网络安全漏洞渗透测试之文件上传绕过思路案例详解
目录
- 引言
- 案例一
- 案例二
- 案例三
- 案例四
- 其它场景&总结
引言
分享一些文件上传绕过的思路,下文内容多包含实战图片,所以打码会非常严重,可多看文字表达;本文仅用于交流学习, 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
案例一
一次项目渗透时,通过往png后缀随便加个字符可知该上传点为白名单上传,正常情况下无法绕过
通过观察接口信息,发现接口名字为UploadImg,猜测该接口用于图片上传,按照开发的习惯,保不准会存在temp、test,这类的接口,随后通过fuzz找到存在的上传接口(file),但此时的接口(file)上传文件仍旧存在限制,需要绕过。
由于黑名单限制不够严谨,经过多个伪后缀尝试,发现.cer后缀可绕过限制并被解析
然后就getshell进内网,后面的操作就不多说了。
很多师傅看到白名单上传就会认为这个上传点足够安全,无法绕过,但其实不然,在存在多个上传接口的情况下,或许会存在没做限制,或者限制不严格的上传点也不一定,关键的是我们要如何发现这些接口,在此类接口存在限制时,如何去进行绕过,下面再举一个和接口绕过相关的例子。
案例二
upload_2018.php接口白名单上传,在正常情况下,改变后缀会导致上传失败,如下
再进一步测试时发现存在多个上传接口,删除_2018使用upload接口进行文件上传,可导致任意文件上传
进一步传shell时发现存在waf(某讯云),需进一步绕过。
通过寻找域名真实IP,使用真实IP进行文件上传,绕过waf限制,为防止有心人,这里直接把IP给打码盖住了,以防万一。
很多时候有一些开发为了便捷性,在部署上传接口时限制不够严谨或压根没做限制,这导致一旦被绕过限制传shell,都会导致非常严重的后果,当然,我们可以找一些temp、test这类上传接口,因为此类接口多数是开发过程中用作测试的,这种接口几乎都是无限上传文件类型的,同样的我们也可以找一些api文档进行上传接口的发现,这或许会有惊喜也说不定
案例三
这是一个把图片转base64的文件上传类型,具体绕过如下:
通过抓包发现图片是以base64进行上传的,观察了下数据包,发现可通过更改upload_0字段内容上传任意文件
访问HTML页面,成功被解析,可进一步上传shell获取权限。
一句话shell上传后发现无法执行命令,之后通过上传PHPinfo发现其存在disable_functions,利用某斯拉绕过限制,getshell
案例四
一个关于nginx解析漏洞的利用,这个漏洞是很久之前挖到的,这种漏洞现在应该不会存在了,单单是waf都能栏掉,这个就作为思考开拓说一下:
一次外网打点时发现了目标的一个核心系统,通过踩点发现了某上传功能,但上传接口存在白名单限制,且无其它的上传接口,由于这个站的shell比较重要,必须拿到,之后通过漏洞挖掘,发现目标存在nginx解析漏洞,结合图片上传点成功获取到了内网据点。
其它场景&总结
有些时候文件上传成功后端没有返回路径,只回显了一个id号,这时候如果目标存在注入的话,我们尝试可以用sqlmap的–search参数或者SQLshell对返回的ID号进行搜索,这样说不定就能找到shell地址了,之前在关于Swagger-UI下的渗透实战 23也说过,感兴趣的可以去看看;也有文件上传成功却只回显一个文件名的,在前不久的一次攻防就遇到这种情况,后来是用了fuzz找到了完整的shell路径,另外在某些时候,上传文件可以跨目录,那么我们可以通过…/进行跨目录上传,运气好的话,或许会在几个…/后把shell传到域名的根目录下,如果当前上传文件夹无执行权限,那么跨目录上传shell也是个不错的思路;另外,如果上传目录可控,可上传文件到任意目录的话,在linux场景我们可上传一个ssh秘钥用于远程登录,极端一点的话,可考虑上传passwd、shadow文件覆盖系统用户,但前提是权限要足够大。
如果不能跨目录,站点又没有注入的话,那么我们可以尝试寻找网站日志文件,例如泛微E-COLOGY日志的日志,像这种日志文件是有规律可循的,可以用burp进行日志爆破,或许在日志文件中能找到shell路径也说不定。
再者就是文件包含和文件读取了,文件读取的话可以通过读取日志和配置文件来发现shell地址,但是成功率太低了,至于文件包含,除了靶场和ctf,实战还没碰过。
还有一个关于burp的使用技巧,这是真实遇到的,上传shell后没有回显路径,但是通过http history搜索shell的名字发现了完整的shell路径,因为传上去的文件,如图片这类的总归是显示出来的,这时候可以先在web应用到处点点,多加载一些数据包,然后再到http history搜索shell的名字,或许会有惊喜也说不定。
某些时候上传黑名单不严谨,那么我们可用伪后缀进行绕过,其它多的就不说了,大概思路就这样,当绕过限制拿到shell时,总会给我带来乐趣,或许这就是我喜欢渗透的原因。
以上就是网络安全漏洞渗透测试之文件上传绕过思路案例详解的详细内容,更多关于网络安全漏洞渗透测试之文件上传绕过的资料请关注我们其它相关文章!
