前端检测绕过
关闭JS或者自己写一个上传页面,也可以根据情况使用其他方法。比如如果检测的是文件类型和文件后缀,可以先把要传的木马文件改一下后缀,抓包的时候在改回来。
内容检测绕过
常见的比如检测PHP的标签:<?php,对于这种情况,在开启了相应配置时,可以采用短开标签,比如<?=。或者没检测大小写的话切换大小写。如果还不行可以考虑<script language="php">这种常用于phtml的标签。
对于检测文件头是否是图片的,可以在文件开头补上GIF89a。
还有一些其他的内容检测手段,具体情况可以具体分析。
黑名单绕过
一般黑名单都是检测文件类型和文件后缀。文件类型实在是太容易修改了,直接改content-type即可,这里主要讨论关于文件后缀的绕过。黑名单这东西很难写的特别全,我们主要是利用他的这个点。比如限制了php,我们可以上传phtml,php3,php5等等,甚至可以上传.user.ini,.hatccess这种配置文件。还可以利用一些解析漏洞来进行绕过,下面单独讲一些解析漏洞。
解析漏洞
解析漏洞只有在特定的版本存在,有时间我在补充版本。
IIS解析漏洞
以.asp .asa等作为后缀命名的文件夹下面的文件,都会被当作可执行文件解析,而不会考虑这些文件夹下文件的后缀。
;后面的部分不被解析,比如1.asp;1.jpg,但是如果你利用黑名单检测,你的代码检测到的最终后缀将是jpg。
IIS畸形解析漏洞
比如上传了一个1.jpg,访问的时候输入1.jpg/1.php,会被当作PHP执行。
特定版本和设置的nginx也存在上述漏洞。
apache解析漏洞
一些apache解析文件时,从后往前来确定文件的后缀是啥,比如xxx.php.rar会按照php进行解析。
未完待续
白名单绕过
白名单是最难绕的,一般也是靠解析漏洞或者他没限制传配置文件来绕。比如利用%00截断,传输.user.ini。当然,也可以结合文件包含漏洞来解析木马。
结合文件包含
如果有文件包含,白名单都不管用,任何被包含的文件,都会被解析,文件名是啥都无所谓了。