一、文件下载漏洞
1.需要寻找文件下载的路径进行构造
一般链接形式:
download.php?path=
down.php?file=
data.php?file=
download.php?filename=
一般参数形式:
&Src=
&Inputfile=
&Filepath=
&Path=
&Data=
2.我们的利用思路
2.1 下载常规的配置文件--ssh,weblogic,ftp,mysql相关的配置
2.2 下载相关的.log日志文件,查找账号密码,以及以前的后门
2.3 下载web业务文件进行白盒审计,利用漏洞进一步攻入服务器
2.4 如果我们遇到的是java+oracle环境
可以先下载:/WEB-INF/classes/applicationContext.xml 文件,这里记载的是web服务器的配置文件
然后在下载:/WEB-INF/classes/xxx/xxx/ccc.class 文件,对文件进行反编译,然后搜索关键字upload看看是否存在api接口,如果存在我们可以在本地构造上传界面,见我们的木马传进服务器
2.5 如果对方有root权限
下载文件:/var/lib/mlocate/mlocate.db 文件,mlocate文件中包含所有的文件信息
locata读取方法:locate mlocate.ad admin //可以将包含admin文件名的内容全部输出来
2.6 常见的利用文件
/etc/passwd
/etc/shodow
3.下载文件示例
4.文件先下载漏洞修复
4.1过滤 “.”,使url中不能追溯到上级目录
4.2 正则过滤
4.3 php.ini 配置open_basedir的访问范围
二、文件上传漏洞
1.一般测试流程
2.pass-01 js等前端限制
3.MIME文件类型限制
一般的mime类型:
超文本标记语言:.html text/html
xml文档:.xml text/html
xhtml文档:.xhtml application/xhtml+xml
普通文本: .txt text/plain
RTF文本:.rtf application/pdf
PDF文本:.pdf application/pdf
word文件: .word application/msword
png图像:.png image/png
gif图形:.gif image/gif
JPEG图形 .jpeg,.jpg image/jpeg
au声音文件 .au audio/basic
MIDI音乐文件 mid,.midi audio/midi,audio/x-midi
RealAudio音乐文件 .ra, .ram audio/x-pn-realaudio
MPEG文件 .mpg,.mpeg video/mpeg
AVI文件 .avi video/x-msvideo
GZIP文件 .gz application/x-gzip
TAR文件 .tar application/x-tar
任意的二进制数据 application/octet-stream
3.进制上传 asp/php/jsp
php可以上传php1,php2
asp可以上传.cer文件
也可以使用4的方式进行上传
4.禁止了好多后缀名
5.针对禁止好多啊后缀名
6.利用Windows系统的文件名特性,将文件名的空格和点先去掉
7.采用windows特性点和空格绕过
8.采用windows文件流绕过
9.消除函数,利用windows特性
10.由于函数过滤php文件后缀名,到服务器中就自动将后缀名删除
传上来的文件会是一个空文件夹
