专栏首页玄魂工作室如何寻找网站文件上传漏洞?

如何寻找网站文件上传漏洞?

首先找到文件上传的窗口,然后判断是服务器端还是客户端的验证,客户端较容易判断出来,最后检验是哪种服务器端的过滤方式。判断是客户端和服务端检验,再检验是白名单还是黑名单,根据具体情况来决定采用什么绕过方式。

文件上传漏洞:服务器端和客户端

服务器端:

.htaccess攻击:

这个攻击主要是上传一个.htaccess文件,让我们上传到服务器端的文件能运行起来

看一段代码来理解下:

<FilesMatch "Monster">SetHandler application/x-httpd一php</FilesMatch>

这段代码的意思就是,我上传的文件,只要是Monster.xxx就以php格式运行,例如当我上传一个Monster.txt,当我访问这个文件的时候,这个文件就会以php形式运行起来。

这个漏洞主要应用在:上传漏洞getshell,维持访问后门。

%00截断上传

当服务器端过滤文件的时候,是通过判断文件后缀来审查文件。

我们可以在传输这个文件改变文件的后缀名,例如:

www.xxx.com/qq.jpg(正常文件上传)

www.xxx.com/qq.php%00.jpg(上传一个php文件,但我们上传到服务器端要以php运行呀,所以要截断.jpg)

注意:%00这个在url上要编码成url形式,否则url编码之后上传上去就不是%00了,所以会产生错误。

Mine修改上传

当服务器端过滤文件的时候,是通过判断文件类型来审查文件。

那我们就要改数据包中的Content-Type

jpg的类型是:image/jpeg

伪造路径攻击

结合解析漏洞利用

编辑器任意文件上传

通常进到后台,大多数有个编辑器,这时候应该先确定是什么编辑器,再去网上进行搜索该编辑器对应版本的漏洞。

客户端:

JS绕过上传

JS验证时通过Java script来判断文件,过滤,这个好解决,就是直接删除过滤的代码,因为这是客户端代码,这些代码是直接显示出来的,所以我可以知道他们的代码。

或者通过捉包修改我们的数据包进行任意文件上传,可以看反应速度来确定下是不是js本地验证,客户端反应快。

本文分享自微信公众号 - 玄魂工作室(xuanhun521)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • AngularJS系列(十一)——路由和复制

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    逝兮诚
  • 后渗透之权限维护 整理

    可以看一下对比,创建test用户,net user查看用户是可以看见的,而admin$,因为加了个$符号,用net user命令是看不见的。

    天钧
  • java时区讲解

    代码地址:https://code.csdn.net/luo4105/javautilclass/tree/master下的TimeZoneTest.java文...

    逝兮诚
  • Tcl的字符串操作:其他字符串操作命令

    string命令提供了三种字符串裁剪方式:trim、trimleft和trimright。每种方式都需要两个参数,一个指定待裁剪的字符串,一个指定裁剪模式。默认...

    Lauren的FPGA
  • 云服务器web环境配置

    腾讯云服务器是现在越来越多站长以及企业建站的首选了,因为腾讯云背靠腾讯这颗大树,有10亿微信用户和10亿QQ用户流量考验验做为背书,有足够的技术实力和奖金实力让...

    用户6601676
  • 【安全测试】可怕的越权想法

    大家提到安全测试会肃然起敬,之前看了一篇越权文章深受启发,于是就产生了下面的一系列想法,纯属个人观点,但不局限于此,如有更好想法的朋友,可留言自己观点。

    橙子探索测试
  • 小程序识别身份证,银行卡,营业执照,驾照

    功能其实很简单,就是我们点对应的按钮后,去拍照或者去相册选择对应的图片。然后把图片上传到云存储,会有一个对应的图片url,然后把这个图片url传递到云函数,然后...

    编程小石头
  • shiro源码解析-doFilter

    shiro应该算的上java中最流行的权限框架了,使用的多了,便想着研究一下源码,看它究竟怎么运行的。

    逝兮诚
  • 腾讯云服务器部署步骤

    我们使用 oneinstack 一键安装包进行安装,oneinstack的官网地址是:https://oneinstack.com/ 您可以在上面获取更多安装信...

    用户6601691
  • SSH远程腾讯云服务器项目xdebug调试

    我的远程服务器是腾讯云的ubuntu系统机器,本地我的电脑系统是deepin的系统,使用的IDE是vscode。现在就来使用本地的IDE来调试腾讯云中为网站项目...

    用户2416682

扫码关注云+社区

领取腾讯云代金券