点击上方蓝字关注我们
本系列实战笔记为红日安全核心人员学习渗透测试期间记录实战笔记,该笔记主要记录自己学习Web安全和渗透测试一个时间路线,希望可以帮助目前在学习Web安全或者是学习渗透测试的同学不知如何下手,或者是对这个方向比较感兴趣的同学,目前该笔记包含以下几个方向内容: 1、黑客工具使用; 2、Web安全方向,包含SQL注入、XSS跨站、命令执行、SSRF等Web安全方向知识; 3、PHP语言讲解笔记 4、PHP代码审计笔记 5、WAF绕过笔记 6、逻辑漏洞学习笔记 希望阿痕自己学习笔记可以帮助更多想学习Web安全同学,另外该笔记为系列文章,转载请标注来源
1 前言
2.1 客户端后缀检测
工具准备:DVWA程序,burpsuite,中国菜刀。
.txt
文档,里面写入咱们的一句话木马,然后将后缀名改为.php,
一句话木马为然后打开DVWA
程序,将安全模式改为medium(中级)
,点击 File Upload
模块,然后将咱们刚才创建的一句话.php文件上传,然后咱们发现被阻止了,只允许上传JPEG和PNG两种格式。
接下来。咱们将写入一句话的文件,后缀改为.png格式,然后通过burpsuite抓包
然后咱们发现,放行后,文件成功上传
然后咱们去根目录找一找,果然找到了咱们上传的文件
接下来,打开中国菜刀,输入上传木马的路径,输入密码,发现获取到目标网站的webshell
2.2 服务端MIME类型检测绕过
检测原理:用户上传文件时,服务器会获取这个文件的MIME值,与事先设置好的进行比对,如果不一致,说明上传文件非法。
咱们查看一下源代码,代码来源与DVWA
通过分析第16行代码可以知道,我们将content-type 值改为image/jpeg,image/png,就可以绕过,因为页面不显示,咱们需要通过抓包工具进行修改。
2.3 服务端文件扩展名检测绕过
2.3.1 黑名单检测绕过
在我们的web程序中,一般有个blacklist文件,里面会包含常见的危险脚本文件,不过这种黑名单相当不靠谱,一般会包含下图这些。可以使用各种方法绕过。
(1)文件大小写绕过
只要把我们把后缀改为 pHp,Asp等就可以尝试绕过。
(2)名单列表绕过
可以尝试使用黑名单没有的一些后缀名,如 asa cer 等等
(3)特殊文件名绕过
我们可是使用 xxx.asp. 或者 xxx.asp_ 等等,这样的命名方式,再Windows系统里是不行的,需要抓包修改。绕过验证后,Windows系统会自动去掉下滑线等。需要注意的是Unix和Linux没有这种特性,因为他们不区分大小写。
(4)0x00 截断绕过
这里的00对应的是16进制里面的,相当于一个空格,当系统读取到设置的那里就会停止向下读取。实现咱们的目的。比如上传php.php.png 文件,里面包含一句话木马,我们只需要将第二个小黑点改为空格,也就是将16进制的2e 改为00
(5) .htaccess文件攻击
这个就比较邪恶了,如果可以上传.htaccess文件的话,文件里面输入如下内容
然后再上传一个文件,不需要后缀名,文件名没要求,需要注意的是这个文件不仅要包含一句话木马,还要有.htaccess里面的"shuaige" ,之后通过菜刀连接就可以了。
2.3.2 白名单检测绕过
白名单相对于黑名单安全很多,方法相对也较少,可以尝试.htaccess上传攻击。
2.4 服务端文件内容检测绕过
如果对文件内容检测较为严格,可以在图片中插入一句话木马,如果手工插的话可能破坏图片结构,推荐使用工具插入,比如 edjpgcom ,只需要将托向它,它会弹出一个框框,在里面输入一句话木马就可以了。工具需要的自行下载。工具只支持 jpg格式的图片
链接:https://pan.baidu.com/s/1nDogyIOAXvAR_OxQraALpw 提取码:gtwn 拖入后,写入一句话木马,记事本打开图片查看,发现完美插入图片中
2.5 解析漏洞
(1) IIS5.x-6.x解析漏洞
这个比较古老了,这个解析漏洞只能解析.asp文件,对aspx没办法。
-
目录解析
-
文件解析
-
解析文件类型
(3) Nginx解析漏洞
-
Nginx中php配置错误导致的解析漏洞
-
Nginx(<8.03)畸形解析漏洞
然后访问xxx.jpg/.php,在这个目录下就会生成 shell.php
-
Nginx(<8.03) 空字节代码执行漏洞
3 总结
红日安全出品|转载请注明来源
文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! (来源:红日安全) 海量安全课程
阅读原文 即可观看
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论