前言:
在日常代码审计中遇到个这玩意,遇到一个奇怪的白名单上传的写法,然后通过这个shell了。
于是引发了下面的思考,以及简单的看了下github上面的代码,发觉这种写法的还不少。
正文:
遇到的代码如下,发觉开发可能这种模式写的代码,利用filename.indexof方式进行校验白名单后缀。
即
最开始怀疑是不是是只有个例是这种写法,但是后面去github上面搜了下,发觉还是有部分的开发也是这样写的。
如这个代码
根据这个思路,因此是否可能可以考虑当我们遇到黑盒挖上传漏洞的时候。
如果回显为白名单后缀,是否可能可以考虑利用 xls.aspx这种
以及xlsx.ashx,jpg.aspx这种思路去绕,说不定有奇效呢?
后文:
但毕竟因为只是思考,所以打了个问号?
毕竟只有白盒代码审计遇到了这种情况,黑盒没挖到过,但是试试看呗
说不定就成功了呢?
原文始发于微信公众号(goddemon的小屋):巧用文件名绕过白名单?
