小谈截断上传漏洞

0x00 前言

     小菜今天在测试网站的时候,发现存在上传点,于是尝试各种姿势,环境为iis7.5,于是乎来一个解析漏洞,发现并不可以,最终百度乎,发现上传有很多种利用方法,所以小菜就去学习了一下截断上传,搜集了很多资料,做一下总结,大牛完全可以飘过,基础文章。

0x01  截断原理

     首先科普一下,网上说的介绍都有神马0x00,%00,/00之类的截断,看的小菜我晕乎乎的,其实看完才知道,原来都是一样的,只是不同表示而已,截断的核心在于chr(0)这个字符,这个函数表示返回以数值表达式值为编码的字符,举个例,print chr(78) 结果是N,所以char(0)表示的ascll字符是null,当程序输出包含chr(0)变量时,chr(0)后面的数据会被截断,后面的数据直接忽略,导致漏洞产生。

0x02  0x00截断
     我先把网上盛行的集中上传截断各自举个例,然后到最后总结一下阶段的核心,首先是0x00截断,00截断是将上传文件名或路径名中使用ascll码值为0的字符(也就是null)来进行截断,%00一般用在URL中用于截断url来进行文件包含,两者原理都一样,都是ascll为0的字符,只是形式不同而已。
   (1)用burp工具来截断,设置代理,然后抓包,我们要修改的地方我已标注

    (2)在/Upload/后面加一个空格,点开hex,将其对应的20改成00即可,就可以绕过后缀名的过滤,从而得到webshell

0x03 %00截断
我就不过多赘述了,前面原理也都讲的差不多,直接上方法,将文件名后面直接加上%00.jpg,先绕过后缀上传,然后利用burp的urldecode功能,其实和/00截断将hex20变成00一样,效果一样,两种方法都可以拿webshell

 

0x04  总结

     上面两种其实是一个原理,下面我们就其原理总结倒腾一下,明白了原理也就发现,截断上传也不是很难,下面我们就进入正轨最开始我也说了,截断上传的核心在chr(0)(即null)的利用。

     我们可以写个代码验证一下,在网上找到了一个浅显易懂的代码,下面我们看代码

<%
path="upfiles/picture/"
file="XXX.jpg"
upfilename=path & file '最后的上传地址
%>

     大家应该能清楚的看懂这个意思,path为上传的路径,file是生成的文件名,而upfilename则是最终上传后路径,试想一下,如果path是用户可以控制的,那么截断漏洞就产生了。比如我更改的path为upfiles/picture/1.aspchr(0)&XXX.jpg,chr(0)会忽略后面的东西,看看,upfiles/picture/1.asp,很熟悉吧一个webshell就这样诞生了。

0x05   后记

     关于截断我就写这么多了,基本上例子和原理也都涵盖到了,希望能对某些不理解截断的人一点儿帮助,其实我还是想说,凡事还是得靠实践,实践才能出真知啊,知道原理了,就要去实践,多多实战就会更加理解,不然就会忘了,以后还得继续学,如果有什么错误还请大牛指点。

 

 

资料汇总:http://www.jinglingshu.org/?p=1339

                  https://www.91ri.org/2404.html

                  http://tieba.baidu.com/p/2158985760

 

posted @ 2015-06-27 08:38  hack0ne  阅读(6888)  评论(0编辑  收藏  举报