小白安全博客

小白记忆
专注网络安全

 文件上传之中间件的绕过

常用的一些可执行的文件脚本后缀:.php .php2 .php3 .php5 .phtml.asp .aspx .ascx .ashx.cer.jsp .jspx
在上传的文件中使用一些特殊的符号,使得文件被上传到服务器中时路径被截断从而控制文件路径。常用的进行文件路径截断的字符如下:• • ?• %00在可以控制文件路径的情况下,使用超长的文件路径也有可能会导致文件路径截断。

.htaccess文件攻击.htaccess文件攻击即结合黑名单攻击服务器的 .htaccess文件 。通过move_uploaded_file函数把自己写的 .htaccess文件覆盖掉服务器上的这样就可以解析定义名单了。.htaccess文件用处:通过.htaccess文件调用php解释器去解析一个文件名中只要包含“haha”这个字符串的任意文件,无论你文件名是什么样子,只要包含”haha”这个字符串,都可以被以php的方式来解析。.htaccess文件内容:

SetHandler application/x-httpd-php
Apache解析漏洞test.php.aaa.bbb.ccc任意不属于黑名单且不属于Apache解析白名单之内的后缀名。
 


WampServer2.0All Version (WampServer2.0i / Apache 2.2.11) [Success]
WampServer2.1All Version (WampServer2.1e-x32 / Apache 2.2.17) [Success]
Wamp5 All Version (Wamp5_1.7.4 /Apache 2.2.6) [Success]
AppServ 2.4All Version (AppServ - 2.4.9 /Apache 2.0.59) [Success]
AppServ 2.5All Version (AppServ - 2.5.10 /Apache 2.2.8) [Success]
AppServ 2.6All Version (AppServ - 2.6.0 /Apache 2.2.8) [Success]
IIS7.0/7.5是对php解析时有一个类似于Nginx的解析漏洞, 对任意文件名只要在URL后面追加上字符串"/任意文件名.php"就会按照 php 的方式去解析eg:”/1.php”



任意文件名/任意文件名.php | 任意文件名%00.php

目前 Nginx 主要有这两种漏洞:• 一个是对任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原本文件名是 test.jpg,可以添加为 test.jpg/x.php 进行解析攻击。• eg: “/1.php”• 一种是对低版本的 Nginx 可以在任意文件名后面添加%00.php进行解析攻击。


Nginx 0.5.*• Nginx 0.6.*
• Nginx 0.7 <= 0.7.65
• Nginx 0.8 <= 0.8.37
以上Nginx容器器的版本下,上传⼀一个在waf白名单之内扩展名的⽂文件1.jpg,然后以1.jpg%00.php进行请求。


• Nginx 0.8.41 – 1.5.6:

• 以上Nginx容器器的版本下,上传⼀一个在waf白名单之内扩展名的⽂文1.jpg,然后以1.jpg%20%00.php进行请求


路径/拓展名检绕过• 黑名单绕过• 文件名大小写绕过• 名单列表绕过• 特殊文件名绕过• 0x00截断绕过•.htaccess文件攻击• Apache解析漏洞• IIS解析漏洞• Nginx解析漏洞


• 白名单绕过• 文件名后缀0x00截断绕过• PHP文件包含漏洞• IIS解析漏洞• Nginx解析漏洞


×

感谢您的支持,我们会一直保持!

扫码支持
请土豪扫码随意打赏,请先点一下下面的付款方式

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

 您阅读这篇文章共花了:

打赏作者
版权所有,转载注明出处:小白安全博客-菜鸟安全博客-小白个人博客 » 文件上传之中间件的绕过»https://www.xiaobaibk.com/xiao-bai-25.html

发表评论

表情

网友评论(1)

我也不知道
果冻小布丁 1年前 (2018-08-04) 回复