一丶測(cè)試上傳正常文件

這里可以判定文件名雖然是重命名，但是可控的，因?yàn)槲覀兩蟼鞯奈募粠нM(jìn)去了(*****_1.txt)這里利用的思路主要:

1.目錄沒(méi)有執(zhí)行權(quán)限（通過(guò)控制文件名進(jìn)行../../跳目錄，跳到可以執(zhí)行腳本語(yǔ)言的目錄）

2.上傳文件找不到路徑（通過(guò)控制文件名進(jìn)行../../跳目錄，層級(jí)跳到根目錄進(jìn)行訪問(wèn)）

3.上傳白名單截?cái)?（有些文件上傳處是白名單，后綴名不可以繞，可以利用控制文件名截?cái)嗟姆绞饺ダ@過(guò)白名單，例如1.jsp%00.jpg）

4.截?cái)辔募爸妹ㄟ@里后面會(huì)詳細(xì)講）

二丶測(cè)試上傳非正常文件

這里主要觀察是不是黑名單，或者說(shuō)是沒(méi)有限制名單，下圖可以看到，上傳tx格式是可以正常上傳的，但是上傳jsp文件就上傳不成功。

如果上傳tx可以上傳，但是jsp不可以，可以判斷為上傳黑名單，這里可以嘗試?yán)@黑名單的一下后綴格式，常見(jiàn)的繞黑名單的后綴格式有：

aspx&asp：ashx、asa、asmx、cer

php：php3、phtml

jsp：jspx、jspf

這里簡(jiǎn)單列舉幾個(gè)，具體詳細(xì)的我之前發(fā)的文章有，這里補(bǔ)充一個(gè)小知識(shí)點(diǎn)，假如站點(diǎn)為php的站點(diǎn)，但是只限制了php的后綴格式，我們這里可以利用別的腳本語(yǔ)言都測(cè)試一下，因?yàn)榭赡苓@個(gè)服務(wù)器可以運(yùn)行多種語(yǔ)言，雖然概率比較低，但是沒(méi)有好的繞過(guò)辦法的時(shí)候可以試一下，萬(wàn)一成功了呢，我在項(xiàng)目中就碰到過(guò)這種情況

上傳tx后綴，上傳成功：

上傳jsp 上傳失?。?/span>

三、繞過(guò)測(cè)試

這里主要講一下常見(jiàn)的一些繞上傳的方法，這個(gè)是朋友給的站，我也不知道能不能繞過(guò)去，我也是一邊繞一邊記錄著，是我繞上傳的一個(gè)基本的思路，給大家學(xué)習(xí)一下

上面測(cè)試了，上傳黑名單，我們就先測(cè)試一下繞上傳后綴

1.jspx繞過(guò)，失敗，測(cè)試了別的php什么的都不可以，限制的比較全，html都不可以。

2.截?cái)嗬@過(guò)

這里可以嘗試 ：，；、%00、’、^ 等都可以，這幾種方法在windows服務(wù)器上成功率是比較高的，因?yàn)閣indows在創(chuàng)建文件的時(shí)候這些特殊字符是不允許出現(xiàn)的

最后測(cè)試?yán)?“：”截?cái)喑晒α耍呛苓z憾，雖然傳上去了，也可以訪問(wèn)到，但是內(nèi)容沒(méi)有寫(xiě)進(jìn)去，這就是利用：截?cái)嗟囊粋€(gè)弊端，只有文件，沒(méi)有內(nèi)容

3.利用跳目錄

因?yàn)槲募梢钥刂疲覀兙涂梢岳?./跳目錄的方式去截?cái)啻a本身給添加的前置名，就此系統(tǒng)為例，我們上傳1.txt，代碼會(huì)自動(dòng)給我們添加2022_06_20_1.txt,這里的利用思路就是上傳配合解析的配置文件，例如上傳.htaccess配合解析，當(dāng)然這里實(shí)戰(zhàn)應(yīng)用的場(chǎng)景還有很多，只是提供一個(gè)思路

我們這里也是成功截?cái)嗲爸妹?，并且跳到上層目錄了，但是在此服?wù)器這種方法并不是很好用，因?yàn)槭?a href="http://www.brongaenegriffin.com/v/tag/852/" target="_blank">java的站，利用此方式暫時(shí)沒(méi)有好的getshell的方法，這里只是提供一下思路

四丶其他上傳點(diǎn)繼續(xù)測(cè)試

饒了半天始終是繞不過(guò)去，也不想繞了，但是文章都寫(xiě)到這里了，不能白白寫(xiě)啊，又問(wèn)朋友要了個(gè)賬號(hào)，測(cè)試一下后臺(tái)有沒(méi)有別的上傳

功夫不負(fù)有心人，文章得以繼續(xù)了

確實(shí)發(fā)現(xiàn)了另一個(gè)上傳點(diǎn)

這個(gè)上傳點(diǎn)比較有意思，后綴可以用大小寫(xiě)直接繞過(guò)

這不直接get了嗎？

然而并不是，訪問(wèn)文件目錄404？

通過(guò)查看附件的功能發(fā)現(xiàn)，查看附件處是用base64加密的一個(gè)絕對(duì)物理路徑

這里就直接運(yùn)用我們之前的跳目錄，通過(guò)報(bào)錯(cuò)找到網(wǎng)站的真實(shí)路徑（也有其他方法查找真實(shí)路徑，我這里是用的報(bào)錯(cuò)），直接上傳

但是不妙呀！1.jsP訪問(wèn)直接下載呀！JSPX也是

這里就體現(xiàn)出我們之前跳目錄加截?cái)辔募爸妹淖饔昧?/span>

之前我們第一個(gè)上傳點(diǎn) ，可以利用：截?cái)?，上傳jsp，但是文件內(nèi)容傳不上去，然后利用第二個(gè)上傳點(diǎn)再上傳一次同樣文件名的文件 （1.jsp|1.jsP）

因?yàn)閣indows不區(qū)分大小寫(xiě)，所以就導(dǎo)致我們后面上傳的1.jsP直接就把內(nèi)容覆蓋到1.jsp上面去了

最終獲得大馬一枚

五、總結(jié)

其實(shí)對(duì)于黑名單的繞過(guò)方式很多，之前發(fā)過(guò)一個(gè)上傳繞過(guò)的文章文件上傳漏洞總結(jié)(繞過(guò)方法)_Azjj98的博客-CSDN博客_繞過(guò)上傳漏洞有哪些方法并闡述其使用方法

具體可以看上面這個(gè)文章，但是現(xiàn)在在實(shí)戰(zhàn)環(huán)境中，上傳點(diǎn)的限制已經(jīng)不只是代碼層了，流量層的waf也是很惡心人，之前也寫(xiě)過(guò)文章Bypass WAF實(shí)戰(zhàn)總結(jié)_Azjj98的博客-CSDN博客_bypass waf

后面的話找機(jī)會(huì)把上傳的繞過(guò)跟bypassWaf都好好總結(jié)一下，之前寫(xiě)的文章都不是很全。