1、绕过前端js检测
(1)将要上传的php文件改成jpg或在其他允许上传的文件格式,抓包,在bp里面将格式改回php
(2)F12查看源代码,将判断文件格式的函数删除
2、绕过content-type检测上传
上传脚本文件,抓包将content-type改成image/jpeg或其他允许上传的文件格式即可绕过上传
3、绕过黑名单上传
上传黑名单以外的后缀名,在iis里asp禁止上传了,可以上传asa、cer、cdx这些后缀,如果网站允许.net执行,可以上传ashx代替aspx。
在apache里如果开启了application/x-http-php,后缀名phtml、php3均被解析成php
4、htaccess重写解析绕过
如果黑名单过滤了所有可执行的后缀名,如果允许上传.htaccess文件。此文件可以实现:文件夹密码保护、用户自动重定向、自定义错误页面、改变文件扩展名、封禁特定ip地址的用户、只允许特定ip地址用户、禁止目录列表,以及使用其他文件作为index文件等功能。
在htaccess里写入SetHandler application/x-httpd-php可以重写成php文件。要htaccess的规则生效,需要在apache开启rewrite重写模块,大多数都是开启了这个模块的
<FilesMatch "jpg">
SetHandler application/x-httpd-php
</FilesMatch>
先上传后缀改成jpg的恶意文件,再上传htaccess,就会将jpg后缀名改成php
5、大小写绕过
后缀名 Php、pHp、phP、PhP、PHp、PHP等
6、空格绕过
上传模块中采用黑名单上传,没有对空格进行去掉就可能被绕过
抓包在后缀加空格即可
7、利用windows系统特征绕过
(1)在windows中文件后缀名,系统会自动忽略. 所以shell.php.和shell.php的效果一样。
(2)如果后缀名没有对::$DATA进行判断,利用windows系统NTFS特征可以绕过上传,抓包将恶意文件后缀改成
.php::$DATA
8、利用windows环境叠加特征绕过
在windows中上传文件名name.php:.jpg的时候,会在目录下产生空白的文件名name.php
再利用php和windows环境叠加属性
以下符号再在正则匹配时相等
" 等于 .
> 等于 ?
< 等于 *
上传jpg文件,抓包,文件后缀改成name.php:.jpg,会在目录下生成一个name.php的文件,回到bp,后缀改成name.>>>然后将要写入的内容写在下方
9、双写后缀名绕过
有些会把黑名单后缀名替换成空,使用双写,asaspp、pphphp即可绕过
10、目录可控%00 截断绕过
上传参数目录可控攻击:在gpc关闭,php版本小于5.3.4的情况下,可以用%00对目录或文件名进行截断
上传后缀名为jpg的恶意文件,抓包,在路径上增加name.php%00
目录可控post绕过:上面时Get请求的,可以直接在URL输入%00即可截断,但是在post下需要把%00解码编程空白符才有效
上传后缀名为jpg的恶意文件,抓包,在路径上增加name.php%00,将%00转换成URl-decode
11、文件头检测绕过
1、制作图片一句话木马,使用copy name1.gif/b +name2.php shell.php,将php文件附加在gif图片上直接上传即可,上面的命令时将两个文件附加在一起形成新的文件,再将形成的文件改成能上传的后缀即可
2、上传脚本,抓包,在上传的数据包头加上能上传的文件的文件头即可
常见的文件头:jpg = FFD8FF png = 89504E47
gif = 47494638 tif = 49492A00 bmp = 424D
12、图片检测函数上传
getimagesize是获取图片的大小,只有是图片才能上传,用图片马绕过
13、绕过图片二次渲染上传
首先判断是否允许上传gif,gif图片在二次渲染后与原图片差别不大,所以二次渲染攻击最好用gif图片马,使用HxDHexEditor工具,用工具打开原图与二次渲染后的图片,在对应文本中对比下相同的地方,在相同的地方写入一句话木马覆盖
14、文件名可控绕过上传
文件上传时,文件名可被客户端修改控制,导致漏洞产生
1、上传文件,文件名用%00截断,例如1.php%00.jpg截断后成1.php
