要不就叫谁谁谁的'站'是"我"

为什么会存在文件上传呢？

• 网站为了给用户更好的体验，也有助于提高业务效率。
• 一般的社会网络的web应用程序，博客，论坛，电子，银行网站等。会给用户与企业员工有效的共享文件，
• 在运营过程中，对网站内容的更新，需要网站就要文件上传功能
• 允许上传文件，视屏，头像和许多其他类型文件。
• 这样的做法是基于对用户的完全信任。（但是我们不是一个好人~~）

上传文件本身是不存在漏洞

为什么会出现上传文件漏洞呢？

• 服务器配置不当

在不需要上传页面的情况下，
导致任意文件上传HTTP请求方法（put）
将.html后缀的文件使用.php进行解析，
导致.html  .xml等静态页面被解析
上传文件保存磁盘未NTFS格式可以通过$data绕过黑名单限制
等等，这属于管理员问题。

• 开源编辑器漏洞
• 本地文件上传限制绕过

只是在本地限制，使用抓包工具，修改上传文件，绕过

• 过滤不严或是绕过

使用黑名单过滤掉一些关键的可执行脚本文件，但是也不全是被绕过。
例如：服务器过滤掉了.php文件,但是没有过滤掉.php3等可执行文件
php2,php5,phtml,aspx等等

• 文件解析漏洞导致文件执行
• 文件路径截断

？
%00
\0
可以控制文件路径的情况下，使用超长文件
路径被截断，造成上传

从漏洞原理总结，分为四类web应用程序解析漏洞

• Apache 的拓展名顺序解析漏洞

Apache自身漏洞 
前提：-test.php.任意不属于黑名单也不属于Apache解析白名单名称
文件x1.x2.x3的文件 Apache会从x3的位置往x1位置尝试解析，
以递归的形式，直到找到Apache可以解析的拓展名，从x3到x2,再到x1

![QR49D}9367L]{])O4RU5}21.png](https://img.haomeiwen.com/i2495234/991588ca6ccaad2d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
有些东西还是需要个人去尝试，发现更多的版本信息漏洞。

• IIS 的asp解析漏洞

IIS自身漏洞
前提：-test.asp/任意文件名 | tset.asp;任意文件名 |  
任意文件名/任意文件名/.php（来之php-cgi漏洞）
IIS6.0在解析asp格式的时候有两个解析漏洞
1.目录名包含".asp" 字符串，那么这个目录下所有文件都会按照asp去解析。
2.只要文件名中含有".asp"会优先按照asp来解析

![%W`ZP4TBURTV%N}8]WH5]G3.png](https://img.haomeiwen.com/i2495234/519b0f2afeb5fdc3.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

• Nginx %00解析漏洞

Nginx自身漏洞
前提：任意文件名/任意文件名.php | 任意文件名%00.php
Nginx主要有两种漏洞：
1.一个对于任意文件名，在后面添加/任意文件名.php的解析漏洞，比如原文件名是test.jpg，可以添加test.jpg/x.php 进行解析攻击
2.对于低版本的Nginx可以在任意文件名后面添加%00.php 进行攻击

![9N4J%34V%M2VEX]TZ@@SHNN.png](https://img.haomeiwen.com/i2495234/23c7b21abe149a9e.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

• php-cgi 的默认配置漏洞

神马事CGI（问度娘去0.0）
这类漏洞主要出现在IIS和Nginx ，主要是以CGI形式调用php的web应用程序。Apache通常以module 的形式去调用php（比较少见）

是由 cgi.fix_pathinfo 的值造成的，默认配置 cgi.fix_pathinfo=1
当 php.ini 中 cgi.fix_pathinfo = 1 时，PHP CGI 以 / 为分隔符号从后向前依次检查如下路径：

<span style="font-size: 14px;">/home/verdana/public_html/unsafe/foo.jpg/a.php/b.php/c.php  
/home/verdana/public_html/unsafe/foo.jpg/a.php/b.php  
/home/verdana/public_html/unsafe/foo.jpg/a.php  
/home/verdana/public_html/unsafe/foo.jpg</span> 

直到找个某个存在的文件，如果这个文件是个非法的文件，so… 悲剧了~
PHP 会把这个文件当成 cgi 脚本执行，并赋值路径给 CGI 环境变量——SCRIPT_FILENAME，也就是 $_SERVER['SCRIPT_FILENAME'] 的值了

这是后话了

最开始是直接把php.ini中设置 cgi.fix_pathinfo = 0想一劳永逸解决。不过后来发现其导致PHP的超全局变量 $_SERVER['PHP_SELF']为空于是有些程序会出错（比如Discuz会拼接出错误图片头像路径）。

上传检测流程

• 客服端检测绕过
  javascript检测
• 服务端检测绕过
  1.MIME类型检测
  2.目录路径绕过检测
  3.文件拓展名检测

-黑名单检测
1.文件大小写绕过（Asp，Php）
2.名单绕过
3.特殊文件名绕过（例如：.test.asp.或是.test.asp_）
4.截断绕过0x00
5.htaaccess文件攻击（上传自定以.htaccess,绕过各种检测）
6.解析漏洞
-白名单检测
1.截断绕过
2.解析漏洞
-htaccess文件攻击
启用.htaccess，需要修改httpd.conf，启用AllowOverride，并可以用AllowOverride限制特定命令的使用。（例如上传一个1.jpg文件，在.htaccess文件中jpg使用php解析，完成绕过）
无视黑名单和白名单。

4.文件内容检测（图片头部内容）

如果一个图片在一个图片编辑器内打开, 就如 Gimp, 用户就可以编辑图片的注释区, 那儿就能插入 PHP 代码

这是上传漏洞的核心之一

可以囊括攻击者所有的思路和方法（作者网上找到的.0好菜0.）
![1[38E]WX)L(]CEH4RFPVH~3.png](https://img.haomeiwen.com/i2495234/c7c1326e999c6f21.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

MIEFP_20UWSI_YR~A)DVO29.png

文件上传漏洞存在的危害

• 网站被控制
• 服务器沦陷
• 同一服务器下的网站都会被控制

如何挖掘，利用

下面的内容就个人而言有意义

• 查找有输入点的地方
• 目录，文件扫描（寻找敏感文件）
• 然后去依次对比
• 哪些检测环节存在/不存在
• 哪些环节是安全/还是有漏洞
• 哪些环节如果被利用是代码层漏洞/还是 Web 应用程序解析漏洞
• 对应在该项后面进行填写
• 最后把 Vule 的部分选出来，再来分析如何进行组合，以及利用它们需要什么样的条件
• 通过这个分析框架进行白盒/黑盒分析并罗列出所有情况
• 攻击者便能更系统地分析出源码/目标环境可能存在的漏洞

如何修复，安全配置，需注意的位置。

1. 轻量级检测必然能绕过
2. 检测的重点放在文件内容检测
   可以用检测脚本语言特征码的机制
3. 路径/扩展名检测一定要用白名单
   并且注意路径的 0x00 截断攻击 (把 php 更新至最新版本即可，已经修补了这个漏洞了)
4. 不能有本地文件包含漏洞
5. 随时注意更新 web 应用软件
   避免被解析漏洞攻击
   6.客服端和服务端共同验证。

F7{LYKYGDB92W_AN9$H%E1R.png

以上的内容大部分都是个人学习过程中，收集的信息。
Know it then hack it