文件上传之中间件的绕过

常用的一些可执行的文件脚本后缀：.php .php2 .php3 .php5 .phtml.asp .aspx .ascx .ashx.cer.jsp .jspx

在上传的文件中使用一些特殊的符号，使得文件被上传到服务器中时路径被截断从而控制文件路径。常用的进行文件路径截断的字符如下：• • ？• %00在可以控制文件路径的情况下，使用超长的文件路径也有可能会导致文件路径截断。

.htaccess文件攻击.htaccess文件攻击即结合黑名单攻击服务器的 .htaccess文件 。通过move_uploaded_file函数把自己写的 .htaccess文件覆盖掉服务器上的这样就可以解析定义名单了。.htaccess文件用处：通过.htaccess文件调用php解释器去解析一个文件名中只要包含“haha”这个字符串的任意文件，无论你文件名是什么样子，只要包含”haha”这个字符串，都可以被以php的方式来解析。.htaccess文件内容：

SetHandler application/x-httpd-php

Apache解析漏洞test.php.aaa.bbb.ccc任意不属于黑名单且不属于Apache解析白名单之内的后缀名。

WampServer2.0All Version (WampServer2.0i / Apache 2.2.11) [Success]
WampServer2.1All Version (WampServer2.1e-x32 / Apache 2.2.17) [Success]
Wamp5 All Version (Wamp5_1.7.4 /Apache 2.2.6) [Success]
AppServ 2.4All Version (AppServ - 2.4.9 /Apache 2.0.59) [Success]
AppServ 2.5All Version (AppServ - 2.5.10 /Apache 2.2.8) [Success]
AppServ 2.6All Version (AppServ - 2.6.0 /Apache 2.2.8) [Success]

IIS7.0/7.5是对php解析时有一个类似于Nginx的解析漏洞， 对任意文件名只要在URL后面追加上字符串"/任意文件名.php"就会按照 php 的方式去解析eg:”/1.php”

任意文件名/任意文件名.php | 任意文件名%00.php

目前 Nginx 主要有这两种漏洞:• 一个是对任意文件名，在后面添加/任意文件名.php的解析漏洞，比如原本文件名是 test.jpg，可以添加为 test.jpg/x.php 进行解析攻击。• eg: “/1.php”• 一种是对低版本的 Nginx 可以在任意文件名后面添加%00.php进行解析攻击。

Nginx 0.5.*• Nginx 0.6.*
• Nginx 0.7 <= 0.7.65
• Nginx 0.8 <= 0.8.37

以上Nginx容器器的版本下，上传⼀一个在waf白名单之内扩展名的⽂文件1.jpg，然后以1.jpg%00.php进行请求。

• Nginx 0.8.41 – 1.5.6：

• 以上Nginx容器器的版本下，上传⼀一个在waf白名单之内扩展名的⽂文1.jpg，然后以1.jpg%20%00.php进行请求

路径/拓展名检绕过• 黑名单绕过• 文件名大小写绕过• 名单列表绕过• 特殊文件名绕过• 0x00截断绕过•.htaccess文件攻击• Apache解析漏洞• IIS解析漏洞• Nginx解析漏洞

• 白名单绕过• 文件名后缀0x00截断绕过• PHP文件包含漏洞• IIS解析漏洞• Nginx解析漏洞