2、与中间件的漏洞配合使用,iis6.0里1.php;1.jpg apache里 1.php.a也能解析文件,也可以使用/. ,抓包在文件名后面加/.也可绕过
15、数组并接绕过
16、文件上传其他漏洞
在nginx 0.83 里,1.jpg%00php
apache 1x或者2x里,当apache遇到不认识的后缀名,就会向前解析,例如a.php.rar,不认识rar就会向前解析,直到它认识的后缀名
phpcgi漏洞(在nginx iis7或者以上)上传图片1.jpg。访问1.jpg/1.php也会解析成php
apache HTTPD换行解析漏洞(CVE-2017-15715)
apache通过mod_php来运行脚本,其2.4.0-2.4.29中存在apache换行解析漏洞,在解析php时,xxx.php\0xA将被按照php后缀进行解析
17、文件上传漏洞检测方法
判断是否为黑白名单,如果时白名单,寻找可控参数。如果是黑名单禁止上传,可以用有危害的后缀名批量提交测试,寻找遗留的执行脚本
.php
.php5
.php4
.php3
.php2
.html
.htm
.phtml
.pht
.pHp
.phP
.pHp5
.pHp4
.pHp3
.pHp2
.Html
.Htm
.pHtml
.jsp
.jspa
.jspx
.jsw
.jsv
.jspf
.jtml
.jSp
.jSpx
.jSpa
.jSw
.jSv
.jSpf
.jHtml
.asp
.aspx
.asa
.asax
.ascx
.ashx
.asmx
.cer
.aSp
.aSpx
.aSa
.aSax
.aScx
.aShx
.aSmx
.cEr
.sWf
.swf
.htaccess
抓包,将后缀名设置成变量,加上面后缀名设置成字典批量测试
18、文件上传防御方法
服务器使用白名单防御,修复中间件的漏洞,禁止客户端存在可控参数,设置存放目录禁止脚本执行,限制后缀名
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
我的目标是转换表单输入,例如“100兆字节”或“1GB”,并将其转换为我可以存储在数据库中的文件大小(以千字节为单位)。目前,我有这个:defquota_convert@regex=/([0-9]+)(.*)s/@sizes=%w{kilobytemegabytegigabyte}m=self.quota.match(@regex)if@sizes.include?m[2]eval("self.quota=#{m[1]}.#{m[2]}")endend这有效,但前提是输入是倍数(“gigabytes”,而不是“gigabyte”)并且由于使用了eval看起来疯狂不安全。所以,功能正常,
Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
好的,所以我的目标是轻松地将一些数据保存到磁盘以备后用。您如何简单地写入然后读取一个对象?所以如果我有一个简单的类classCattr_accessor:a,:bdefinitialize(a,b)@a,@b=a,bendend所以如果我从中非常快地制作一个objobj=C.new("foo","bar")#justgaveitsomerandomvalues然后我可以把它变成一个kindaidstring=obj.to_s#whichreturns""我终于可以将此字符串打印到文件或其他内容中。我的问题是,我该如何再次将这个id变回一个对象?我知道我可以自己挑选信息并制作一个接受该信
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我注意到像bundler这样的项目在每个specfile中执行requirespec_helper我还注意到rspec使用选项--require,它允许您在引导rspec时要求一个文件。您还可以将其添加到.rspec文件中,因此只要您运行不带参数的rspec就会添加它。使用上述方法有什么缺点可以解释为什么像bundler这样的项目选择在每个规范文件中都需要spec_helper吗? 最佳答案 我不在Bundler上工作,所以我不能直接谈论他们的做法。并非所有项目都checkin.rspec文件。原因是这个文件,通常按照当前的惯例,只