通過SQL注入、弱口令等方式進(jìn)入網(wǎng)站后臺或者在前臺找到上傳點,但在上傳Webshell時發(fā)現(xiàn)有黑名單限制、Web.config限制腳本執(zhí)行/身份驗證或者存在某些WAF防護(hù)導(dǎo)致Webshell腳本無法上傳成功/正常解析,這時我們可以嘗試去找一些可能被遺漏且能正常解析的腳本擴展名進(jìn)行上傳繞過測試。以前看到過很多這樣的上傳成功繞過案例,所以想著把這些繞過思路和方法記錄下來,便于日后查詢使用!
常見黑名單禁止上傳腳本:
找到一個上傳點后先去測試看下是白名單還是黑名單限制,文件名+擴展名+上傳目錄是否可控,或者是否可以目錄穿越(../跨目錄),是否存在WAF等?如果為黑名單時可以嘗試以下這些腳本擴展名。
?
這種類型腳本雖然不能直接Getshell,但可以獲取到一些基本信息,而且可以使用include將web.config、conn.asp等文件中的內(nèi)容包含出來查看,還可以嘗試使用../../跨目錄形式fuzzing看是否能包含到一些有權(quán)限讀取的銘感配置文件或憑據(jù)信息等,然后你們懂的...,如下圖所示。
0x02 Ashx Webshell
https://github.com/tennc/webshell/blob/master/caidao-shell/customize.ashx
0x03 stm/shtm/shtml
MVC4.0環(huán)境部署:
本地測試環(huán)境為Windows 2012 (IIS8.5),默認(rèn)已經(jīng)安裝有.Net FrameWork 4.0,自己下載并安裝ASP.NET MVC 4.0,將IIS中的“ISAPI和CGI限制”選項ASP.NET v4.0.0.30319設(shè)置為允許,最后在網(wǎng)站根目錄下創(chuàng)建一個web.config配置文件即可,文件內(nèi)容如下。
.Net FrameWork 4.0:https://www.microsoft.com/zh-CN/download/details.aspx?id=17851ASP.NET MVC 4.0:https://www.microsoft.com/zh-CN/download/details.aspx?id=30683
注意事項:
如果當(dāng)前網(wǎng)站根目下沒有web.config配置文件,或者沒有指定.NET版本,在瀏覽器訪問cmd.cshtml腳本時可能就會出現(xiàn)以下兩種報錯提示,如下圖所示。
0x04 web.config Webshell
有時也會遇到那種不允許上傳所有ASP/.NET腳本,或者Webshell上傳成功但無法解析訪問提示403等情況,這是因為上傳目錄下有個web.config配置文件禁止了腳本執(zhí)行,我們可以隨便輸入一個ASP腳本文件名進(jìn)行簡單測試,無論這個文件是否真實存在都會提示403,如下圖所示。asp:.asp、.asa、.cer、.cdx、.htr、.cfm、.stm、.shtm、.shtml
aspx:.aspx、.asax、.ashx、.ashm、.asmx、.ascx、.svc、.soap、.cshtml
<?xml version="1.0" encoding="UTF-8"?><configuration> <system.webServer> <handlers accessPolicy="Read" /> </system.webServer></configuration>
針對以上兩種情況的繞過需要具備這幾個條件:
如果具備以上條件,就可以直接上傳我們修改好的web.config配置文件來執(zhí)行命令或上線CS/MSF等,可在web.config最后修改自己要執(zhí)行的Webshell腳本內(nèi)容,如下圖所示。
@on1_es 師傅在某項目中遇到的一個案例:.NET的站(任意文件上傳),但在上傳目錄下有個web.config禁止了腳本執(zhí)行,而且上傳文件會自動命名,無法通過上傳web.config方式繞過,如下圖所示。
最后他是通過上傳一個能正常解析的Sharp4SoapRootShell.soap腳本繞過了web.config禁止腳本執(zhí)行限制成功拿到這個目標(biāo)的Webshell權(quán)限,這里僅記錄分享了下他的這個繞過方法,如下圖所示。
實戰(zhàn)項目案例二:
@Cek0ter 師傅遇到的另一個案例:.NET的站(任意文件上傳),已成功上傳一個ASPX馬,但訪問時會跳轉(zhuǎn)到404頁面,圖片/文本又能正常訪問,猜測也是web.config導(dǎo)致跳轉(zhuǎn)到404頁面,如下圖所示。
最后他也是通過上傳一個能正常解析的Sharp4SoapGodzlliav1.1.soap腳本繞過了web.config的重定向規(guī)則成功拿到這個目標(biāo)的Webshell權(quán)限,這里僅記錄分享了下他的這個繞過方法,如下圖所示。
注:根據(jù)他的描述在傳Sharp4SoapRootShell.soap時也會跳404,但Sharp4SoapGodzlliav1.1.soap這個又不跳,1個跳,1個不跳,這我是著實沒太搞明白咋回事,等以后有空了再去單獨研究下這個吧!!!
另外說一嘴在實戰(zhàn)中遇到這種類似場景時還是得自己去測一下才知道具體是個什么情況。。。
閱讀原文:https://mp.weixin.qq.com/s/lkm7CMd3FK1dtq7kMSV9rw
該文章在 2025/5/8 18:43:44 編輯過
400 186 1886
