網絡安全漏洞滲透測試之文件上傳繞過思路案例分析
本篇內容介紹了“網絡安全漏洞滲透測試之文件上傳繞過思路案例分析”的有關知識��,在實際案例的操作過程中�����,不少人都會遇到這樣的困境���,接下來就讓小編帶領大家學習一下如何處理這些情況吧���!希望大家仔細閱讀�,能夠學有所成�!
案例一
一次項目滲透時�,通過往png后綴隨便加個字符可知該上傳點為白名單上傳���,正常情況下無法繞過
通過觀察接口信息�����,發現接口名字為UploadImg�,猜測該接口用于圖片上傳�����,按照開發的習慣�,保不準會存在temp�����、test���,這類的接口�,隨后通過fuzz找到存在的上傳接口(file)����,但此時的接口(file)上傳文件仍舊存在限制����,需要繞過�。
由于黑名單限制不夠嚴謹�����,經過多個偽后綴嘗試��,發現.cer后綴可繞過限制并被解析
然后就getshell進內網�,后面的操作就不多說了���。
很多師傅看到白名單上傳就會認為這個上傳點足夠安全��,無法繞過���,但其實不然����,在存在多個上傳接口的情況下�,或許會存在沒做限制�����,或者限制不嚴格的上傳點也不一定��,關鍵的是我們要如何發現這些接口����,在此類接口存在限制時�,如何去進行繞過���,下面再舉一個和接口繞過相關的例子���。
案例二
upload_2018.php接口白名單上傳��,在正常情況下��,改變后綴會導致上傳失敗�����,如下
再進一步測試時發現存在多個上傳接口�,刪除_2018使用upload接口進行文件上傳��,可導致任意文件上傳
進一步傳shell時發現存在waf(某訊云)�,需進一步繞過���。
通過尋找域名真實IP�����,使用真實IP進行文件上傳��,繞過waf限制�,為防止有心人��,這里直接把IP給打碼蓋住了�����,以防萬一�����。
很多時候有一些開發為了便捷性����,在部署上傳接口時限制不夠嚴謹或壓根沒做限制�����,這導致一旦被繞過限制傳shell���,都會導致非常嚴重的后果�����,當然����,我們可以找一些temp����、test這類上傳接口�����,因為此類接口多數是開發過程中用作測試的���,這種接口幾乎都是無限上傳文件類型的�����,同樣的我們也可以找一些api文檔進行上傳接口的發現�����,這或許會有驚喜也說不定
案例三
這是一個把圖片轉base64的文件上傳類型��,具體繞過如下:
通過抓包發現圖片是以base64進行上傳的����,觀察了下數據包�,發現可通過更改upload_0字段內容上傳任意文件
訪問HTML頁面�,成功被解析�����,可進一步上傳shell獲取權限�����。
一句話shell上傳后發現無法執行命令����,之后通過上傳PHPinfo發現其存在disable_functions�,利用某斯拉繞過限制�,getshell
案例四
一個關于nginx解析漏洞的利用���,這個漏洞是很久之前挖到的����,這種漏洞現在應該不會存在了�����,單單是waf都能欄掉�����,這個就作為思考開拓說一下:
一次外網打點時發現了目標的一個核心系統��,通過踩點發現了某上傳功能����,但上傳接口存在白名單限制����,且無其它的上傳接口��,由于這個站的shell比較重要��,必須拿到�,之后通過漏洞挖掘�,發現目標存在nginx解析漏洞����,結合圖片上傳點成功獲取到了內網據點����。
其它場景&總結
有些時候文件上傳成功后端沒有返回路徑��,只回顯了一個id號�,這時候如果目標存在注入的話���,我們嘗試可以用sqlmap的–search參數或者SQLshell對返回的ID號進行搜索����,這樣說不定就能找到shell地址了��,之前在關于Swagger-UI下的滲透實戰 23也說過����,感興趣的可以去看看����;也有文件上傳成功卻只回顯一個文件名的���,在前不久的一次攻防就遇到這種情況�����,后來是用了fuzz找到了完整的shell路徑���,另外在某些時候�,上傳文件可以跨目錄��,那么我們可以通過…/進行跨目錄上傳�,運氣好的話����,或許會在幾個…/后把shell傳到域名的根目錄下�����,如果當前上傳文件夾無執行權限��,那么跨目錄上傳shell也是個不錯的思路����;另外���,如果上傳目錄可控��,可上傳文件到任意目錄的話�����,在linux場景我們可上傳一個ssh秘鑰用于遠程登錄�����,極端一點的話���,可考慮上傳passwd���、shadow文件覆蓋系統用戶�����,但前提是權限要足夠大�����。
如果不能跨目錄���,站點又沒有注入的話���,那么我們可以嘗試尋找網站日志文件����,例如泛微E-COLOGY日志的日志��,像這種日志文件是有規律可循的���,可以用burp進行日志爆破��,或許在日志文件中能找到shell路徑也說不定�。
再者就是文件包含和文件讀取了�����,文件讀取的話可以通過讀取日志和配置文件來發現shell地址�,但是成功率太低了���,至于文件包含�����,除了靶場和ctf����,實戰還沒碰過�����。
還有一個關于burp的使用技巧�,這是真實遇到的�����,上傳shell后沒有回顯路徑�����,但是通過http history搜索shell的名字發現了完整的shell路徑���,因為傳上去的文件�����,如圖片這類的總歸是顯示出來的���,這時候可以先在web應用到處點點��,多加載一些數據包�����,然后再到http history搜索shell的名字���,或許會有驚喜也說不定����。
某些時候上傳黑名單不嚴謹�����,那么我們可用偽后綴進行繞過���,其它多的就不說了����,大概思路就這樣����,當繞過限制拿到shell時����,總會給我帶來樂趣����,或許這就是我喜歡滲透的原因���。
“網絡安全漏洞滲透測試之文件上傳繞過思路案例分析”的內容就介紹到這里了��,感謝大家的閱讀�。如果想了解更多行業相關的知識可以關注億速云網站��,小編將為大家輸出更多高質量的實用文章���!
