引言

分享一些文件上傳繞過(guò)的思路，下文內(nèi)容多包含實(shí)戰(zhàn)圖片，所以打碼會(huì)非常嚴(yán)重，可多看文字表達(dá)；本文僅用于交流學(xué)習(xí)， 由于傳播、利用此文所提供的信息而造成的任何直接或者間接的后果及損失，均由使用者本人負(fù)責(zé)，文章作者不為此承擔(dān)任何責(zé)任。

案例一

一次項(xiàng)目滲透時(shí)，通過(guò)往png后綴隨便加個(gè)字符可知該上傳點(diǎn)為白名單上傳，正常情況下無(wú)法繞過(guò)

通過(guò)觀察接口信息，發(fā)現(xiàn)接口名字為UploadImg，猜測(cè)該接口用于圖片上傳，按照開發(fā)的習(xí)慣，保不準(zhǔn)會(huì)存在temp、test，這類的接口，隨后通過(guò)fuzz找到存在的上傳接口（file），但此時(shí)的接口（file）上傳文件仍舊存在限制，需要繞過(guò)。

由于黑名單限制不夠嚴(yán)謹(jǐn)，經(jīng)過(guò)多個(gè)偽后綴嘗試，發(fā)現(xiàn).cer后綴可繞過(guò)限制并被解析

然后就getshell進(jìn)內(nèi)網(wǎng)，后面的操作就不多說(shuō)了。

很多師傅看到白名單上傳就會(huì)認(rèn)為這個(gè)上傳點(diǎn)足夠安全，無(wú)法繞過(guò)，但其實(shí)不然，在存在多個(gè)上傳接口的情況下，或許會(huì)存在沒(méi)做限制，或者限制不嚴(yán)格的上傳點(diǎn)也不一定，關(guān)鍵的是我們要如何發(fā)現(xiàn)這些接口，在此類接口存在限制時(shí)，如何去進(jìn)行繞過(guò)，下面再舉一個(gè)和接口繞過(guò)相關(guān)的例子。

案例二

upload_2018.php接口白名單上傳，在正常情況下，改變后綴會(huì)導(dǎo)致上傳失敗，如下

再進(jìn)一步測(cè)試時(shí)發(fā)現(xiàn)存在多個(gè)上傳接口，刪除_2018使用upload接口進(jìn)行文件上傳，可導(dǎo)致任意文件上傳

進(jìn)一步傳shell時(shí)發(fā)現(xiàn)存在waf（某訊云)，需進(jìn)一步繞過(guò)。

通過(guò)尋找域名真實(shí)IP，使用真實(shí)IP進(jìn)行文件上傳，繞過(guò)waf限制，為防止有心人，這里直接把IP給打碼蓋住了，以防萬(wàn)一。

很多時(shí)候有一些開發(fā)為了便捷性，在部署上傳接口時(shí)限制不夠嚴(yán)謹(jǐn)或壓根沒(méi)做限制，這導(dǎo)致一旦被繞過(guò)限制傳shell，都會(huì)導(dǎo)致非常嚴(yán)重的后果，當(dāng)然，我們可以找一些temp、test這類上傳接口，因?yàn)榇祟惤涌诙鄶?shù)是開發(fā)過(guò)程中用作測(cè)試的，這種接口幾乎都是無(wú)限上傳文件類型的，同樣的我們也可以找一些api文檔進(jìn)行上傳接口的發(fā)現(xiàn)，這或許會(huì)有驚喜也說(shuō)不定

案例三

這是一個(gè)把圖片轉(zhuǎn)base64的文件上傳類型，具體繞過(guò)如下：

通過(guò)抓包發(fā)現(xiàn)圖片是以base64進(jìn)行上傳的，觀察了下數(shù)據(jù)包，發(fā)現(xiàn)可通過(guò)更改upload_0字段內(nèi)容上傳任意文件

訪問(wèn)HTML頁(yè)面，成功被解析，可進(jìn)一步上傳shell獲取權(quán)限。

一句話shell上傳后發(fā)現(xiàn)無(wú)法執(zhí)行命令，之后通過(guò)上傳PHPinfo發(fā)現(xiàn)其存在disable_functions，利用某斯拉繞過(guò)限制，getshell