相关推荐
-
大规格文件的上传优化思路详解
在开发过程中,收到这样一个问题反馈,在网站上传 100 MB 以上的文件经常失败,重试也要等老半天,这就难为需要上传大规格文件的用户了.那么应该怎么做才能快速上传,就算失败了再次发送也能从上次中断的地方继续上传呢?下文为你揭晓答案~ 温馨提示:配合 Demo 源码一起阅读效果更佳 整体思路 第一步是结合项目背景,调研比较优化的解决方案. 文件上传失败是老生常谈的问题,常用方案是将一个大文件切片成多个小文件,并行请求接口进行上传,所有请求得到响应后,在服务器端合并所有的分片文件.当分片上传失败,可
-
webshell权限提升技巧
WEBSHELL权限提升技巧 c: d: e:..... C:\Documents and Settings\All Users\「开始」菜单\程序\ 看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径, C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密码,登陆 c:\Pro
-
ASP的chr(0)文件上传漏洞原理和解决方法介绍
我们在用ASP开发文件上传功能的时候,为了防止用户上传木马程序,常常会限制一些文件的上传,常用的方法是判断一下上传文件的扩展名是否符合规定,可以用right字符串函数取出上传文件的文件名的后四位,这样很容易就能判断了,但是这里面有一个漏洞,非常危险,就是chr(0)漏洞,详情请接着往下看. 一.首先解释下什么是chr(0)? 在ASP中可以用chr()函数调用ASCII码,其中chr(0)表示调用的是一个结束字符,简单的说当一个字符串中包含chr(0)字符时,只能输出chr(0)前面的字符,ch
-
Web网络安全漏洞分析XSS常用语句及编码绕过详解
目录 XSS进阶 XSS常用语句及编码绕过 XSS常用的测试语句 JS编码 HTML实体编码 URL编码 XSS进阶 XSS常用语句及编码绕过 XSS常用的测试语句 <img src=1 alert(1)> (显示1) <script>alert("xss")</script> (显示xss) <script>alert(document.cookie)</script> (显示cookie) <script>wi
-
网络安全漏洞渗透测试之文件上传绕过思路案例详解
目录 引言 案例一 案例二 案例三 案例四 其它场景&总结 引言 分享一些文件上传绕过的思路,下文内容多包含实战图片,所以打码会非常严重,可多看文字表达:本文仅用于交流学习, 由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任. 案例一 一次项目渗透时,通过往png后缀随便加个字符可知该上传点为白名单上传,正常情况下无法绕过 通过观察接口信息,发现接口名字为UploadImg,猜测该接口用于图片上传,按照开发的习惯,保不准会存在te
-
Apache 文件上传与文件下载案例详解
写一个Apache文件上传与文件下载的案例:以供今后学习 web.xml配置如下: <span style="font-family:SimSun;font-size:14px;"><?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns=&
-
FasfDFS整合Java实现文件上传下载功能实例详解
在上篇文章给大家介绍了FastDFS安装和配置整合Nginx-1.13.3的方法,大家可以点击查看下. 今天使用Java代码实现文件的上传和下载.对此作者提供了Java API支持,下载fastdfs-client-java将源码添加到项目中.或者在Maven项目pom.xml文件中添加依赖 <dependency> <groupId>org.csource</groupId> <artifactId>fastdfs-client-java</arti
-
Socket+JDBC+IO实现Java文件上传下载器DEMO详解
