什么是文件上传漏洞？

答：当文件上传时，如果服务端的脚本语言没有对上传的文件进行检查和过滤，那假如，渗透者直接上传恶意代码文件，那么就有可能直接控制整个网站，或者说以此为跳板，直接拿下服务器，这就是文件上传漏洞。

现在还存在能直接上传的上传漏洞吗？

答：不能说绝对没有，但是肯定存在，只不过很少。所以一般的渗透测试中，都是找上传点，然后绕过上传限制，直接上传恶意脚本文件，进行控制，拿下webshell。

那这篇上传漏洞原理分析主要讲什么？

答，拿webshell这个上传法，我这篇里是肯定不会记录的，网上关于这个的很多的，什么截断啊，解析啊，对了解析漏洞，这个我会开始讲这个漏洞时再总结的。本篇就是简单的上传，直接上传，控制，毕竟这就是最原始的上传漏洞，我只是分析漏洞原理。关于其它的，等我自己打网络攻防平台，打一些其他人在线的靶场的时候，就会涉及到这些，我会在打靶场的时候好好总结记录的。

对了还有最重要的！！！ what ？

答：不管你上传的什么恶意代码，前提是必须被服务器所认同为该环境下的语言，才能执行，要不然，你一个asp的脚本环境，你上传一个PHP的恶意代码，你觉得这个有用吗？当然实际的渗透测试中，肯定会出现各种问题，这个就需要你自己去分析去攻破了。

​文件解析漏洞 :解析漏洞主要说的是一些特殊文件被iis、apache、nginx在某种情况下解释成脚本文件格式的漏IIS5.x/6.0解析漏洞。- .htaccess 文件攻击 通过一个.htaccess 文件调用 php 的解析器去解析一个文件名中只要包含”haha”这个字符串的 任意文件，所以无论文件名是什么样子，只要包含”haha”这个字符串，都可以被以 php 的方 式来解析，是不是相当邪恶，一个自定义的.htaccess 文件就可以以各种各样的方式去绕过很 多上传验证机制。

请点击此处输入图片描述

解析漏洞

攻击者利用上传漏洞时，通常会与Web容器的解析漏洞结合在一起。

所以我们先了解解析漏洞，才能更深入的了解上传漏洞

常见的Web容器有IIS、Apache、Tomcat、Nginx等，我们以IIS和Apache为例讲解。

IIS解析漏洞

IIS6.0在解析文件时有以下两个漏洞(微软不认为这是一个漏洞，所以并没有IIS6.0的补丁)

1）当建立*.asa、*.asp格式的文件夹时，其目录下的任何文件都将被当做asp脚本执行

2）当文件为*.asp;1.jpg，IIS6.0同样会以ASP脚本来执行

Apache解析漏洞

在Apache 1.x和Apache 2.x中存在解析漏洞 ，Apache在解析文件时有一个原则:

当碰到不认识的扩展名时，将会从后向前解析，直到碰到认识的 扩展名，如果都不认识，则会暴露其源码。比如 1.php.rar.ss.aa 会被当做PHP脚本执行

常见的上传检测方式；

1.客户端javascript检测（通常为检测文件扩展名）

2.服务端MIME类型检测（检测Content-Type内容）

3.服务端目录路径检测（检测跟path相关的内容）

4.服务端文件扩展名检测（检测跟文件extension相关的内容）

5.服务端文件内容检测（检测内容是否合法或含有恶意代码）

客户端口岸侧绕过（javascript检测）

*首先判断JS本地验证

*通常可以根据它的验证警告弹框的速度可以判断，如果你的电脑运行比较快，那么我们可以用burp抓包，在点击提交的时候burp没有抓到包，就已经弹框。那么说明这个就是本地js验证。

*绕过方法：

1.使用burp抓包改名

2.使用firebug直接删除掉本地验证的js代码

3.添加js验证的白名单，如将php的格式添加进去

MIME的作用 ： 使客户端软件，区分不同种类的数据，例如web浏览器就是通过MIME类型来判断文件是GIF图片，还是可打印的PostScript文件。

web服务器使用MIME来说明发送数据的种类， web客户端使用MIME来说明希望接收到的数据种类。

Tomcat的安装目录\conf\web.xml 中就定义了大量MIME类型 ，你可也去看一下。

MIME的作用 ： 使客户端软件，区分不同种类的数据，例如web浏览器就是通过MIME类型来判断文件是GIF图片，还是可打印的PostScript文件。

web服务器使用MIME来说明发送数据的种类， web客户端使用MIME来说明希望接收到的数据种类。

Tomcat的安装目录\conf\web.xml 中就定义了大量MIME类型 ，你可也去看一下。

绕过方法：

直接使用burp抓包，得到post上传数据后，将 Content-Type: text/plain改成 Content-Type: image/gif

就可以成功绕过。

1.客户端校验

一般都是在网页上写一段javascript脚本，校验上传文件的后缀名，有白名单形式也有黑名单形式。

判断方式：在浏览加载文件，但还未点击上传按钮时便弹出对话框，内容如：只允许上传.jpg/.jpeg/.png后缀名的文件，而此时并没有发送数据包。

2.服务端校验

2.1 content-type字段校验

这里以PHP代码为例，模拟web服务器端的校验代码

服务端检测绕过(文件扩展名检测)

– 黑名单检测

黑名单的安全性比白名单的安全性低很多，攻击手法自然也比白名单多 一般有个专门的 blacklist 文件，里面会包含常见的危险脚本文件例如 fckeditor 2.4.3 或之前版本的黑名单

–

白名单检测

白名单相对来说比黑名单安全一些，但也不见得就绝对安全了

绕过黑名单:

1. 文件名大小写绕过

用像 AsP，pHp 之类的文件名绕过黑名单检测

2. 名单列表绕过

用黑名单里没有的名单进行攻击，比如黑名单里没有 asa 或 cer 之类

3. 特殊文件名绕过

比如发送的 http 包里把文件名改成 test.asp. 或 test.asp_(下划线为空格)，这种命名方式 在 windows 系统里是不被允许的，所以需要在 burp 之类里进行修改，然后绕过验证后，会 被 windows 系统自动去掉后面的点和空格，但要注意 Unix/Linux 系统没有这个特性。

​也许，xss跨站攻击会让你摸不着头脑，也许，sql注入会使你临阵脱逃，也许，木马与社工，入侵和远控又会在你激情沦丧、斗志全无的时候重新点燃你内心的火焰，不错，这就是此书的魔力。《网络黑白》书  某宝有售。