通過SQL注入、弱口令等方式進(jìn)入網(wǎng)站后臺(tái)或者在前臺(tái)找到上傳點(diǎn)����,但在上傳Webshell時(shí)發(fā)現(xiàn)有黑名單限制�����、Web.config限制腳本執(zhí)行/身份驗(yàn)證或者存在某些WAF防護(hù)導(dǎo)致Webshell腳本無法上傳成功/正常解析,這時(shí)我們可以嘗試去找一些可能被遺漏且能正常解析的腳本擴(kuò)展名進(jìn)行上傳繞過測試��。以前看到過很多這樣的上傳成功繞過案例�,所以想著把這些繞過思路和方法記錄下來,便于日后查詢使用����!
常見黑名單禁止上傳腳本:
找到一個(gè)上傳點(diǎn)后先去測試看下是白名單還是黑名單限制,文件名+擴(kuò)展名+上傳目錄是否可控��,或者是否可以目錄穿越(../跨目錄)��,是否存在WAF等��?如果為黑名單時(shí)可以嘗試以下這些腳本擴(kuò)展名�����。
?
這種類型腳本雖然不能直接Getshell�����,但可以獲取到一些基本信息���,而且可以使用include將web.config��、conn.asp等文件中的內(nèi)容包含出來查看�,還可以嘗試使用../../跨目錄形式fuzzing看是否能包含到一些有權(quán)限讀取的銘感配置文件或憑據(jù)信息等���,然后你們懂的...�,如下圖所示�。
0x02 Ashx Webshell
https://github.com/tennc/webshell/blob/master/caidao-shell/customize.ashx
0x03 stm/shtm/shtml
MVC4.0環(huán)境部署:
本地測試環(huán)境為Windows 2012 (IIS8.5),默認(rèn)已經(jīng)安裝有.Net FrameWork 4.0�����,自己下載并安裝ASP.NET MVC 4.0�����,將IIS中的“ISAPI和CGI限制”選項(xiàng)ASP.NET v4.0.0.30319設(shè)置為允許�����,最后在網(wǎng)站根目錄下創(chuàng)建一個(gè)web.config配置文件即可��,文件內(nèi)容如下���。
.Net FrameWork 4.0:https://www.microsoft.com/zh-CN/download/details.aspx?id=17851ASP.NET MVC 4.0:https://www.microsoft.com/zh-CN/download/details.aspx?id=30683
注意事項(xiàng):
如果當(dāng)前網(wǎng)站根目下沒有web.config配置文件��,或者沒有指定.NET版本����,在瀏覽器訪問cmd.cshtml腳本時(shí)可能就會(huì)出現(xiàn)以下兩種報(bào)錯(cuò)提示,如下圖所示��。
0x04 web.config Webshell
有時(shí)也會(huì)遇到那種不允許上傳所有ASP/.NET腳本�����,或者Webshell上傳成功但無法解析訪問提示403等情況�,這是因?yàn)樯蟼髂夸浵掠袀€(gè)web.config配置文件禁止了腳本執(zhí)行,我們可以隨便輸入一個(gè)ASP腳本文件名進(jìn)行簡單測試���,無論這個(gè)文件是否真實(shí)存在都會(huì)提示403�,如下圖所示���。asp:.asp、.asa�、.cer、.cdx����、.htr��、.cfm�����、.stm��、.shtm��、.shtml
aspx:.aspx�、.asax�����、.ashx�、.ashm、.asmx�、.ascx、.svc����、.soap、.cshtml
<?xml version="1.0" encoding="UTF-8"?><configuration> <system.webServer> <handlers accessPolicy="Read" /> </system.webServer></configuration>
針對以上兩種情況的繞過需要具備這幾個(gè)條件:
如果具備以上條件���,就可以直接上傳我們修改好的web.config配置文件來執(zhí)行命令或上線CS/MSF等����,可在web.config最后修改自己要執(zhí)行的Webshell腳本內(nèi)容��,如下圖所示�。
實(shí)戰(zhàn)項(xiàng)目案例一:
@on1_es 師傅在某項(xiàng)目中遇到的一個(gè)案例:.NET的站(任意文件上傳),但在上傳目錄下有個(gè)web.config禁止了腳本執(zhí)行���,而且上傳文件會(huì)自動(dòng)命名�,無法通過上傳web.config方式繞過�,如下圖所示。
最后他是通過上傳一個(gè)能正常解析的Sharp4SoapRootShell.soap腳本繞過了web.config禁止腳本執(zhí)行限制成功拿到這個(gè)目標(biāo)的Webshell權(quán)限��,這里僅記錄分享了下他的這個(gè)繞過方法�����,如下圖所示���。
實(shí)戰(zhàn)項(xiàng)目案例二:
@Cek0ter 師傅遇到的另一個(gè)案例:.NET的站(任意文件上傳)�,已成功上傳一個(gè)ASPX馬�,但訪問時(shí)會(huì)跳轉(zhuǎn)到404頁面,圖片/文本又能正常訪問�,猜測也是web.config導(dǎo)致跳轉(zhuǎn)到404頁面,如下圖所示�����。
最后他也是通過上傳一個(gè)能正常解析的Sharp4SoapGodzlliav1.1.soap腳本繞過了web.config的重定向規(guī)則成功拿到這個(gè)目標(biāo)的Webshell權(quán)限���,這里僅記錄分享了下他的這個(gè)繞過方法�����,如下圖所示��。
注:根據(jù)他的描述在傳Sharp4SoapRootShell.soap時(shí)也會(huì)跳404�,但Sharp4SoapGodzlliav1.1.soap這個(gè)又不跳,1個(gè)跳���,1個(gè)不跳�����,這我是著實(shí)沒太搞明白咋回事���,等以后有空了再去單獨(dú)研究下這個(gè)吧!?����?��!
另外說一嘴在實(shí)戰(zhàn)中遇到這種類似場景時(shí)還是得自己去測一下才知道具體是個(gè)什么情況���。���。�。
閱讀原文:https://mp.weixin.qq.com/s/lkm7CMd3FK1dtq7kMSV9rw
該文章在 2025/5/8 18:43:44 編輯過
400 186 1886
