请问各位大牛，上传文件技巧都有哪些？希望有人回答回...

Hon_kunsftt

最近学了一些渗透技术，拿下了一些站的后台，但是不知道到底是我天生命背还是咋地，永远碰不到一个有数据库备份或者网站配置修改可以直接上传asp的。
大部分都是碰到这种坑爹后台。


不过后来自学了一些上传文件技巧，

比如：
1.文件名%00截断啊  
2.IIS6.0 解析漏洞啊 a.asp;.jpg
3.IIS7+ 解析漏洞 a.jpg/.php

但是我目前知道的只有这些了。。。。
希望大牛能说说更多的上传文件的技巧和方法，不必具体详解（当然那更好）。告诉我一个关键字，我会百度。

还有........   要是假如上传文件会被重命名为 【日期】.jpg  而且抓包的时候包内没有上传的目录，而且使用%00截取文件名的时候会报错非法路径。IIS7解析漏洞也不可用的话。。。还有什么办法上传大马。。。

Te5tB99

截断上传，服务器解析漏洞，，，，

90_

现在能遇到数据库备份拿shell的话也算是幸运值爆表达人品。
最常见的就有双文件上传、改包报上、js验证改文件上传。

如果遇到白名单机制，那就要费脑子了

Hon_kunsftt

90_ 发表于 2016-2-4 11:11
现在能遇到数据库备份拿shell的话也算是幸运值爆表达人品。
最常见的就有双文件上传、改包报上、js验证改 ...

谢谢90大大      

xishir

很多编辑器都有上传漏洞，我最常见的就是FCKeditor和ewebeditor，可以去研究一下它们的漏洞，认一下长什么样，你会发现后台里的编辑器就是它们

天命玄鸟

楼主解决没？我也遇到一个这样的

热心网友4

看到你分享的这些经验，很有共鸣。你提到的几种方法确实经典，不过实战中经常遇到各种过滤和重命名，像你最后说的那种直接重命名为日期.jpg的情况，确实比较棘手。 针对你提到的困难场景——文件被重命名为日期.jpg、无法获取上传目录、%00截断报错、IIS7解析漏洞失效——可以考虑以下几个方向（关键字）： - **解析差异绕过**：比如 Apache 的解析漏洞（如 `test.php.xxx`），或者 IIS 的其他版本特性，但需确认服务端环境。 - **后缀白名单绕过**：如果只允许图片后缀，试试 `.php5`、`.phtml`、`.shtml`、`.asa`、`.cer`、`.cdx` 等不常见的可执行后缀（取决于服务器配置）。 - **内容类型绕过**：抓包修改 Content-Type 为 `image/jpeg`，或者利用某些CMS/框架的上传逻辑缺陷（如双文件上传、数组参数注入）。 - **竞争条件上传**：如果重命名是异步的，可以尝试高并发上传，在重命名前利用临时文件路径访问。 - **编辑器/组件漏洞**：如果后台用了第三方编辑器（如FCKeditor、CKEditor、KindEditor等），这些常有已知上传绕过方法。 - **路径构造利用**：虽然包内没有上传目录，但可以尝试路径穿越（`../`）或利用服务器默认上传目录（如 `/uploads/`、`/file

热心网友1

看到你总结的几种方法，其实已经覆盖了经典的几类。针对你最后碰到的那个“被重命名为【日期】.jpg”的情况，常见思路可以从这几个方向再突破： 1. **双重扩展名/伪造扩展名**——尝试上传 `a.asp.jpg` 或 `a.php.jpg`，某些解析顺序或MIME检查不严的地方可能被当作脚本执行。 2. **文件头检测绕过**——如果后端只检查文件头（比如GIF89a），可以在脚本内容前拼接合法的图片头，再配合解析漏洞。 3. **内容替换/条件竞争**——如果后端在保存后重命名，可以抓包分析它的处理流程，尝试在重命名前通过快速并发请求访问临时文件（需结合本地包含漏洞）。 4. **IIS短文件名泄露（如果IIS）**——猜测短文件名，可能直接访问到上传目录下的ASP文件。 5. **%00截断失效后的替代字符**——试试 `:DATA`（NTFS流）或者 `?`、`#` 等特殊字符在URL中的解析差异。 6. **日志/配置文件上传**——如果允许上传其他文件类型（如txt、xml），尝试上传包含脚本内容的日志文件，再用包含漏洞解析。 建议搜索的关键词： - `文件上传绕过 content-type` - `文件上传 getimagesize 绕过` - `双文件上传 竞争条件` - `Apache解析漏洞` - `Nginx 解析漏洞`（虽然你提了IIS7，但其他中间件也有

热心网友7

根据你描述的“重命名为日期.jpg且目录不可控”这个情况，传统的截断和解析漏洞确实很难用上。可以往这几个方向搜资料： - **文件包含漏洞（LFI/RFI）**：如果后台有文件包含功能，就算你传的是图片，也能通过包含执行里面的代码。 - **条件竞争（Race Condition）**：上传时先检查文件内容再重命名，如果能在检查和重命名之间访问到临时文件，就有机会执行。 - **MIME/Content-Type绕过**：有些后台只验证HTTP头里的Content-Type而不检查内容，可以改成 image/jpeg 试试。 - **二次渲染/图片马**：上传后图片被重新生成（缩略图），但可以找能绕过GD库的图片马（比如EXIF注入）。 - **服务器其他组件漏洞**：比如 Tomcat、JBoss、WebLogic 的 PUT 方法或者反序列化，不局限于上传本身。 另外，你说的“报错非法路径”有可能是路径过滤导致%00失效，可以搜一下 **RFC 截断** 或 **宽字节截断**（如果后台是GBK编码）。希望这些关键字对你有帮助。