burpsuite专题_文件上传

渗透测试 南瓜一族 1226℃ 0评论

0x01 解析漏洞

1、IIS 5.x/6.0解析漏洞

IIS 6.0解析利用方法有两种

1.目录解析
网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行

2.文件解析
在IIS6.0下,分号后面的不被解析

2、IIS 7.0/IIS 7.5/ Nginx < 8.03畸形解析漏洞

在默认Fast-CGI开启状况下,上传一个名字为pumkin.jpg,内容是其中的一些木马,可以直接在pumkin.jpg/php, 即可被解析。

或者访问如下:

可以直接在pumkin.jpg/php, 在该目录下会生成一个pumpkin.php木马,并通过菜刀,连接的关键字是pumpkin2。

3、Nginx < 8.03 空字节代码执行漏洞或

在默认Fast-CGI开启状况下,上传一图片,如logo.jpg,成功上传后,直接在其图片上运行logo.jpg%001.php,可成功执行。

4、Apache解析漏洞

Apache解析是从右到左开始判断解析,如果为不可识别解析,就再往左判断。Apache’s MIME module解析漏洞
比如 pumpkin.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把pumpkin.php.owf.rar解析成php.
所以,习惯中,会增加 很多种不同的后缀以去判断,那些是Apache不可识别的。pumpkin.php.rara.jpg.png.asa.cer…

5、其它

(1)、windows环境下,xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点。因此,在利用该漏洞时,可以构造如下:
pumpkn.php[空格].gif进行上传,直接被解析。
(2)、在Apache中.htaccess可被执行.且可被上传.那可以尝试在.htaccess中写入

pumpkin.jpg是图片木马,可被解析

0x02 上传绕过

(1)、类似修改:在type=xxx 的类型没有检查。把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹,一个新类型,没有任何限制,可以上传任意脚本;
(2)、上传路径修改:部分上传图片区内,可能做了禁止文件执行的权限,文件存放路径放于数据包内,服务端未进行检查,可通过抓包修改上传的指定路径;
(3)、上传Flash跨域策略文件crossdomain.xml,修改访问权限;
(4)、仅在客户端上进行文件类型验证,直接抓包改包;
(5)、二次上传漏洞:多次上传同文件名的文件;
(6)、关键字一次性替换,如有后台对.php文件进行过滤并替换成空字符,但用.phpphp被过滤其中的php剩下.php就绕过,不过,目前这种比较少见;
(7)、超长文件名截断文件后缀,如上传一个asp.asp(N多个空格) .gif;
(8)、部分过滤,就是使用Blacklist而不是白名单;
(9)、解析漏洞;

转载请注明:猫头鹰工作室 » burpsuite专题_文件上传

喜欢 (0)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址