+
文件上传的绕过
前端直接修改源码绕过
改下
content-TYpe看
行不行
%00截断攻击
,就是111.php%00.gif最后会解析成111.php
然后文件名绕过,常用的有大小写绕过,双写绕过。unicode编码绕过,用星号进行绕过,特殊的文件名绕过,如后面加个加号或者后面加个点,ox00截断,比如文件名后面加(0x00)还有pht, phpt, phtml, php3,php4,php5,php6之类的,这样有时也可以绕过
条件竞争攻击绕过
,服务器在文件上传到服务器之后才删除恶意文件,如果服务端没有恶意文件生成新文件的快的话就会导致新的恶意文件可以存活在服务器里,从而webshell,他的流量特征为eval,尖括号,php,fputs,fopen等函数
双文件上传绕过
,就是有些上传可以一次性上多个文件,但是服务端只检查第一个导致的漏洞
文件目录穿越绕过
二次渲染绕过
,就是你的图片尽管有木马,经过二次渲染木马也会被破快,我们用工具将木马写入不被渲染的那一部分
文件头绕过
配置文件绕过
,例如.htaccess文件,user.ini
日志包含绕过
文件流绕过
,通过在文件名后面加上$DATA进行绕过,该文件就会当成文件流处理而不检查后缀
回车换行绕过
分号截断进行绕过
有些数据包的格式是按照顺序决定类型而服务器却按字段来进行区分类型,如第一个代表
Content-Disposition
第二个代表Content-Type,只需要调换一下就可以达到绕过的目的
html文件类型
排查思路
看下流量特征
看一下是什么类型的文件上传,是冰蝎还是蚁剑还是其他的webshell工具,是什么漏洞引起的,是未授权漏洞还是正常的文件上传漏洞导致的
排查可疑项目
再看一下服务器基本情况,可以看一端口开放的情况,有没有开放3389远程桌面的端口,再排查一下可疑账户,看下有没有可疑的计划任务,查看下有没有可疑的进程,看下有没有可疑的文件,例如一些缓存文件c盘下的tmp或者temp文件,也可以利用d盾进行查找webshell,利用dumpit工具查找内存马