赞
踩
- 文件上传漏洞是指用户上传了一个可执行的脚本文件(php、jsp、xml、cer等文件),而WEB系统没有进行检测或逻辑做的不够安全。
- 文件上传功能本身没有问题,问题在于上传后如何处理及解释文件。
- 一般情况下,Web应用都会允许用户上传一些文件,如头像、附件等信息,如果Web应用没有对用户上传的文件进行有效的检查过滤,那么恶意用户就会上传一句话木马等Webshell,从而达到控制Web网站的目的。
- 存在文件上传功能的地方都有可能存在文件上传漏洞,比如相册、头像上传,视频、照片分享。论坛发帖和邮箱等可以上传附件的地方也是上传漏阔的高危地带,另外像文件管理器这样的功能也有可能被攻击者所利用。
- 这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等
1.上传WebShell文件,攻击者可通过这些网页后门执行命令并控制服务器。
2.上传文件是钓鱼图片或者包含了脚本的图片时,图片中的脚本,在某些版本的浏览器上会被作为脚本执行,从而被利用于钓鱼或者欺诈
3.上传病毒、木马文件,用于诱骗用户和管理员下载执行或者直接自动运行。
4.上传文件是其他恶意脚本时,攻击者可直接执行脚本进行攻击。
主要是通过JavaScript代码进行检测,是最简单的绕过
绕过方法:
针对文件的扩展名后缀进行检测,主要通过黑白名单进行过滤检测,若不符合过滤规则则不允许上传。
黑名单检测:一般有个专门的blacklist文件或列举出黑名单,里面会包含常见的危险脚本文件。
绕过方法
$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess"); $file_name = trim($_FILES['upload_file']['name']); $file_name = deldot($file_name);//删除文件名末尾的点 $file_ext = strrchr($file_name, '.'); $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //首尾去空 if (!in_array($file_ext, $deny_ext)) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext; if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = '上传出错!'; } } else { $msg = '此文件类型不允许上传!'; } } else { $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!'; } }
.pHP
,则可以进行大小写绕过,成功上传文件。$file_ext = strtolower($file_ext); //转换为小写
.asp,.php,.jsp,.exe
后缀的文件asa
cer
aspx
php
php3
php4
php5
phtml
pht
jspx
jspf
exee
1 | AddType application/x-httpd-php .php .phtml .phps .php5 .pht
黑名单的后缀名替换为空,但只进行一次
。上传.pphphp后缀,替换一个php为空,则后缀名变为.php,成功绕过。$is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess"); $file_name = trim($_FILES['upload_file']['name']); $file_name = str_ireplace($deny_ext,"", $file_name); $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = UPLOAD_PATH.'/'.$file_name; if (move_uploaded_file($temp_file, $img_path)) { $is_upload = true; } else { $msg = '上传出错!'; } } else { $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!'; } }
shell.php.
shell.php空格
shell.php:1.jpg
shell. php::$DATA
shell.php:1.jpg
在Windows中,后缀名后面的点和空格都会被删除掉
.htaccess
文件解析漏洞- apache解析漏洞
- IIS7.0或IIS7.5或nginx的解析漏洞
- IIS6.0解析漏洞
- 截断类型:PHP%00截断
- 截断原理:由于00代表结束符,所以会把00后面的所有字符都截断
- 截断条件:PHP版本小于5.3.4,PHP的magic_quotes_gpc为OFF状态
原理:白名单检测:一般有个专门的 whitelist 文件,里面会包含的正常文件:
Jpg
png
GIF
绕过方法
文件包含
点击进入: 【文件上传绕过】——后端检测_文件名检测00截断绕过
原理:虽然web应用做了校验,但是由于文件上传后的
路径用户可以控制
,攻击者可以利用手动添加字符串标识符0X00
的方式来将后面的拼接的内容进行截断
,导致后面的内容无效,而且后面的内容又可以帮助我们绕过黑白名单的检测。
思路: 在
C语言
中,空字符
有一个特殊含义,代表字符串的拼接结束。
这里我们使用的是php语言
,属于高级语言,底层靠C语言
来实现的,也就是说空字符
的字符串拼接结束功能在PHP
中也能实现。但是我们在URL中不能直接使用空
,这样会造成无法识别;我们通过查看ASCII对照表
,发现ASCII对照表
第一个就空字符
,它对应的16进制是00
,这里我们就可以用16进制的00
来代替空字符
,让它截断
后面的内容。
使用burpsuite
进行抓包,因为这里是通过URL
进行传递的文件上传后存储路径,所以需要对16进制
的00
进行URL编码
,编码的结果就是%00
,通过这种方式,就可以用%00
截断后面的内容,让拼接的文件名不再进行生效:
