|
六、php与windows环境叠加绕过
说明:
windows是不允许文件名包含英文的“:”
所以可以先将一句话木马文件后缀改为jpg等合法格式,然后使用burp抓包,再将后缀改为xxx.php:.jpg
php在检测时由于匹配到jpg后缀,随意误认为正常上传图片,而到了windows环境下时,就变成了xxx.php的空文件。然后回到burp再将后缀改为xxx.<再发送一次,一句话木马内容就会追加到刚才上传的空文件里,最后就可以用蚁剑或菜刀连接了。
七、windows文件流特性绕过
场景:
对方增加了大小写转换、首尾去空、删除文件名后的点等防御时,若没有去除字符串::$DATA则可用这个方法
绕过方法:同上抓包重命名后缀加::$DATA
1.php::$DATA,上传成功后windows下保存的文件名其实是1.php
八、点和空格绕过
原理:windows文件特性会将文件名末尾的点和空格去掉。
场景:
(1)禁止上传.php、php5、php4、php3、php2、php1、html
htm、phtml、pHp、pHp5、pHp4、pHp3、pHp2、pHp1、Html、Htm、pHtml、jspl、jspa、jspx、jsw、jsv、jspf、jtml、jSp、jSpx、jSpa、jSw、jSv、jSpf、jHtml、asp、aspx、asa、asax、ascx、ashx、asmx、cer、aSp、aSpx、aSa、aSax、ascx、aShx、aSmx、cEr、sWf、swf后缀名的文件
(2)进行了大小写转换
(3)去除了字符串::$DATA
绕过方式:将一句话木马后缀改为jpg等合法格式,用burp抓包将后缀修改回php并添加点或空。若对方添加了代码删除文件名后的点,则添加空格;若是对方增加了文件名首尾去空,则添加点
或者直接添加空和点。
九、白名单绕过
场景:
只允许上传jpg、png、gif
对上传的文件以时间戮进行重命名
绕过方法:使用上传路径名%00截断绕过,不过这需要对文件有足够的权限,比如说创建文件夹,上传的文件名写成1.jpg. sawe…path,改成…/upload/1.php%00
方法2:在upload/路径后面加上一句话木马php后缀的文件名,在后面加上空格和a,一般空格的十六进制为0x20,加个a好找到空格的位置,如果写个任意字符,再去查他的16进制表示也可以。找到后将其改为00。
十一、上传重命名竞争+apache解析漏洞
场景:
对方添加了代码对上传的文件进行了重命名,1.php.7z会变成xxxx.7z
绕过方法:
同上抓包,重复发送,只要发送速度够快,例如1s提交50个文件,有一些就会来不及重命名,最后没有被重命名。
先将一句话木马扩展名改成1.php.7z格式
然后上传,拦截,送到重发器,疯狂发送
直到有文件没有被重命名就可以直接用xxx.php.7z的url和菜刀来连接
|