文件上传漏洞初探
一、初步认识
1.上传功能:网站上各种可以上传文件,图片的地方可以被用作上传点进行非法上传
2.上传原理:在前端代码的表单中设计上传功能,将表单提交给php文件处理
表单a.html
<form action="t.php"method="post">
<input name="aaa" type="file" />
<input type="file"/>
</form>
对应的t.php
if(!isset($_FILES['aaa'])) {
echo 'file not found';
exit();
}
var_dump($_FILES['aaa'])
3.非法上传原理:如果对上传文件没有限制,则可以通过上传可执行文件或脚本达到操控服务器的目的.
如上传一个php脚本,其中包含的命令就会被执行
4.上传漏洞的防御
- 客户端:用js对上传文件的大小、类型、扩展名进行检测
- 服务器端:对文件大小、类型、路径、扩展名进行检测
- 设置服务器端上传类型为不可执行
5.官方总结
文件上传的目录设置为不可执行 只要web容器无法解析该目录下的文件,即使攻击者上传了脚本文件,服务器本身也不会受到影响,因此此点至关重要。实际中,很多大型网站的上传应用,文件上传后会放到独立的储存上,做静态处理。但对一些小应用,如果存在上传功能,则仍需要多加关注
判断文件类型: 判断文件类型时,应结合MIME Type、后缀检查等方式。推荐使用白名单,黑名单的方式已经无数次被证明不可靠。此外,针对图片处理,可以使用亚索函数或者resize函数,在处理图片的同事破坏掉图片中可能包含的HTML代码
使用随机数改写文件名和文件路径 文件上传如果要执行代码,则需要用户能够访问到这个文件。在某些环境中,用户能上传,但不能访问。如果应用使用随机函数改写了文件名和路径,将极大增加攻击成本。与此同时,像1.php.rar.rar、或者1.xml这种文件,都因为文件名被改写而无法成功实施攻击
6.一句话木马原理
- 就是这一句话:<?php @eval($_POST['#'];)?>
- 原理:使用eval方法它里面的字符串将会被执行,这样当脚本在服务器端运行的时候同时也执行了 Request.form('#')+''这句代码,Request.form('#')的作用是读取客户端文件中html标记属性中name值被命名 为#的部分
- 接下来的实验二、三 的主要目的就是想办法让后缀为.php的一句话木马而不是正常的.jpg文件得到解析,因此使用各种方法绕过,总之就是要想办法上传一个披着.jpg外套的木马
二、小试牛刀
1. 再现杰奇网站漏洞环境
- 找到上传点:上传照片的位置
image
- 上传绕过
方法一:通过firebug删除前端代码中上传验证的代码
image
方法二:在firebug中修改js代码,相当于添加白名单
image
- 制作一句话木马并保存为yijuhua.php
image
- 使用中国菜刀工具链接网站并输入一句话木马中的#即可连接,获得网站的webshell
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门,在入侵了一个网站后,将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,可以达到控制网站服务器的目的。
2. MIME类型绕过漏洞
MIME:客户端软件
MIME检测原理
服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。
题图
-
上传一张进行测试,并用burp抓包查看文件类型Content-Type
如图所示图片类型为image/jpeg
- 再制作一个php一句话木马,尝试上传时抓包,将其中的Content-Type改为刚才图片的格式,点击forward即可上传成功!
- 绝强的中国菜刀,添加,连接,拿webshell
3. 文件扩展名绕过漏洞
思路
php语言还可以解析php2,php3,php4,php5这些后缀,因此可以尝试将后缀修改然后上传看是否绕过了黑名单,本实验中可用php3,php4
4. 文件内容检测绕过漏洞
- 尝试上传修改后缀名为jpg后的php文件发现不行,说明当前是对文件内容进行检测的
-
既然这样那就上burp,上传一个图片之后抓包,把包中图片的格式改为.php之后在图片文件内容后加上一句话木马<真·机智>
修改图片文件后缀为.php
在图片文件内容最后加上一句话木马
5. 空字节截断目录路径检测绕过漏洞
截断原理
空格ASCII码的16进制为20,在抓到的包中将其改为截断字符的16进制00后就会截断后续字符
-
在上传一句话木马1.php时抓包,在uploadimg/后加上1.php .jpg
图片.png
-
打开包的hex模式,找到刚才加的空格(20)的位置,将其修改为00即将空格变为了转义字符,能看到空格变成了一个方块,这样系统会认定此为一个截断字符,后续的.jpg会被截断,即将其消除掉,所以上传文件的类型依然是.php
将空格对应的20改为00
修改后变成截断字符
- 点击forward提交即可
简单文件上传漏洞总结
1.绕过前端验证代码
2.绕过Content-Type检测
3.通过修改后缀名绕过检测
4.通过修改文件内容添加木马绕过检测
5.通过截断字符绕过检测
一点感想
机智的人真的是太会钻空子了。。。
只要他们想就能有各种方法来做,这些简单的方法已经被玩坏了之后,他们又在想什么鬼主意?
三、解析导致的上传漏洞
- IIS6.0站上的目录路径检测解析绕过上传漏洞 **
IIS:IIS(nternet Information Services)互联网信息服务,是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面
漏洞原理:在抓到包的上传目录中加上‘1.asp/’,在解析时探测到‘ / ’之后会认为这里有截断,进而注释掉后续内容
- IIS6.0站上的解析缺陷绕过上传漏洞 **
漏洞原理:IIS6.0的站在解析文件名时先找第一个' . ',找到后默认后面所有内容为后缀,随后继续解析找到 ' ; ' 之后就认为这是一个内存截断,因此不再解析后面的内容,上传的文件就被解析为.php格式
具体步骤如下:
-
尝试上传yi.php时用burp抓包,得到如图所示的包
抓包结果
-
在上传文件的目录uploading/下加一个' 1.php; '(注意这里不加在Content-Disposition下的filename中是因为IIS6.0会自动将文件名称改为时间戳),并且将Content-Disposition中的filename 改为yi.jpg(为了掩饰),这个过程就是利用了上面的漏洞原理,解析文件‘1.php;yi.jpg’(上传后就将路径和文件名合在了一起),会在找到‘;’后自动忽略后面的yi.jpg而认为这是一个php文件,这样就达到了目的。
修改后
重点!如何防御这一漏洞???
3. Apache站上的解析缺陷绕过上传漏洞
漏洞原理:apache会对所有文件的后缀进行设置,确定什么格式来解析,如上传后缀为.jpg的文件,就会被当作图片格式来解析,如果某个后缀没有设置解析,那么就会忽略它,如文件名为yijuhua.php.7z,apache会忽略.7z而直接按照php文件格式来解析
4. htaccess文件上传解析漏洞
- 还是先写好一句话木马。。。
- 再开一个文本文档写上下面的神奇代码,另存为文件名.htaccess的所有文件类型
AddType application/x-httpd-php .jpg
神奇代码的作用:将上传后缀名为.jpg的文件按照.php的格式来解析
- 先上传.htaccess文件,再将我们的一句话木马改成.jpg后缀然后上传,连接菜刀时网址为xxx/uplodimg/1.jpg
.htaccess可以上传的原因:它是apache服务器中的一个配置文件,不是上传的文件的黑名单之内 ,所以.htaccess文件是可以上传成功。
