#上传参数解析:
Content-disposition:一般不可更改
Name:表单参数值,不能更改(更改需要达到统一)
Filename:文件名,可以更改
Content-type:文件MIME,视情况更改
#常见绕过方法:
数据溢出-防匹配(xxx...)---垃圾数据溢出(容易将服务器弄崩溃)
Name前加“;”
符号变异-防匹配(‘ “ ;)
符号替换、去掉尾、去掉符号、双写/多写符号、、、、、
注:将图中单个双引号替换为单个单引号,甚至去掉符号,都可以实现绕过的功能。但将前面的引号去掉,还是会被拦截---跟安全软件自身的匹配规则有关。
或者根据前面的测试,将x.php写到引号外
;-----代表一个语句的结束
“x.jpg;.php”----安全软件会当成x.jpg文件,但数据包又会解析成为一个php文件
数据截断-防匹配(%00 ; 换行)
如果写:filename=”a.php%00.jpg”----可以绕过安全软件成功上次,但数据包会解析成jpg文件,无法当成php后门。
换行---换行符(“\n”)或者在数据包中直接回车(属于将数据分块传输---但有限制条件)
数据重复-防匹配(参数多次)
递归循环(验证的次数)
白名单技术-----将x.php当成正常数据(重复数据)
“/”也可作为绕过条件
Upload_fuzz 测试
链接地址:
GitHub - fuzzdb-project/fuzzdb: Dictionary of attack patterns and primitives for black-box application fault injection and resource discovery.
GitHub - TheKingOfDuck/fuzzDicts: Web Pentesting Fuzz 字典,一个就够了。
#文件上传安全修复方案
后端验证:采用服务端验证模式
后缀检测:基于黑名单,白名单过滤
MIME检测:基于上传自带类型检测
内容检测:文件头,完整性检测
利用自带的函数:(upload中许多的过滤函数)
自定义函数过滤:黑白名单自定义、限定文件类型
WAF防护产品:宝塔、云盾、安全公司产品。