短文件名漏洞:
为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件名。
比如说,如果我在我存小片片(划掉)存工具的E盘里创建了一个名为abcdefghijklmnopgrstuvwxyz.avi(某讯拦截这个亲切的拓展名,改成全角字符才能打出来)的文件
用dir /x命令查看
OK可以看到他生成了一个短文件名ABCDEF~1.AVI(某讯拦截这个亲切的拓展名,改成全角字符才能打出来),经过观察可以发现,短文件名只显示前六位。
短文件名漏洞存在要求:
短文件名漏洞需要两个要求,第一网站用aspx,第二是windows环境。
其中,如果为容器为apache且运行在windows下,遇到可以下载的文件,并且文件名还很长,那么无需猜解长文件名,直接用短文件名就可以下载了。
一想到可以用这个来日apache的某国大片网,免费下载付费大电影,想想都刺激~(咳咳,言归正传)
短文件名漏洞验证:
首先杀掉几个网管祭出payload:
/*~1****/a.aspx
图片发自简书App
/l1j1e*~1****/a.aspx
图片发自简书App
如果用第一个payload:/*~1****/a.aspx显示的是404.用第二个payload:/l1j1e*~1****/a.aspx显示的是400比如“错误的请求Bad Request”之类的话那么久确诊无误可以上他了
接下来我们猜他有没有存在一个开头是a的文件,payload:/a*~1****/a.aspx
图片发自简书App
OK,返回404,存在a开头的文件,继续以a开头abcde往下猜,payload:/aa*~1****/a.aspx
图片发自简书App
没有开头为aa的文件,试试ab
图片发自简书App
存在ab开头的文件,继续以ab开头abcde往下猜,payload:/aba*~1****/a.aspx
就这样慢慢猜猜完所有a开头的猜b,然后cbdefg,然后猜数字猜数字+字母,猜完为止。
接下来要考虑一个严肃的问题,怎么判断他是不是文件夹呢?
比如说我们猜到了/access~1****/a.aspx
图片发自简书App
只需要删掉那四个*就ok啦。payload:/access~1/a.aspx
如果还是404,那就说明这是个文件夹
作者:Cracker_T
链接:https://www.jianshu.com/p/d3a898987093
共同学习,写下你的评论
评论加载中...
作者其他优质文章
