Web安全-文件上传漏洞（常见上传解析漏洞，常见检测方式绕过）_文件上传漏洞如何扫

Web安全-文件上传漏洞

Webshell概念

Webshell是一种利用Web服务器的漏洞或弱点，通过远程上传恶意代码到服务器上（实质上是一种网页后门），并执行命令或控制服务器的一种攻击方式。在上传过后，该文件与网站服务器web目录下的正常网页文件混在一起，然后就可以通过该文件得到一个命令执行环境

攻击者可以通过Webshell获取服务器的高权限，进而进行非法操作，例如修改服务器文件、数据库操作、执行系统命令等。Webshell具有隐蔽性高、操作方便等特点，常被用于非法攻击、入侵行为或用于进行系统安全评估和渗透测试。通常为jsp，asp，php写成的脚本文件

注意：攻击者入侵服务器，使用webshell，无论传文件或者修改文件，必然会有一个文件包含webshell代码，我们有以下检测方式：

• 寻找静态特征，从文件代码入手检测
• webshell通常以HTTP交互，我们可以在HTTP的请求与响应中找寻痕迹

文件上传漏洞的原因

在普通的Web程序中，用户可以上传文件，而上传的文件可以被Web应用解析。假如未对用户上传文件进行检测或者检测不严格，一旦用户上传的恶意文件（甚至是Webshell）被服务器解析后（即文件上传与解析同时出现才能利用），将造成安全问题，即有两个条件：

• 用户可以绕过服务器检测上传恶意文件
• 恶意文件可以在一定条件下被解析

常见的上传漏洞

文件解析漏洞

这类漏洞通常是伴随着Web容器解析文件（文件已经在服务器上）而产生。常见的有：IIS，Nginx，Apache，Tomcat等

IIS解析漏洞

在IIS6.0版本中有两个常见漏洞：

• 当建立起*.asa，*.asp的文件夹时，其中的任意格式文件都可以被解析为ASP脚本
• 当文件格式为*.asp;1.jpg时，该文件仍然会被当做ASP脚本被解析

Apache解析漏洞

在Apache 1x-2x的版本中存在一种文件解析机制：即在无法识别的扩展名文件被上传后，Apache会递归地，由后向前解析扩展名，直到遇到自己可识别的文件扩展名，如果都不能识别则会暴露出源代码（在Apache的安装目录中 "/conf/mime.types"目录下存放着Apache的可识别文件类型目录）

PHP CGI解析漏洞

此漏洞与PHP的一个配置文件有关：cgi.fi: x_pathinfo 在某些版本中是默认开启的，在其处于开启状态下，当我们访问一个URL时加上x.txt/x.php即 http://xxxxx.xxx/x.txt/x.php， 由于x.php文件不存在，则PHP会递归向前解析将 x.txt 文件解析为PHP脚本

文件上传漏洞

文件上传主要是未对用户上传文件进行检测或者检测不严格而产生（文件还未在服务器上），通常会有以下两种检测行为：

• 在客户端使用JavaScript进行文件校验，即在本地验证
• 服务端通过检测文件的Mime类型进行核验，检测出文件是否符合白名单或黑名单（部分会检测是否含恶意代码）

客户端检测

相较于服务端验证来说，客户端检测是非常好处理的，我们可以在客户端使用工具修改文件验证的JavaScript，也可以重新构造文件上传的HTML文档或者使用抓包软件截取报文来绕过

• 客户端使用工具修改文件验证的JavaScript：使用工具将报文中的表单中验证文件的对应事件删除即可
• 重新构造文件上传的HTML文档：通常情况下只需要删除form表单中的验证事件，将其他部分保留作为HTMl文档即可
• 使用抓包软件截取报文来绕过：我们可以将脚本修改成符合客户端检测的文件类型进行上传，然后进行抓包，将文件修改回原本的文件格式，这里需要注意Connect-Length的值，在修改后文件名可能会有字符长度的改变，所以为了防止可能发生的上传失败，我们需要将其修改成合适的长度

服务端检测

相较于客户端检测这种任何验证都是不安全的方式，服务端检测才能有效预防攻击者，通常有以下策略：

• 文件扩展名白名单检测：即只允许一种或几种文件类型允许被服务器接收
• 文件扩展名黑名单检测：处于黑名单中的文件类型不允许被服务器接收
• 文件重命名：即使文件上传成功，经过重命名后攻击者找到自己的脚本进行执行可能性下降
• 文件类型验证：基于MIME的验证等

绕过文件类型黑名单检测：

我们可以看出文件黑名单实质上是并不靠谱的，我们通常有以下绕过方式：

• 找到不在黑名单中的文件类型，并利用该类型的文件
• 针对于对字符大小写转换不敏感的平台，转换大小写绕过
• windows平台中文件扩展名后存在 .或空格时，会自动去除，进行解析

