文件上传漏洞绕过总结

1、application/octet-stream二进制数据）客户端校验一般都是在网页上写一段 javascript 脚本， 校验上传文件的后缀名， 有白名单形式也有 黑名单形式。判断方式： 在浏览加载文件，但还未点击上传按钮时便弹出对话框，内容如： 只允许上 传 .jpg/.jpeg/.png 后缀名的文件，而此时并没有发送数据包。绕过方法绕过前台脚本检测扩展名， 就是将所要上传文件的扩展名更改为符合脚本检测规则的扩展 名，通过 BurpSuite 工具，截取数据包，并将数据包中文件扩展名更改回原来的，达到绕 过的目的。如果是 JS脚本检测，在本地浏览器客户端禁用JS 即可。可使用火狐浏览器的

2、 NoScript插件、 IE 中禁用掉 JS 等方式实现。服务端校验Content -type 字段校验以 PHP 代码为例，模拟 web 服务器端的校验代码1.绕过方法可以通过抓包，将 content-type 为合法类型。text/plain （纯文本）text/html （ HTML 文档）text/javascript （ js 代码）application/xhtml+xml（ XHTML 文档）image/gif （ GIF 图像）image/jpeg （ JPEG 图像） image/png （ PNG 图像） video/mpeg （ MPEG 动画） application

3、/pdf ( PDF 文档)application/（ 编程语言 ） 该种语言的代码application/msword （ Microsoft Word 文件）message/rfc822 （ RFC 822 形式）multipart/alternative （ HTML 邮件的 HTML 形式和纯文本形式，相同内容使用不同形式 表示）application/x-www-form-urlencoded（ POST 方法提交的表单）multipart/form-data（ POST 提交时伴随文件上传的表单）文件头绕过服务端对上传文件头部或标志位进行检测。绕过方法给上传脚本加上响应的文件头字节

4、欺骗服务端的文件头检测格式头文件JPGFFD8FFE000104A464946GIF474946383961PNG89504E47（16 进制转换字符串为GIF89a )TIFF(tif)49492A00Windows Bitmap(bmp)424DCAD(dwg)41433130Adobe Photoshop(psd)38425053Rich Text Format(rtf)7B5C727466MS Word/Excel(xls/doc)D0CF11E0MS Access(mdb)5374616E64617264204AZIP Archive(zip)504B0304RAR Archive(

5、rar)52617221AVI(avi)41564920MPEG000001BAAdobe Acrobat(pdf)255044462D312E1. GIF89a文件后缀名绕过找黑名单扩展名的漏网之鱼 - 比如 asa 和 cer 之类可能存在大小写绕过漏洞 - 比如 aSp 和 pHp 之类绕过方法：1.老版本的 IIS6中的目录解析漏洞，如果网站目录中有一个/.asp/ 目录，那么此目录下面的一切内容都会被当作 asp 脚本来解析2.老版本的 IIS6 中的分号漏洞： IIS在解析文件名的时候可能将分号后面的内容丢弃， 可以在 上传的时候给后面加入分号内容来避免黑名单过滤，如 a.asp;

6、jpgnginx(0.5.x, 0.6.x, 0.7 = 0.7.65, 0.8 = 0.8.37) 空字节漏洞 xxx.jpg%00.php 这样的文件名会 被解析为 php 代码运行 (fastcgi会把这个文件当 php 看，不受空字节影响， 但是检查文件后 缀的那个功能会把空字节后面的东西抛弃，所以识别为jpg)apache1.x,2.x 的解析漏洞， 上传如 a.php.rar a.php.gif 类型的文件名， 可以避免对于 php 文 件的过滤机制，但是由于 apache 在解析文件名的时候是从右向左读，如果遇到不能识别的扩展名则跳过， rar 等扩展名是 apache 不能识别

7、的，因此就会直接将类型识别为php ，从而 达到了注入 php 代码的目的。其他绕过方法1. 上传不符合 windows 文件命名规则的文件名 test.asp.test.asp( 空格 )test.php:1.jpgtest.php:$DATAshell.php:$DATA会被 windows 系统自动去掉不符合规则符号后面的内容。2. linux 下后缀名大小写0 x00 截断：基于一个组合逻辑漏洞造成的，通常存在于构造上传文件路径的时候 test.php(0 x00).jpgtest.php%00.jgp三、 WAF 绕过垃圾数据有些主机 WAF软件为了不影响 web 服务器的性能，会对校验的用户数据设置大小上限，比如 1M。此种情况可以构造一个大文件，前面1M 的内容为垃圾内容，后面才是真正的木马内容，便可以绕过 WAF 对文件内容的校验；f