温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

shell上传绕过检测方法

发布时间:2020-06-04 09:01:30 来源:网络 阅读:1370 作者:董小洋 栏目:网络安全

  文件上传漏洞是所有漏洞中最为直接,有效的获取服务器权限的方法。但是想要利用好他并不容易,因为他的上传姿势实在是太过花哨(多)。所以这里介绍一些简单的上传姿势。望大牛误喷


shell上传条件:

1、上传点

2、绝对路径

3、要有权限


文件上传检验姿势

 1、客户端javascript校验(一般只校验后缀名)

 2、服务端校验 

    ①文件头content-type字段校验(image/gif)

    ②文件内容头校验(GIF89a)

    ③后缀名黑名单校验

    ④后缀名白名单校验

    ⑤自定义正则校验

 3、WAF设备校验(根据不同的WAF产品而定)


开始上传(先试着上传小马,然后在上传大马,因为有时大马更容易被吃掉)

1、直接上传shell,即php文件 (对文件类型不做限制)


2、更改后缀  

    上传其他允许上传格式的文件例如png、jpg。然后通过bp抓包再改后缀为php  

(在前端验证黑白名单。判断方式:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包。一般是javascript脚本)


3、利用解析漏洞(即在文件的绝对路径后加上 /xx.php)

    上传例如png的文件,利用解析漏洞  (含有解析漏洞的web服务器,iis6.0,iis7.0,iis7.5,Nginx低版本)


4、不可识别的后缀 (服务器端为黑名单验证)

    上传例如shell.php.abc文件,服务器因为不能识别abc后缀,所以向前查找可解析的后缀名。

   (此项只针对apache服务器 apache对文件后缀名的识别是从后向前进行匹配的,以单个.作为分隔符。当遇到未知的文件后缀名时,会继续向前匹配,直到遇到可以识别的后缀名为止。 apache的这个特性,可以被用来绕过一些上传文件的检测。如果一个文件上传的页面,通过黑名单的方式禁止上传php文件,那么我们就可以将文件名修改为test.php.abcd的方式进行上传)


5、00截断

    上传类似shell.php.jpg文件,用burpsuit抓包之更改hex值,在hex下找到shell.php.jpg将第二个点的值(我记得是2e)改为00,然后点击forward(将包放行)


6、图片马

    在win系统cmd下可以很容易将php文件与jpg或者png文件结合起来,例 copy /b 1.jpg+1.php shell.jpg 即可将图片与码结合起来了,因为有些服务器会检测图片头,若不是图片头是不允许上传的。将图片与码结合起来可以有效的隐藏***。这里别忘了要上传的是php文件,可以使用以上的那些方法

(这个是针对服务端content-type字段检验的)


7、.htaccess 文件***上传shell(服务器端为黑名单验证)

    .htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

    ①、写.htaccess文件

            需要用到的代码如下:

              <FilesMatch "cimer">

              SetHandler application/x-httpd一php

              </FilesMatch>

            (通过.htaccess文件,调用php的解析器解析一个文件名只要包含“cimer”这个字符串的任意文件。)

            然后保存文件(名称、类型如下)

           shell上传绕过检测方法

    ②、上传.htaccess文件

    ③、将shell后缀改为cimer

    ④、然后上传shell.cimer

    ⑤、然后就可以连接了

    如果看不懂看以参考  http://www.sohu.com/a/125498727_609556


上传方法很多,也有各种各样的奇葩绕过方法,我知道的也是九牛一毛,这里对奇葩事例记录一下,为防止以后忘记。

事例:海盗云商  会员改头像  burpsuit抓包后在content-type下加上文件大小 就可以getshell

    或者上传图片后再加入***,就可以getshell(这里有一个问题,就是<?php @eval($_POST['aaa'])  ?> 一句话是没有分号的,有分号            反而不成功)



https://www.cnblogs.com/shellr00t/p/6426945.html  这个网址不错可以看看

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI