文件上传黑名单限制的绕过总结

现在只对常读和星标的公众号才展示大图推送，建议大家把“潇湘信安”设为星标，否则可能看不到了！

公众号编辑器的插入代码又出BUG了，所以文章中没有贴出Webshell代码，懒的再去排版了，需要Webshell代码的师傅可以WX找我：S_3had0w

0x00 前言

常见黑名单禁止上传脚本：

找到一个上传点后先去测试看下是白名单还是黑名单限制，文件名+扩展名+上传目录是否可控，或者是否可以目录穿越（../跨目录），是否存在WAF等？如果为黑名单时可以尝试以下这些脚本扩展名。

0x02 Ashx Webshell

0x03 stm/shtm/shtml

MVC4.0环境部署：

本地测试环境为Windows 2012 (IIS8.5)，默认已经安装有.Net FrameWork 4.0，自己下载并安装ASP.NET MVC 4.0，将IIS中的“ISAPI和CGI限制”选项ASP.NET v4.0.0.30319设置为允许，最后在网站根目录下创建一个web.config配置文件即可，文件内容如下。

.Net FrameWork 4.0：https://www.microsoft.com/zh-CN/download/details.aspx?id=17851ASP.NET MVC 4.0：https://www.microsoft.com/zh-CN/download/details.aspx?id=30683

注意事项：

如果当前网站根目下没有web.config配置文件，或者没有指定.NET版本，在浏览器访问cmd.cshtml脚本时可能就会出现以下两种报错提示，如下图所示。

0x04 web.config Webshell

asp：.asp、.asa、.cer、.cdx、.htr、.cfm、.stm、.shtm、.shtml

aspx：.aspx、.asax、.ashx、.ashm、.asmx、.ascx、.svc、.soap、.cshtml

<?xml version="1.0" encoding="UTF-8"?><configuration>    <system.webServer>        <handlersaccessPolicy="Read" />    </system.webServer></configuration>

针对以上两种情况的绕过需要具备这几个条件：

• 1. 上传目录可控或者可通过../../跨目录将Webshell脚本上传到其他目录；

• 2. 允许上传*.config扩展文件，并且上传的文件不会被自动命名（如：日期/时间戳等自动生成文件名，这种国内好像很少，之前国外挺多的，现在就不知道了）。

如果具备以上条件，就可以直接上传我们修改好的web.config配置文件来执行命令或上线CS/MSF等，可在web.config最后修改自己要执行的Webshell脚本内容，如下图所示。

@on1_es 师傅在某项目中遇到的一个案例：.NET的站（任意文件上传），但在上传目录下有个web.config禁止了脚本执行，而且上传文件会自动命名，无法通过上传web.config方式绕过，如下图所示。

最后他是通过上传一个能正常解析的Sharp4SoapRootShell.soap脚本绕过了web.config禁止脚本执行限制成功拿到这个目标的Webshell权限，这里仅记录分享了下他的这个绕过方法，如下图所示。

实战项目案例二：

@Cek0ter 师傅遇到的另一个案例：.NET的站（任意文件上传），已成功上传一个ASPX马，但访问时会跳转到404页面，图片/文本又能正常访问，猜测也是web.config导致跳转到404页面，如下图所示。

最后他也是通过上传一个能正常解析的Sharp4SoapGodzlliav1.1.soap脚本绕过了web.config的重定向规则成功拿到这个目标的Webshell权限，这里仅记录分享了下他的这个绕过方法，如下图所示。

注：根据他的描述在传Sharp4SoapRootShell.soap时也会跳404，但Sharp4SoapGodzlliav1.1.soap这个又不跳，1个跳，1个不跳，这我是着实没太搞明白咋回事，等以后有空了再去单独研究下这个吧！！！

另外说一嘴在实战中遇到这种类似场景时还是得自己去测一下才知道具体是个什么情况。。。