在日常代码审计中遇到个这玩意,遇到一个奇怪的白名单上传的写法,然后通过这个shell了。
于是引发了下面的思考,以及简单的看了下github上面的代码,发觉这种写法的还不少。
遇到的代码如下,发觉开发可能这种模式写的代码,利用filename.indexof方式进行校验白名单后缀。
即
最开始怀疑是不是是只有个例是这种写法,但是后面去github上面搜了下,发觉还是有部分的开发也是这样写的。
如这个代码根据这个思路,因此是否可能可以考虑当我们遇到黑盒挖上传漏洞的时候。
如果回显为白名单后缀,是否可能可以考虑利用 xls.aspx这种
以及xlsx.ashx,jpg.aspx这种思路去绕,说不定有奇效呢?
但毕竟因为只是思考,所以打了个问号?
毕竟只有白盒代码审计遇到了这种情况,黑盒没挖到过,但是试试看呗
说不定就成功了呢?
如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款