漏洞及文件上传限制绕过00截断原理及实例分析

此文主要讲的就是文件上传限制绕过方法，文件上传限制绕过方法有以下三种：

解析漏洞

Windows下 空格 和 . 绕过

%00截断

一、IIS6.0的解析漏洞

触发条件：必须是IIS6.0的环境

文件名漏洞

正常命名：as.jpg

触发漏洞的命名方式：as.asp;.jpg

http://192.168.16.128/as.jpg 打开是一张正常的图片。

http://192.168.16.128/as.asp;.jpg 打开已经被解析成asp的源码了。

文件夹名漏洞

正常命名：a/as.jpg

触发解析漏洞的命名：a.asp/as.jpg

http://192.168.16.128/a/as.jpg 打开是一张正常的图片。

http://192.168.16.128/a.asp/as.jpg 同样，打开已经被解析成asp的源码了。

二、IIS7.0、IIS7.5 以及Nginx<8.03 解析漏洞

IIS7.0和IIS7.5的解析漏洞没有IIS6.0那样全面，有时候或许没效果。

还有一点需要注意：IIS7.0、IIS7.5这种解析漏洞只适用于PHP编程语言的网站；不像IIS6.0的解析漏洞，ASP和PHP都可以。

正常的命名：a.jpg

触发解析漏洞的命名：a.jpg/.php

www.*.com/upload/20190622/aa0j4si01j741b2ugpgbgc8t4a. jpg 打开是一张正常的图片。

www.*.com/upload/20190622/aa0j4si01j741b2ugpgbgc8t4a. jpg/.php 同样，打开已经被解析成PHP的源码了。

试想一下，如果这个图片是我的PHP一句话木马呢？是不是说明这个PHP一句话木马已经被解析了。接下来，我们用中国菜刀或中国蚁剑连接就可以轻松获取到webshell了。

三、Apache解析漏洞

apache解析很奇怪，它解析是按照向左解析法来的，虽然说，到目前为止，我还暂时没有碰到过有这种漏洞的网站。

向左解析法：a.jpg.asp.gif.xxx

大概意思是，当Apache碰到 .xxx 不认识的时候，它会向左移找下一个，继续解析 .gif，这里就会以 .gif 来解析后面依次类推主。

a.php.xxx 解析成a.php

b.php.xxx 解析成b.php

四、空格 和 . 绕过上传限制

空格和点在Windows系统下会自己忽略掉。

a.asp 去绕过对上传的限制

a.asp. 去绕过上传限制

五、绕过上传的方法之00截断

00截断就是指用%00；

a.asp%00.jpg 就会变成a.asp，后面的.jpg就会被%00截断了。

六、文件上传漏洞getshell 实战

还是以这个网站“www.xxx.com”来简单实战一下吧！

第一种方法：通过解析漏洞getshell

1、找文件上传点

我轻松的就找到了一个文件上传点：www.xxx.com/tujian.asp

2、上传asp一句话木马文件

我上传asp的文件，提示文件格式非法，被限制了。

3、解析漏洞绕过上传限制

绕过文件上传限制，我们又要用到BurpSuite抓包软件了。这里，我把文件名修改为 as.asp;.jpg

4、文件上传成功

已经成功绕过了文件上传的限制，还给我返回了文件上传成功的路径。

5、测试看此路径是否被解析？能否用中国菜刀或中国蚁剑连接上。

毫无疑问，已经被正常解析，这里我用中国菜刀也轻松的连接上了asp一句话木马。

第二种方法：00截断getshell

由于实战的网站都是同一个，跟第一种方法步骤其实是一样的，我这里为了不重复更多的内容，我就能省则省吧！大家能明白意思就可以了。

1、找上传点

2、00截断绕过上传限制

注意：我们同样也需要用到BurpSuite抓包软件，改成 as.asp%00.jpg ；更重的一点是，这里的 %00 需要做一个URL编码。

3、文件上传成功并得到返回路径

4、文件成功解析，并用中国菜刀连接成功

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/