该demo实现的功能有: 1.用户注册: 注册时输入两次密码,若两次输入不一致,则注册失败,需要重新输入.若用户名被注册过,则提示用户重新输入用户名: 2.用户登录: 需要验证数据库中是否有对应的用户名和密码,若密码输错三次,则终止用户的登录操作: 3.文件上传: 从本地上传文件到文件数据库中 4.文件下载: 从数据库中下载文件到本地 5.文件更新: 根据id可更新数据库中的文件名 6.文件删除: 根据id删除数据库中某一个文件 7.看数据库所有文件; 8.查看文件(根据用户名); 9.查看文件
-
JavaWeb实现文件上传与下载实例详解
在Web应用程序开发中,文件上传与下载功能是非常常用的功能,下面通过本文给大家介绍JavaWeb实现文件上传与下载实例详解. 对于文件上传,浏览器在上传的过程中是将文件以流的形式提交到服务器端的,如果直接使用Servlet获取上传文件的输入流然后再解析里面的请求参数是比较麻烦,所以一般选择采用apache的开源工具common-fileupload这个文件上传组件.这个common-fileupload上传组件的jar包可以去apache官网上面下载,common-fileupload是依赖于c
-
基于BootStrap Metronic开发框架经验小结【五】Bootstrap File Input文件上传插件的用法详解
Bootstrap文件上传插件File Input是一个不错的文件上传控件,但是搜索使用到的案例不多,使用的时候,也是一步一个脚印一样摸着石头过河,这个控件在界面呈现上,叫我之前使用过的Uploadify 好看一些,功能也强大些,本文主要基于我自己的框架代码案例,介绍其中文件上传插件File Input的使用. 1.文件上传插件File Input介绍 这个插件主页地址是:http://plugins.krajee.com/file-input,可以从这里看到很多Demo的代码展示:http:/
-
SpringBoot+微信小程序实现文件上传与下载功能详解
目录 1.文件上传 1.1 后端部分 1.2 小程序前端部分 1.3 实现效果 2.文件下载 2.1 后端部分 2.2 小程序前端部分 2.3 实现效果 1.文件上传 1.1 后端部分 1.1.1 引入Apache Commons FIleUpload组件依赖 <!--文件上传与下载相关的依赖--> <dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fil
-
JavaScript进阶之前端文件上传和下载示例详解
目录 文件下载 1.通过a标签点击直接下载 2.open或location.href 3.Blob和Base64 文件上传 文件上传思路 File文件 上传单个文件-客户端 上传文件-服务端 多文件上传-客户端 大文件上传-客户端 大文件上传-服务端 文件下载 1.通过a标签点击直接下载 <a href="https:xxx.xlsx" rel="external nofollow" download="test">下载文件</
-
使用python flask框架开发图片上传接口的案例详解
python版本:3.6+ 需要模块:flask,pillow 需求:开发一个支持多格式图片上传的接口,并且将图片压缩,支持在线预览图片. 目录结构: app.py编辑内容: from flask import Flask, request, Response, render_template from werkzeug.utils import secure_filename import os import uuid from PIL import Image, ExifTags app =
-
jQuery文件上传控件 Uploadify 详解
基于jquery的文件上传控件,支持ajax无刷新上传,多个文件同时上传,上传进行进度显示,删除已上传文件. 要求使用jquery1.4或以上版本,flash player 9.0.24以上. 有两个版本,一个用flash,一个是html5.html5的需要付费~所以这里只说flash版本的用法. 官网:http://www.uploadify.com/ 控件截图: 用法: 首先引用下面的文件 <link rel="stylesheet" type="text/css&