文件上传总结

1，检测javascript类型的绕过（客户端）

-通常post请求发送到web服务器，客户端javascript验证上传

1.php弹窗说上传格式错误，只允许.jpg，.jpeg等格式的文件上传一句话1.php-->1.jpg 然后burp抓包1.jpg-->1.php，这样就绕过了js检测或者F12查看源代码，找到onsubmit=”return checkFile()”，将它删除并编辑保存。这个时候页面就不检测了，直接上传成功，或者修改允许的函数checkfile(),添加我们想上传的文件格式，也是可以上传成功的。

2，检测MIME类型的绕过（服务端）

-服务端MIME类型检测（检测Content-Type内容），burp抓包，修改Content-TypeContent-Type:text/plain -->phpContent-Type:image/jpeg -->image上传1.jpg--->修改image/jpeg为text/plain，成功绕过。常见的MIME类型：超文本标记语言文本 .html text/htmlxml文档 .xml text/xml普通文本 .txt text/plainRTF文本 .rtf application/rtfPDF文档 .pdf application/pdfMicrosoft Word文件 .word application/mswordPNG图像 .png image/pngGIF图形 .gif image/gifJPEG图形 .jpeg,.jpg image/jpegau声音文件 .au audio/basicMIDI音乐文件 mid,.midi audio/midi,audio/x-midiRealAudio音乐文件 .ra, .ram audio/x-pn-realaudioMPEG文件 .mpg,.mpeg video/mpegAVI文件 .avi video/x-msvideoGZIP文件 .gz application/x-gzipTAR文件 .tar application/x-tar任意的二进制数据 application/octet-stream

3，检测目录路径类型的绕过(服务端)-

上传1.jpg,burp进行抓包，Content-Disposition:from-data;name=”path”后面一行upload是我们保存的地址。现在我们将upload改为upload/1.php(空格) ，接着我们来到 Proxy->intercept->Hex找到1.php(空格)这个被修改过的代码，找到同一行的数字20，改为00 ，成功绕过wenshell:file:///C:\Users\ADMINI~1.1LK\AppData\Local\Temp\ksohtml\wpsB3DB.tmp.png

4,检测文件内容的绕过（服务端）

检测内容是否合法或含有恶意代码文件幻数检测jpg-->JFIFgif-->GIF89APNG-->NG文件相关信息检测常用的是getimaegsize()函数检测有文件头，加一些杂乱的东西，迷惑，空的地方添加木马文件加载检测API函数检测的一次渲染可以绕过，二次渲染就没戏绕过。

5，检测黑名单类型的绕过（服务端）

将危险的后缀名写到一个文件里面，禁止指着后缀名的文件执行文件名绕过：大小写组合绕过pHp,PhP，混搭绕过php1,php2,php3,php4,php5列表名绕过：cer,ashx,asa,cer,cdx,htr,绕过(黑名单可能会漏掉的)特殊字符绕过：a.asp改成a.asp_0x00截断绕过：上传1.php.jpg burp抓包改成1.php%00.jpg，或者hex-->20改成00当解析的时候，看到空格，后面的那段就不解析了或者upload/1.asp(空格)/上传，hex修改20-->00绕过上传apache解析绕过:help.asp.134.x2,从前向后尝试解析，直到遇到自己认识的扩展名为止。双扩展名解析绕过：apache的conf配置有AddHandler php5-script.php没有注释掉，则，文件名1.php.jpg就能当作php执行.htaccess文件攻击：自定义.htaccess上传，下面是内容SetHandler application/x-httpd-php同目录下，上传一个aaa文件，没有扩展名，内容是一句话，这个时候就成功绕过。

6,检测白名单类型的绕过（服务端）

-解析漏洞绕过iis6.0解析绕过：目录绕过：IIS6.0目录路径检测解析，文件的名字为“*.asp/xxx.jpg”同样呗解析成aspburp进行抓包，其中Content-Disposition:form-data;name=”path”我们把原本的

upload/ 改为

uploading/1.asp/,filename="yijuhua.asp"修改为filename="yijuhua.asp/1.jpg"。或者创建文件夹a.php里面放一句话图片1.jpg  a.php/1.jpg--->php执行文件绕过：首先我们请求 /aaa.php;xxx.jpg，从头部查找查找 "."号,获得 .php;xxx.jpg查找";",如果有则内容截断，所以/aaa.php;xxx.jpg会当做/aaa.php进行解析，除此之外我们还有下面的构造方式绕过：a.php;.jpg，a.php;jpg-->php执行iis7.0/7.5解析绕过：在默认Fast-CGI开启的情况下上传一个文件1.jpg内容：');?>然后访问1.jpg/.php 这样就会在同级目录下生成木马shell.phpNginx<8.0.3解析绕过：上传1.jpg----burp修改-->1.jpg%00.php空字节绕过上传apache解析绕过：a.php.x1.x2 apache从前向后尝试解析，直到遇到自己认识的扩展名为止。.htaccess文件攻击：自定义.htaccess绕过SetHandler application/x-httpd-php同目录下，上传一个aaa文件，没有扩展名，然后内容是“aaa”+一句话，成功绕过。

7，自动修改后缀的绕过：-上传php,服务端自动修改成了gifburp抓包，1.php-->修改成1.pphphp成功绕过