文件上传漏洞常用绕过方式

目录

文件上传漏洞原理

常用防御方式和常用防御方式的绕过

一、前端JS检测

二、MIME检测

三、白名单检测

%00截断

0x00截断

 四、黑名单绕过

文件拓展名绕过

.htaccess文件绕过 

 .user.ini.绕过

apache解析漏洞 

 IIS解析漏洞

Nginx解析漏洞 

widows系统文件命名规则的特殊利用 

 五、文件内容检测

①文件头检测

②shell检测

六、条件竞争

靶场实战

由于网站在对文件的上传功能中没有严格校验上传文件后缀和文件类型，导致上传的文件可以被解析成可执行的脚本文件（php、jsp、xml、cer等文件），以来达到攻击者的攻击目的

客户端前端在JavaScript代码中加入了对扩展名的黑白名单检查，我们可以直接禁用javasrcipt

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。

常见图片MIME类型: image/gif, image/png, image/jpeg, image/bmp, image/webp, image/x-icon, image/vnd.microsoft.icon

服务端代码是通过Content-Type的值来判断文件的类型，这样我们可以直接对文件的Content-Type进行修改来绕过此防御方式。

以PIKACHU平台漏洞为例：

 利用BP直接修改Content-Type值来绕过

要求只能是特定扩展名的文件才能上传

在url中%00表示ascll码的0 ，而ascii码的0，表示字符串结束，所以当url中出现%00时就会认为读取已结束

注：需满足 php 版本simple.php

文件存储时的后缀名为.php是可以被解析成php文件的，从而实现绕过

原理同%00截断原理相同

我们在BP中修改时，需要使用Hex模块，添加00

 我这里添加个+号是方便识别的

将这个"2b"改为00并发送就可以成功绕过了

使用扩展名黑名单来限制上传文件类型

概述来说，htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

.user.ini文件里的意思是：所有的php文件都自动包含指定的文件

 这个绕过方式前提是上传目录下要有可执行的php文件

Apache按从右到左的顺序识别文件后缀，直至找到后缀能匹配配置文件中的设置。遇到不能识别的后缀名便跳过。

 shell.php.xxx将会被解析成php文件，可用来绕过黑名单过滤

*.asa、*.asp格式的文件夹时其目录下的文件都会当做asp文件解析。

当文件名为*.asp;1.jpg时，IIS会以asp文件来解析，也就是说;起到了截断作用。

在Nginx的服务器环境下，假如成功上传一张名为test.jpg的文件到网站，如果我们访问/test.jpg/test.php这个虚构的目录时服务器会直接将test.jpg作为php文件进行解析。

shell.php. ———-文件名后加点‘.’

shell.php ———-文件名后加括号空格

shell.php::$DATA ———-文件名后加::$DATA

我们可以制作图片马来绕过

 或者在文件头部添加文件幻数

之前做过一道CTF题禁止了文件内容中出现