在web渗透中,最简单直接的方式就是文件上传。但是不做任何检测,直接getshell的现在已经很少了.我在平时的授权测试中,遇到的大多数都是对上传的文件内容,格式等检测的比较多的
按前端到后端绕过顺序分为:前端js检验、代码防护检测(比如waf)、服务端检测
一、文件上传安全配置
二、绕过服务端的代码检测
服务端的代码常检测request包中的三个点:
1)MIME类型
2)文件后缀
3)文件内容
理论上请求包的任何参数都可以作为检测点,但是对于文件上传功能来说,用户提交的请求包中这三个
地方,是辨别是否为恶意文件的重要的三个点,服务端检测基本都是检测这三个地方
1)MIME类型检测
代码中只校验了http头中的MIME类型。
request包中content-type字段改为image/jpeg)
这个逻辑适用于很多情况,这也是安全的基础:不信任任何客户端提交的数据。
2)文件后缀检测
文件名后缀检测分两种情况:白名单和黑名单。
绕过白名单或黑名单有诸多姿势:“服务器解析漏洞” 、 “文件命名规则”、“截断”、“长度
截断”、“条件竞争”、“双文件上传”、“可解析后缀”、“.htacees和user.ini”、“误用函数”
等等。
1、服务器解析漏洞
1.1、apache解析漏洞
对于Apache服务器来说,哪些后缀可以被解析是由什么决定呢?
apache中有一个关于php的默认配置文件,其中用正则指定了哪些后缀使用哪些解析器。
apache解析一个特点,解析文件时是从右往左判断,遇到不认识的后缀时,就跳过,于是就有了类似于
“.php.123”这种绕过方式。大多情况下,我们遇到apache解析漏洞的是配置错误导致的
1.2、nginx和iis7.5/7.0解析漏洞
此解析漏洞其实是php的配置错误导致。
php为了支持path info模式创造了fix_pathinfo这个选项,当它被打开时,fpm就会判断请求的文件是
否存在,如果不存在就去掉最后一个\开始的内容,再次查看文件是否存在,不存在再去掉从\开的内容
,循环往复。所以当请求d/file/2022-05-03-19/c4ngalhf3e3365673.jpg/.php这么个文件时,fpm会
把/.php去掉把shell.jpg当作php执行。
后来出现了seccurity.limit_extensions选项,这个选项默认配置.php文件才能被fpm执行。
利用条件:
1、fast-cgi模式运行
2、Fix_pathinfo为1 (默认为1)
3、seccurity.limit_extensions选项允许(默认只解析.php)
1.3、iis5.x- iis6.x解析漏洞
使用iis5–iis6的基本都是Windows server 2003这种老服务器了。
这种老服务器默认一般只解析asp。
这个解析漏洞很简单,就两条:
1、以*.asp命名的文件夹下所有文件都以asp文件执行
2、.asp;.jpg这种形式的命名方式会自动会忽略掉;后的内容。
2、文件命名规则
2.1、windows命名规则
1、文件名长度最大为255个英文字符。(或者是127个中文字符 1个英文字符)
2、全路径最大长度最大为260个字符。
3、访问文件不区分大小写(部分应用程序使用时除外),显示文件时有大小写。
4、开头不能使用空格,其他地方可以。
5、文件名不能包含: