通過(guò)SQL注入�����、弱口令等方式進(jìn)入網(wǎng)站后臺(tái)或者在前臺(tái)找到上傳點(diǎn)�,但在上傳Webshell時(shí)發(fā)現(xiàn)有黑名單限制���、Web.config限制腳本執(zhí)行/身份驗(yàn)證或者存在某些WAF防護(hù)導(dǎo)致Webshell腳本無(wú)法上傳成功/正常解析�,這時(shí)我們可以嘗試去找一些可能被遺漏且能正常解析的腳本擴(kuò)展名進(jìn)行上傳繞過(guò)測(cè)試�����。以前看到過(guò)很多這樣的上傳成功繞過(guò)案例,所以想著把這些繞過(guò)思路和方法記錄下來(lái)�����,便于日后查詢使用����!
常見(jiàn)黑名單禁止上傳腳本:
找到一個(gè)上傳點(diǎn)后先去測(cè)試看下是白名單還是黑名單限制,文件名+擴(kuò)展名+上傳目錄是否可控��,或者是否可以目錄穿越(../跨目錄)�,是否存在WAF等?如果為黑名單時(shí)可以嘗試以下這些腳本擴(kuò)展名��。
?
這種類型腳本雖然不能直接Getshell���,但可以獲取到一些基本信息,而且可以使用include將web.config���、conn.asp等文件中的內(nèi)容包含出來(lái)查看�,還可以嘗試使用../../跨目錄形式fuzzing看是否能包含到一些有權(quán)限讀取的銘感配置文件或憑據(jù)信息等�����,然后你們懂的...,如下圖所示���。
0x02 Ashx Webshell
https://github.com/tennc/webshell/blob/master/caidao-shell/customize.ashx
0x03 stm/shtm/shtml
MVC4.0環(huán)境部署:
本地測(cè)試環(huán)境為Windows 2012 (IIS8.5)��,默認(rèn)已經(jīng)安裝有.Net FrameWork 4.0����,自己下載并安裝ASP.NET MVC 4.0�,將IIS中的“ISAPI和CGI限制”選項(xiàng)ASP.NET v4.0.0.30319設(shè)置為允許,最后在網(wǎng)站根目錄下創(chuàng)建一個(gè)web.config配置文件即可�,文件內(nèi)容如下。
.Net FrameWork 4.0:https://www.microsoft.com/zh-CN/download/details.aspx?id=17851ASP.NET MVC 4.0:https://www.microsoft.com/zh-CN/download/details.aspx?id=30683
注意事項(xiàng):
如果當(dāng)前網(wǎng)站根目下沒(méi)有web.config配置文件���,或者沒(méi)有指定.NET版本����,在瀏覽器訪問(wèn)cmd.cshtml腳本時(shí)可能就會(huì)出現(xiàn)以下兩種報(bào)錯(cuò)提示���,如下圖所示��。
0x04 web.config Webshell
有時(shí)也會(huì)遇到那種不允許上傳所有ASP/.NET腳本�,或者Webshell上傳成功但無(wú)法解析訪問(wèn)提示403等情況,這是因?yàn)樯蟼髂夸浵掠袀€(gè)web.config配置文件禁止了腳本執(zhí)行����,我們可以隨便輸入一個(gè)ASP腳本文件名進(jìn)行簡(jiǎn)單測(cè)試,無(wú)論這個(gè)文件是否真實(shí)存在都會(huì)提示403�,如下圖所示。asp:.asp���、.asa��、.cer�、.cdx�����、.htr����、.cfm、.stm����、.shtm���、.shtml
aspx:.aspx�����、.asax����、.ashx、.ashm��、.asmx���、.ascx�、.svc���、.soap�����、.cshtml
<?xml version="1.0" encoding="UTF-8"?><configuration> <system.webServer> <handlers accessPolicy="Read" /> </system.webServer></configuration>
針對(duì)以上兩種情況的繞過(guò)需要具備這幾個(gè)條件:
如果具備以上條件,就可以直接上傳我們修改好的web.config配置文件來(lái)執(zhí)行命令或上線CS/MSF等����,可在web.config最后修改自己要執(zhí)行的Webshell腳本內(nèi)容,如下圖所示��。
實(shí)戰(zhàn)項(xiàng)目案例一:
@on1_es 師傅在某項(xiàng)目中遇到的一個(gè)案例:.NET的站(任意文件上傳)�����,但在上傳目錄下有個(gè)web.config禁止了腳本執(zhí)行�����,而且上傳文件會(huì)自動(dòng)命名�,無(wú)法通過(guò)上傳web.config方式繞過(guò),如下圖所示���。
最后他是通過(guò)上傳一個(gè)能正常解析的Sharp4SoapRootShell.soap腳本繞過(guò)了web.config禁止腳本執(zhí)行限制成功拿到這個(gè)目標(biāo)的Webshell權(quán)限��,這里僅記錄分享了下他的這個(gè)繞過(guò)方法����,如下圖所示�。
實(shí)戰(zhàn)項(xiàng)目案例二:
@Cek0ter 師傅遇到的另一個(gè)案例:.NET的站(任意文件上傳),已成功上傳一個(gè)ASPX馬����,但訪問(wèn)時(shí)會(huì)跳轉(zhuǎn)到404頁(yè)面,圖片/文本又能正常訪問(wèn)�����,猜測(cè)也是web.config導(dǎo)致跳轉(zhuǎn)到404頁(yè)面����,如下圖所示。
最后他也是通過(guò)上傳一個(gè)能正常解析的Sharp4SoapGodzlliav1.1.soap腳本繞過(guò)了web.config的重定向規(guī)則成功拿到這個(gè)目標(biāo)的Webshell權(quán)限��,這里僅記錄分享了下他的這個(gè)繞過(guò)方法����,如下圖所示�����。
注:根據(jù)他的描述在傳Sharp4SoapRootShell.soap時(shí)也會(huì)跳404����,但Sharp4SoapGodzlliav1.1.soap這個(gè)又不跳�����,1個(gè)跳����,1個(gè)不跳,這我是著實(shí)沒(méi)太搞明白咋回事�����,等以后有空了再去單獨(dú)研究下這個(gè)吧?�。��?���!
另外說(shuō)一嘴在實(shí)戰(zhàn)中遇到這種類似場(chǎng)景時(shí)還是得自己去測(cè)一下才知道具體是個(gè)什么情況����。�����。�����。
閱讀原文:https://mp.weixin.qq.com/s/lkm7CMd3FK1dtq7kMSV9rw
該文章在 2025/5/8 18:43:44 編輯過(guò)
400 186 1886
