面這個文章,但是現在在實戰環境中,上傳點的限制已經不只是代碼層了,流量層的waf也是很惡心人,之前也寫過文章Bypass WAF實戰總結_Azjj98的博客-CSDN博客_bypass waf
后面的話找機會把上傳的繞過跟bypassWaf都好好總結一下,之前寫的文章都不是很全。
審核編輯 :李倩
-
測試
+關注
關注
8文章
4561瀏覽量
125272 -
HTML
+關注
關注
0文章
273瀏覽量
29330
原文標題:實戰 | 文件上傳繞過的一次思路總結學習(兩個上傳點組合Getshell)
文章出處:【微信號:菜鳥學安全,微信公眾號:菜鳥學安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論