经验分享 | 文件上传个人bypass总结

前言

申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！

此文章由团队师傅AGONI贡献，转载请注明来源。

文章背景

这篇文章也是自己在实战中所遇见的一些总结，各位大师傅估计都知道这些最基础的问题，还是写给小白们的一点学习经验吧。

文章正文

超大文件名绕过

Content-Disposition: form-data; name=”file”; filename=”1.a.a.a.不要忽略我的长度.a.jsp

content-type绕过

前端js绕过，懂得都懂，常规图片马，burp改后缀。

脏字符绕过

适用于硬件WAF

硬件waf与云waf和软件waf的区分还是需要靠自己经验了，软件waf一般拦截都有一个特征页面，比如安全狗的那条狗，d盾的盾，最不好区分的就是云waf与硬件waf，这绝大部分需要依靠自己经验判别。

硬件WAF会发生脏字符绕过呢，数据包过大消耗内存，为了避免影响服务而放行，当然这是有概率的哈，如何快速提高概率呢？intruder带来无限可能，唯一缺陷，我电脑一跑容易死机。

当然WAF越贵越给力，来自金钱的力量，至于脏字符参数填充的地方，from-data 后面 ，或者，内容脏字符绕，当然内容脏字符绕过还是需要考虑一下语言注释符常见如jsp<!–注释内容–> php /**/ ，当waf检测内容数据包过大时，可能会放行，概率问题，运气不好，出门都摔跤的人还是别测了，老老实实成为一个无情的干饭机器吧。

云WAF绕过 云WAF ：常见 腾讯云WAF 云锁 。。。多多多多多多多多多多多多多的很。如何绕过？首先我们需要了解云WAF 的运作原理 云waf，WEB应用防火墙的云模式，这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。注意点：主要实现方式是利用DNS域名解析技术。部分可通过查找真实ip绕过。软件WAF 软waf 例如安全狗，D盾之类的软件，对于这种呢，大多是匹配规则库进行拦截。网上也有很多文章，强烈推荐先知文章贼棒啊。 查找真实ip whois 多处ping cdn 邮件服务器

文件名截断绕过

ZUI常见 0x00截断，%00截断，截断原理：能百度到的东西为什么需要自己写呢？

参考文章：https://blog.csdn.net/zpy1998zpy/article/details/80545408

windows特性 ：想不起来是个啥了换证也是特殊字符 ::$DATA 其他都都大差不差了，基本上都是利用系统特性导致的绕过

403常见绕过

403发生的原因归根结底还是没有执行权限，如何绕过没有执行权限呢？

目录穿越 ../

目录穿越绕过 ../\…/\

.htaccess 解析绕过，目标站点黑名单的情况下，上传可绕过没有执行权限

黑名单绕过

黑名单顾明意思，不允许上传哪几种后缀的文件，可就不让我上传这几种格式的后缀并不能难道我，我的手段之多令人发指，另外还有一些比较特别的，比如如果是ASP.NET(中间件为IIS)的站除了支持aspx asp asmx ashx cshtml 之外还有可能支持 php木马，所以遇见黑名单开心 的笑吧。阿巴阿巴，最简单的黑名单检测方式呢，上传一张图片随意更改一个不存在的后缀，如果能成功上传那么无疑了黑名单了。反之大概率白名单了。

常见后缀绕过

“.php”,”.php5″,”.php4″,”.php3″,”.php2″,“php1”, “.html”,”.htm”,”.phtml”,”.pht”,”.pHp”,”.pHp5″,”.pHp4″,”.pHp3″, “.pHp2”,“pHp1”,”.Html”,”.Htm”,”.pHtml”,”.jsp”,”.jspa”,”.jspx”, “.jsw”,”.jsv”,”.jspf”,”.jtml”,”.jSp”,”.jSpx”,”.jSpa”,”.jSw”, “.jSv”,”.jSpf”,”.jHtml”, “.asp”,”.aspx”,”.asa”,”.asax”,”.ascx”, “.ashx”,”.asmx”,”.cer”,”.aSp”,”.aSpx”,”.aSa”,”.aSax”,”.aScx”, “.aShx”,”.aSmx”,”.cEr”,”.sWf”,”.swf”

白名单绕过的条件

白名单只允许上传哪几种后缀，本质上无解，但是要是你的组件存在漏洞了，那可不好说哦组件漏洞：iis6.0 iis7 特定情况下解析漏洞 nginx 解析漏洞。 iis6.0 目录解析漏洞 文件夹以*asp命名所有文件将以asp文件执行 iis6.0 文件解析漏洞 *asp;.txt 文件将以asp执行

PHP文件包含绕过 ?file=ddxxxxxxxxx php站点白名单如果使用include（不仅仅限于include函数引入文件），且文件可控，多关注关注？参数总有意想不到的惊喜

参考文章： https://blog.csdn.net/cldimd/article/details/104994497

无返回路径解决措施

可以先上传一张图片，之后右击打开获取到路径，如重命名，那么可观察其命名规则，进行fuzz。当前上传时间，时间戳。

结合windows系统特性故意使用禁止的文件名，使系统报错，可能会获得上传到的路径。

其他绕过手段

http 参数污染 最直接的体现，在某些条件下：双写filename 或者直接多个 Content-Disposition：

参考文章： https://blog.csdn.net/weixin_39190897/article/details/113081278

也可用于sql注入的绕过。