渗透测试技术 第5章 Web应用渗透.pptVIP

大小写绕过 ·如果黑名单规则过于简单，仅仅是对我们上传的文件后缀名字符进行过滤，而没有区分大小，就可以利用文件后缀大小写绕过（windows下） 点和空格绕过 ·利用windows系统下的特性。当上传文件后缀名后面存在点跟空格时，上传文件被保存在在windows系统下时，后面的点跟空格会默认被去掉，利用这个特点，可以绕过一些黑名单规则。 ·例如 : test.php. test.php空格 空格绕过 ·通过在文件后缀增加空格绕过 点绕过 ·通过在文件后缀增加点绕过 php在window的时候如果文件名+::$DATA会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持::$DATA之前的文件名 点绕过 ::$DATA绕过 php在window的时候如果文件名+::$DATA会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持::$DATA之前的文件名 如果存在一些规则，导致删除我们黑名单列表中的字符，这时就可以利用双重后缀绕过 双后缀绕过 一些常见的web中间件在解析我们上传的文件时，由于涉及的缺陷，会产生一些畸形的错误解析，我们可以利用这些解析漏洞来突破上传限制。 解析漏洞 IIS6.0错误解析漏洞 目录解析 形式：/xx.asp/xx.jpg原理: 服务器默认会把.asp，.asa目录下的文件都解析成asp文件。 文件解析 形式：/xx.asp;.jpg原理：服务器默认不解析;号后面的内容，因此xx.asp;.jpg便被解析成asp文件了。 解析文件类型 IIS6.0 默认的可执行文件除了asp还包含这三种 : /test.asa /test.cer /test.cdx 常见解析漏洞 IIS7.0/7.5错误解析漏洞 形式：/UploadFiles/image/1.jpg/1.php 原理：IIS7.0/7.5的漏洞，都是由于php配置文件中，开启了cgi.fix_pathinfo,所以当接收到/1.jpg/1.php（不存在）参数时，会将1.jpg当做php文件解析 Nginx解析漏洞 与IIS7.5类似 常见解析漏洞 Apache解析漏洞 形式：/test.php.xxxxx 原理：Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断,直到遇到认识的后缀名为止。如果都不认识，则会暴露其源代码。 【IP:8080/test/1.php.xx.xxx.xx】 【IP:8080/test/1.xx.xxx.xx】 常见解析漏洞 文件上传白名单： 当客户端将文件提交到服务端的时候，服务端根据自己设定的白名单对客户端提交上来的文件扩展名进行判断，只允许扩展名为上传白名单内的文件。 白名单绕过 常见白名单列表绕过： Content-type类型 %00截断、0x00截断 配合解析漏洞绕过 。。。 白名单绕过 MIME类型检测的概念： 所谓MIME类型检测实际上就是客户端在上传文件到服务端的时候，服务端对客户端上传的文件的Content-Type类型进行检测，如果是白名单所允许的，则可以正常上传，否则上传失败。 Content-type类型绕过 常见的MIME类型 常见MIME类型： 超文本标记语言文本.html text/html 普通文本.txt text/plain PNG图像.png image/png GIF图形.gif image/gif JPEG图形.jpeg .jpg image/jpeg AU声音文件.au audio/basic AVI文件.avi video/x-msvideo GZIP文件.gz application/x-gzip TAR文件.tar application/x-tar 任意的二进制数据 application/octet-stream 抓包修改content-type类型 Content-type类型绕过 截断的核心在于chr()这个函数，这个函数表示返回以数值表达式值为编码的字符，举个例，print?chr（78）?结果是N，所以chr(0) 表示的ascii字符是null，当程序输出包含chr(0)变量时，chr(0)后面的数据会被截断，后面的数据直接忽略，导致漏洞产生。 %00与0x00两者原理都一样，都是ascii为0的字符，只是形式不同而已。 截断上传绕过 %00截断 截断上传绕过 0x00截断 截断上传绕