关于File Upload的一些思考(2)

php为了支持path info模式创造了fix_pathinfo这个选项，当它被打开时，fpm就会判断请求的文件是否存在，如果不存在就去掉最后一个开始的内容，再次查看文件是否存在，不存在再去掉从开的内容，循环往复。所以当请求这么个文件时，fpm会把/.php去掉把shell.jpg当作php执行。

后来出现了seccurity.limit_extensions选项，这个选项默认配置.php文件才能被fpm执行。

利用条件：

1、fast-cgi模式运行

2、Fix_pathinfo为1 （默认为1）

3、seccurity.limit_extensions选项允许。（默认只解析.php）

1.3、Iis5.x-6.x解析漏洞

使用iis5-6的基本都是Windows server 2003这种老服务器了。

这种老服务器默认一般只解析asp。

这个解析漏洞很简单，就两条：

1、以*.asp命名的文件夹下所有文件都以asp文件执行

2、*.asp;*.jpg这种形式的命名方式会自动会忽略掉;后的内容。

2、文件命名规则

2.1、windows命名规则

1、文件名长度最大为255个英文字符。（或者是127个中文字符+1个英文字符）

2、全路径最大长度最大为260个字符。

3、访问文件不区分大小写（部分应用程序使用时除外），显示文件时有大小写。

4、开头不能使用空格，其他地方可以。

5、文件名不能包含： < > | / * ? :

我在freebuf上看见过这篇文章：

https://www.freebuf.com/column/196404.html

总结的很好，此处就直接引用了。

其实分号;也符合。大家自己寻找应该还有一些符号也符合。

2.2、linux命名规则

1、文件名最大长度为255

2、全路径长度最大为4096（16级最大文件长度）

3、区分大小写

4、除“/”之外所有字符都可以使用

5、linux不以文件扩展名区分文件类型，对linux来说一切皆文件。

linux下通过命名规则绕过的话，可以尝试 或者 && ; 等命令分割符号绕过

3、00截断

00截断常见的有%00、0×00等，他们都是表示ascii字符表中的保留字符chr(0)。

不管表示编码方式有啥区别，只要能让服务器正确解析为chr(0)就行。

00截断的原理：chr(0)表示结束。

限制条件：

小于php5.3.4 小于jdk1.7.0_40

未过滤chr(0)，例如magic_quoes_gpc为off

4、长度截断

当文件名的长度超过系统允许的最大长度时，会将超出部分进行截断。

（部分系统不会进行截断，无法创建）

测试中可以使用二分法，不断尝试最大长度，然后进行截断。

5、竞争上传

当代码中的逻辑是先保存上传的文件，然后再判断上传文件是否合法时，便存在时间竞争条件漏洞。

首先写个生成马儿的马儿。

上传马儿，同时使用burpsuit不断请求马儿，或者写个脚本跑，

6、双上传

当代码中只对一处文件名做校验时，便存在双上传的漏洞。

使用burpsuit抓包改包或者F12修改前端代码都可以。

7、可解析后缀

不常见的可解析后缀：

1、ph(p[1-7]?|t(ml)?) shtml pwml

2、asasaxcercdxspxscxshxsmxsp{80-90}

3、jspxjspfjspajswjsvjtml

8、.htacces和user.ini

首先先了解一下这俩文件，如下图：