【轉】文件上傳個人bypass總結

題記

    不說了，大家加油。

    原文鏈接：http://0dayhack.net/index.php/2396/

超大文件名繞過

　　Content-Disposition: form-data; name="file"; filename="1.a.a.a.不要忽略我的長度.a.jsp

content-type繞過

　　前端js繞過，懂得都懂，常規圖片馬，burp改后綴。

臟字符繞過

適用於硬件WAF

　　硬件waf與雲waf和軟件waf的區分還是需要靠自己經驗了，軟件waf一般攔截都有一個特征頁面，比如安全狗的那條狗，d盾的盾，最不好區分的就是雲waf與硬件waf，這絕大部分需要依靠自己經驗判別。

　　硬件WAF會發生臟字符繞過呢，數據包過大消耗內存，為了避免影響服務而放行，當然這是有概率的哈，如何快速提高概率呢？intruder帶來無限可能，唯一缺陷，我電腦一跑容易死機。

　　當然WAF越貴越給力，來自金錢的力量，至於臟字符參數填充的地方，from-data 后面 ，或者，內容臟字符繞，當然內容臟字符繞過還是需要考慮一下語言注釋符常見如jsp<!–注釋內容–> php /**/ ，當waf檢測內容數據包過大時，可能會放行，概率問題，運氣不好，出門都摔跤的人還是別測了，老老實實成為一個無情的干飯機器吧。

雲WAF繞過

　　雲WAF ：常見 騰訊雲WAF 雲鎖 。。。多多多多多多多多多多多多多的很。如何繞過？ 首先我們需要了解雲WAF 的運作原理 雲waf，WEB應用防火牆的雲模式，這種模式讓用戶不需要在自己的網絡中安裝軟件程序或部署硬件設備，就可以對網站實施安全防護，它的主要實現方式是利用DNS技術，通過移交域名解析權來實現安全防護。用戶的請求首先發送到雲端節點進行檢測，如存在異常請求則進行攔截否則將請求轉發至真實服務器。注意點：主要實現方式是利用DNS域名解析技術。部分可通過查找真實ip繞過。軟件WAF 軟waf 例如安全狗，D盾之類的軟件，對於這種呢，大多是匹配規則庫進行攔截。網上也有很多文章，強烈推薦先知文章賊棒啊。

　　查找真實ip whois 多處ping cdn 郵件服務器

文件名截斷繞過

　　ZUI常見 0x00截斷，%00截斷，截斷原理：能百度到的東西為什么需要自己寫呢？

　　參考文章：https://blog.csdn.net/zpy1998zpy/article/details/80545408

　　windows特性 ：想不起來是個啥了換證也是特殊字符 ::$DATA 其他都都大差不差了，基本上都是利用系統特性導致的繞過

403常見繞過

　　403發生的原因歸根結底還是沒有執行權限，如何繞過沒有執行權限呢？

　　目錄穿越 ../

　　目錄穿越繞過 ../\…/\

　　.htaccess 解析繞過，目標站點黑名單的情況下，上傳可繞過沒有執行權限

黑名單繞過

　　黑名單顧明意思，不允許上傳哪幾種后綴的文件，可就不讓我上傳這幾種格式的后綴並不能難道我，我的手段之多令人發指，另外還有一些比較特別的，比如如果是ASP.NET(中間件為IIS)的站除了支持aspx asp asmx ashx cshtml 之外還有可能支持 php木馬，所以遇見黑名單開心 的笑吧。阿巴阿巴，最簡單的黑名單檢測方式呢，上傳一張圖片隨意更改一個不存在的后綴，如果能成功上傳那么無疑了黑名單了。反之大概率白名單了。

常見后綴繞過

　　".php",".php5″,".php4″,".php3″,".php2″,"php1", ".html",".htm",".phtml",".pht",".pHp",".pHp5″,".pHp4″,".pHp3″, ".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx", ".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw", ".jSv",".jSpf",".jHtml", ".asp",".aspx",".asa",".asax",".ascx", ".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx", ".aShx",".aSmx",".cEr",".sWf",".swf"

白名單繞過的條件

　　白名單只允許上傳哪幾種后綴，本質上無解，但是要是你的組件存在漏洞了，那可不好說哦組件漏洞：iis6.0 iis7 特定情況下解析漏洞 nginx 解析漏洞。

　　iis6.0 目錄解析漏洞 文件夾以*asp命名所有文件將以asp文件執行 iis6.0 文件解析漏洞 *asp;.txt 文件將以asp執行

　　PHP文件包含繞過

　　?file=ddxxxxxxxxx

　　php站點白名單如果使用include（不僅僅限於include函數引入文件），且文件可控，多關注關注？參數總有意想不到的驚喜

　　參考文章： https://blog.csdn.net/cldimd/article/details/104994497

無返回路徑解決措施

　　可以先上傳一張圖片，之后右擊打開獲取到路徑，如重命名，那么可觀察其命名規則，進行fuzz。當前上傳時間，時間戳。

　　結合windows系統特性故意使用禁止的文件名，使系統報錯，可能會獲得上傳到的路徑。

其他繞過手段

　　http 參數污染 最直接的體現，在某些條件下：雙寫filename 或者直接多個 Content-Disposition：

　　參考文章： https://blog.csdn.net/weixin_39190897/article/details/113081278

　　也可用於sql注入的繞過。