簡(jiǎn)單利用filetype進(jìn)行文件上傳

    對(duì)于文件上傳大家都很熟悉了，畢竟文件上傳是獲取webshell的一個(gè)重要方式之一，理論性的東西參考我的另一篇匯總文章《淺談文件解析及上傳漏洞》，這里主要是實(shí)戰(zhàn)補(bǔ)充一下理論內(nèi)容——filetype漏洞！

    2、直接使用burp抓包，得到post上傳數(shù)據(jù)后，將Content-Type: text/plain改成 Content-Type: p_w_picpath/gif。

    這里補(bǔ)充一個(gè)簡(jiǎn)單的利用filetype可控來(lái)進(jìn)行任意文件上傳，之前在ctf中遇到過(guò)，但是以為在實(shí)際環(huán)境中應(yīng)該是不會(huì)出現(xiàn)的，可惜還是被我遇到了！

    實(shí)驗(yàn)環(huán)境：asp，iis7.5，windows 2008 r2

    當(dāng)我們找到一個(gè)上傳點(diǎn)時(shí)，我們上傳一個(gè)asp的一句話(huà)?cǎi)R，對(duì)應(yīng)的http請(qǐng)求數(shù)據(jù)包如下，如圖1所示：

圖1 上傳失敗

    此時(shí)我們上傳失敗了，說(shuō)擴(kuò)展名非法（應(yīng)該是白名單限制），而http請(qǐng)求數(shù)據(jù)包中的filetype顯示是*，不是應(yīng)該都支持嗎？這時(shí)我們就使用各種方式上傳，目錄解析（通過(guò)嘗試是可以任意創(chuàng)建上傳的目錄名稱(chēng)的）、00截?cái)唷淖蟮接医馕?、從左到右解析。。。。。結(jié)果都失敗了！

    本來(lái)以為沒(méi)有辦法了，因?yàn)橥ㄟ^(guò)下載配置文件web.config發(fā)現(xiàn)，做了白名單限制，如圖2所示，應(yīng)該是沒(méi)辦法了！

圖2 web.config

    最后我精靈地發(fā)現(xiàn)（瞎貓碰到死耗子）將filetype的*直接修改為asp，然后成功上傳，如圖3所示。

圖3 修改filetype上傳成功

    然后我們?cè)L問(wèn)該目錄，看看是否真的上傳成功，有沒(méi)有被殺這類(lèi)的，如圖4所示，一句話(huà)確實(shí)是上傳成功了。

圖4 一句話(huà)可正常訪問(wèn)

    最后使用菜刀進(jìn)行連接，成功獲取到一個(gè)webshell，如圖5所示。

圖5 成功獲取webshell

    總結(jié)：

    本篇文章主要是記錄一下平時(shí)的一些經(jīng)驗(yàn)技巧，由于經(jīng)常受到固定思維的限制，每每都要到最后才會(huì)想到碰碰運(yùn)氣！