前言:
在日常滲透中,上傳文件是getshell的一個常用方案,在其中,我們常常直接修改后綴進行繞過,如果不行,往往會放棄,從而錯失機會。這里是我通過github的一個上傳繞過源碼來記錄下需要注意的點。
上傳繞過原理:
1> 后綴名采用上傳文件名的文件后綴,也就是后綴名我們可以控制,接下來,就是看后臺對后綴名是否違法(黑名單),或者是否(白名單)是如何限制了。
var ext_name = file.substring(file.lastIndexOf("."));
//判斷上傳文件類型是否允許上傳
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg = "該文件不允許上傳,請上傳" + allow_ext + "類型的文件,當前文件類型為:" + ext_name;
alert(errMsg);
return false;
}
2>一種就是直接采用內部命名,這種考慮解析漏洞或者別的思路。
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'random(time).jpg; //這種已經確定死了,截斷解析或者文件包含漏洞打組合拳吧
js繞過:
這種很簡單,是通過js前段驗證,我們抓包修改成.php即可。
<script type="text/javascript">
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("請選擇要上傳的文件!");
return false;
}
//定義允許上傳的文件類型
var allow_ext = ".jpg|.png|.gif";
//提取上傳文件的類型
var ext_name = file.substring(file.lastIndexOf("."));
//判斷上傳文件類型是否允許上傳
if (allow_ext.indexOf(ext_name) == -1) {
var errMsg = "該文件不允許上傳,請上傳" + allow_ext + "類型的文件,當前文件類型為:" + ext_name;
alert(errMsg);
return false;
}
}
</script>
window繞過技巧:
window的特性繞過,在window下,很多命名方式會導致window自動去了違法字符。
所以,前提是我們能保證服務器是window的情況下,可以根據返回值進行判斷,來進行繞過。
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//刪除文件名末尾的點
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //轉換為小寫
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
基本上有一下幾點:
shell.php (后面加空格)
shell.php.
shell.php::$DATA
根據規則繞過:
源碼中,對后綴判斷的規則或者寫入的規則進行判斷。
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$file_name = str_ireplace($deny_ext,"", $file_name);
這里是過濾了后綴中存在的關鍵字。
我們可以通過雙寫進行繞過: shell.pphphp
或者有的就是先上傳temp文件,然后進行判斷文件名是否合法,
不合法再進行刪除。然后我們可以不斷的寫入文件,來執行我們的webshell等。
解析漏洞:
00截斷解析漏洞的條件限制很苛刻
1. php版本小于5.3.4
2. php的magic\_quotes\_gpc為OFF狀態
需要注意的點:
get請求中 可以直接 %00
post 必須在16進制下進行修改,因為post在請求中不會進行自行編碼
總結:
基本沒什么可以說的,還是需要走一遍流程,然后自己嘗試一波即可。