绕过文件类型白名单检测:

白名单验证比黑名单验证更加安全，但是前文提到，文件上传和文件解析基本上是同时出现的，例如IIS与Apache的解析漏洞，我们都可以制作脚本文件修改后按漏洞构造以jpg结尾的扩展名（假使jpg在白名单中），一样可以绕过检测

绕过MIME文件验证（基于HTTP报文的验证）：

MIME用来设定某种文件扩展名的打开方式，具有该文件扩展名的文件被访问时，浏览器会使用指定的应用程序来打开，这种方式也可以被用来检测文件合法性。常见的绕过手段是利用抓包软件修改报文中的Connect-Type类型来绕过验证，常见类型表如下：

转载自：MIME 类型 - HTTP | MDN (mozilla.org)

其他情况

目录验证利用：

在部分web应用中，如果文件上传到的目录存在则正常写入，不存在则创建目录，那么基于某些容器的解析特性，我们可以人为创造可能的漏洞环境，如IIS会解析*.asa，*.asp文件夹中的文件，那么我们可以想办法在不存在该目录的情况下建立一个*.asa，*.asp文件夹，后面再想办法利用该文件夹。

截断上传攻击：

截断上传攻击利用的是ASCII码中的NULL字符00，当一个字符串被解析时，我们通过这种在中间加入或替换00来加入null的操作会导致解析中断，即有效字符只有null之前的字符。举个例子，现在有一个文件上传检测，只允许*.png的文件上传，那我们可以构造文件xxx.php .png（注意中间有个空格），然后进行抓包，找到文件名对应的hex中的20（因为ASCII码表中空格是20）改成00，此时上传会上传成功，但是解析后由于null终止了，只剩下xxx.php。

第二种方式则是在上传文件时直接将文件名构造为xxx.php%00.png，截断后仍为xxx.php

文本编辑器漏洞

对于很多文本编辑器，在其目录下可能存在一些敏感目录，可以使用目录爆破这一手段获取敏感信息，有的编辑器甚至存在任意文件上传漏洞，这里由于编辑器众多，且版本较多，故不多赘述

MIME内容补充

后端获取MIME的方式

后端可以通过以下方式获取文件的MIME类型：

• 使用第三方库：许多编程语言都有相应的第三方库可以用来获取文件的MIME类型。这些库通常提供了函数或方法，通过传入文件路径或文件流来获取MIME类型。你可以搜索并选择适合你所使用的编程语言的库进行使用。

• 根据文件扩展名：大多数文件的扩展名与对应的MIME类型是有关联的。你可以创建一个字典或映射表，将文件扩展名与对应的MIME类型进行关联。当需要获取文件的MIME类型时，根据文件的扩展名查找对应的MIME类型即可。注意，这种方法可能会有一些特例和差异，所以最好使用专门的库来获取MIME类型。

• 使用系统命令：某些操作系统提供了命令行工具或命令，可以根据文件的扩展名或文件内容获取其MIME类型。你可以在后端代码中调用相应的系统命令来获取文件的MIME类型。

注意：获取文件的MIME类型并不能保证返回的结果是完全准确的，因为有些文件可能并没有明确的MIME类型或扩展名。所以在实际使用时，最好进行一些额外的验证和处理来确保文件的类型和安全性。

不依赖HTTP报文的情况

一般情况下，后端获取文件的MIME类型需要通过HTTP报文中的"Content-Type"字段来获取，因为该字段是由客户端在发送请求时设置的，如果后端不依赖HTTP报文，可以尝试其他方式获取文件的MIME类型。例如：

• 使用文件的扩展名：可以根据文件的扩展名来推测其MIME类型。在没有HTTP报文的情况下，可以使用文件系统相关的API（如Java的java.nio.file.Files类）或者操作系统的相关命令来获取文件扩展名，并根据扩展名来获取MIME类型。需要注意的是，这种方式只能推测MIME类型，不一定准确。

• 通过文件内容：有些文件格式的内容是有固定标识的，可以根据这些标识来判断文件的类型。例如，通过读取文件的二进制数据，根据特定的文件格式标识来确定其MIME类型。这种方式需要实现一些文件格式的解析逻辑，相对复杂并且不一定准确。

注意：上述方法可能无法准确地获取文件的MIME类型，特别是在文件格式多样且变化频繁的情况下。

漏洞的修复预防

• 建议使用白名单验证机制，白名单之外可终止该程序
• 严格过滤目录，防止人为构造目录
• 建议使用文件重命名操作，降低即使上传成功后被攻击者利用的可能
• 建立临时目录机制，严格限制文件的行为