文件上传
靶场
uplaodlibs
https://blog.csdn.net/uploadlibs
vulhub-weblogic
解析漏洞
IIS解析漏洞
可以控制文件名从而触发解析漏洞
以asp执行
nginx解析漏洞
vulhub靶场搜索“nginx解析漏洞”
service start docker
docker-compose up -d
访问“http://ip/uploadfiles/nginx.png”
访问“http://ip/uploadfiles/nginx.png/.php”时
查看nginx.png图片源码
可以看到后面加了<?=phpinfo()?>
apache解析漏洞
低版本
文件夹中有phpinfo.php和phpinfo.php.xxx访问后都显示phpinfo信息
黑白名单绕过
文件上传常见验证
后缀名,类型,文件头等
后缀名:黑名单、白名单
文件类型:MIME信息
文件头:内容头信息
黑名单
明确不让上传的格式后缀
asp,php,jsp,aspx,cgi,war
白名单
明确可以上传的格式后缀
jpg,png,zip,rar, gif
MIME
即包头的Content-Type值
文件头信息
png 塒NG
jpg JFIF
gif GIF89a
文件名
1.txt.在windows中会去掉最后的点1.txt
替换函数只替换一次
00截断
%00截断
%00是地址上,0x00是文件命名上
上传后为1.php
get请求不用编码,get会自动解码,post请求需要编码,因为post不会自动解码。
条件竞争
即在文件上传时,会先保存到服务端在判断文件是否合规,不合规则删除。在判断中会有一小段时间被保留在服务器中。可通过不断刷新来访问,达到执行文件的目的。可用来绕过二次渲染。
编辑器漏洞
fckeditor
waf绕过
- 明确哪些可更改
Content-Disposition:一般可更改
name:表单参数,不可更改
filename:文件名,可更改
Content-Type:文件MIME,视情况更改
当使用.ph p时可上传但无法执行
当使用.php.时无法上传
数据溢出
成功上传x.php,
符号变异
可以看到有些带了""有些没带
去除filename=“qq.php"后的”
也可上传成功
或者
%00截断
然后将%00,url编码
换行
匹配为x.p\nh\np
重复
先提交x.jpg,和y.jpg看以哪个为主
fuzz字典
fuzzdb
fuzzDicts
使用burp选择fuzz中的字典爆破