案例四

一個(gè)關(guān)于nginx解析漏洞的利用，這個(gè)漏洞是很久之前挖到的，這種漏洞現(xiàn)在應(yīng)該不會(huì)存在了，單單是waf都能欄掉，這個(gè)就作為思考開拓說(shuō)一下：

一次外網(wǎng)打點(diǎn)時(shí)發(fā)現(xiàn)了目標(biāo)的一個(gè)核心系統(tǒng)，通過(guò)踩點(diǎn)發(fā)現(xiàn)了某上傳功能，但上傳接口存在白名單限制，且無(wú)其它的上傳接口，由于這個(gè)站的shell比較重要，必須拿到，之后通過(guò)漏洞挖掘，發(fā)現(xiàn)目標(biāo)存在nginx解析漏洞，結(jié)合圖片上傳點(diǎn)成功獲取到了內(nèi)網(wǎng)據(jù)點(diǎn)。

其它場(chǎng)景&總結(jié)

有些時(shí)候文件上傳成功后端沒(méi)有返回路徑，只回顯了一個(gè)id號(hào)，這時(shí)候如果目標(biāo)存在注入的話，我們嘗試可以用sqlmap的–search參數(shù)或者SQLshell對(duì)返回的ID號(hào)進(jìn)行搜索，這樣說(shuō)不定就能找到shell地址了，之前在關(guān)于Swagger-UI下的滲透實(shí)戰(zhàn) 23也說(shuō)過(guò)，感興趣的可以去看看；也有文件上傳成功卻只回顯一個(gè)文件名的，在前不久的一次攻防就遇到這種情況，后來(lái)是用了fuzz找到了完整的shell路徑，另外在某些時(shí)候，上傳文件可以跨目錄，那么我們可以通過(guò)…/進(jìn)行跨目錄上傳，運(yùn)氣好的話，或許會(huì)在幾個(gè)…/后把shell傳到域名的根目錄下，如果當(dāng)前上傳文件夾無(wú)執(zhí)行權(quán)限，那么跨目錄上傳shell也是個(gè)不錯(cuò)的思路；另外，如果上傳目錄可控，可上傳文件到任意目錄的話，在linux場(chǎng)景我們可上傳一個(gè)ssh秘鑰用于遠(yuǎn)程登錄，極端一點(diǎn)的話，可考慮上傳passwd、shadow文件覆蓋系統(tǒng)用戶，但前提是權(quán)限要足夠大。

如果不能跨目錄，站點(diǎn)又沒(méi)有注入的話，那么我們可以嘗試尋找網(wǎng)站日志文件，例如泛微E-COLOGY日志的日志，像這種日志文件是有規(guī)律可循的，可以用burp進(jìn)行日志爆破，或許在日志文件中能找到shell路徑也說(shuō)不定。

再者就是文件包含和文件讀取了，文件讀取的話可以通過(guò)讀取日志和配置文件來(lái)發(fā)現(xiàn)shell地址，但是成功率太低了，至于文件包含，除了靶場(chǎng)和ctf，實(shí)戰(zhàn)還沒(méi)碰過(guò)。

還有一個(gè)關(guān)于burp的使用技巧，這是真實(shí)遇到的，上傳shell后沒(méi)有回顯路徑，但是通過(guò)http history搜索shell的名字發(fā)現(xiàn)了完整的shell路徑，因?yàn)閭魃先サ奈募?，如圖片這類的總歸是顯示出來(lái)的，這時(shí)候可以先在web應(yīng)用到處點(diǎn)點(diǎn)，多加載一些數(shù)據(jù)包，然后再到http history搜索shell的名字，或許會(huì)有驚喜也說(shuō)不定。

某些時(shí)候上傳黑名單不嚴(yán)謹(jǐn)，那么我們可用偽后綴進(jìn)行繞過(guò)，其它多的就不說(shuō)了，大概思路就這樣，當(dāng)繞過(guò)限制拿到shell時(shí)，總會(huì)給我?guī)?lái)樂(lè)趣，或許這就是我喜歡滲透的原因。

以上就是網(wǎng)絡(luò)安全漏洞滲透測(cè)試之文件上傳繞過(guò)思路案例詳解的詳細(xì)內(nèi)容，更多關(guān)于網(wǎng)絡(luò)安全漏洞滲透測(cè)試之文件上傳繞過(guò)的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論