MIME(Multipurpose Internet Mail Extensions)
多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。
常见MIME类型
text/plain
(纯文本)
text/html
(HTML文档)
text/javascript
(js代码)
application/xhtml+xml
(XHTML文档)
image/gif
(GIF图像)
image/jpeg
(JPEG图像)
image/png
(PNG图像)
video/mpeg
(MPEG动画)
application/octet-stream
(二进制数据)
application/pdf
(PDF文档)
检测方式: 在文件上传过程中,服务端会针对我们的上传的文件生成一个数组,这个数组其中有一项就是这个文件的类型
file_type
;服务端对文件进行检测时,就是通过检测脚本中的黑白名单和这个数组中的file_type
进行对比,如果符合要求就允许上传这个文件。
MIME绕过原理: 部分Web应用系统判定文件类型是通过
content-type字段
,黑客可以通过抓包,将content-type字段
改为常见的图片类型
,如image/gif
,从而绕过校验。
原理: 在每一个文件(包括图片,视频或其他的非ASCII文件)的开头(十六进制表示)实际上都有一片区域来显示这个文件的实际用法,这就是文件头标志。我们可以通过16进制编辑器打开文件,添加服务器允许的文件头以绕过检测。
常见文件头
GIF:47 49 46 38 39 61
png:89 50 4E 47 0D 0A 1A 0A
jpg:FF D8 FF E0 00 10 4A 46 49 46
在进行文件头绕过
时,我们可以把上面的文件头
添加到我们的一句话木马内容最前面,达到绕过文件头检测的目的。
**原理:**一般文件内容验证使用
getimagesize函数
检测,会判断文件是否是一个有效的文件图片,如果是,则允许上传,否则的话不允许上传。
图片马制作
准备一张图片,这里为a.png
,和一个一句话木马,通过以下命令合成一个图片马3.php
:
a.php
内容:
<?php phpinfo(); ?>
命令:
1 | copy a.png /b + a.php /a 3.php
2 | /b:指定以二进制格式复制、合并文件,用于图像或者声音类文件
3 | /a:指定以ascii格式复制、合并文件用于txt等文本类文件
注:这条命令的意思是:通过copy命令
,把a.png
图片文件,以二进制文件形式添加到a.php
文件中,以ASCII文本
文件形式输出为3.php
文件。
.htaccess
文件解析漏洞漏洞利用前提: web具体应用没有禁止.htaccess文件的上传,同时web服务器提供商允许用户上传自定义的
.htaccess
文件。
原理:
.htaccess文件(或者"分布式配置文件")
,全称是Hypertext Access(超文本入口)
。提供了针对目录改变配置的方法,即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。
利用方式: 上传覆盖
.htaccess文件
,重写解析规则
,将上传的带有脚本马的图片以脚本方式解析。
.htaccess文件
内容:
.htaccess文件
解析规则的增加,是可以按照组合的方式去做的,不过具体得自己多测试。
<FilesMatch "evil.gif">
SetHandler application/x-httpd-php #在当前目录下,如果匹配到evil.gif文件,则被解析成PHP代码执行
AddHandler php5-script .gif #在当前目录下,如果匹配到evil.gif文件,则被解析成PHP代码执行
</FilesMatch>
Apache
解析漏洞原理:
Apache
解析文件的规则是从右到左
开始判断解析,如果后缀名
为不可识别
文件解析,就再往左判断。比如test.php.a.b
的“.a
”和“.b
”这两种后缀是apache
不可识别解析,apache就会把test.php.a.b
解析成test.php
。
IIS6.0
解析漏洞
IIS6.0
解析漏洞分两种
:
1、目录解析:
以xx.asp
命名的文件夹
里的文件都将会被当成ASP文件
执行。
2、文件解析:
xx.asp;.jpg
像这种畸形文件名在;
后面的直接被忽略,也就是说当成xx.asp文件
执行。
IIS6.0
默认的可执行文件除了asp
还包含这三种.asa
.cer
.cdx
。
原理:
Nginx
拿到文件路径(更专业的说法是URI
)/test.jpg/test.php
后,一看后缀是.php
,便认为该文件是php文件
,转交给php
去处理。php
一看/test.jpg/test.php
不存在,便删去最后的/test.php
,又看/test.jpg
存在,便把/test.jpg
当成要执行的文件了,又因为后缀为.jpg
,php认为这不是php文件,于是返回Access denied
。
这其中涉及到php
的一个选项:cgi.fix_pathinfo
,该值默认为1
,表示开启。开启这一选项PHP可以对文件路径进行修理。
举个例子,当php遇到文件路径/1.jpg/2.txt/3.php
时,若/1.jpg/2.txt/3.php不存在,则会去掉最后的/3.php
,然后判断/1.jpg/2.txt
是否存在,若存在,则把/1.jpg/2.txt
当做文件/1.jpg/2.txt/3.php
,若/1.jpg/2.txt仍不存在,则继续去掉/2.txt
,以此类推。
漏洞形式: www.xxxxx.com/UploadFiles/image/1.jpg/1.php
另外两种解析漏洞:
www.xxxxx.com/UploadFiles/image/1.jpg%00.php
www.xxxxx.com/UploadFiles/image/1.jpg/%20\0.php
原理: 在我们上传文件后,网站会对图片进行二次处理(格式、尺寸要求等),服务器会把里面的内容进行替换更新,处理完成后,根据我们原有的图片生成一个新的图片并放到网站对应的标签进行显示。
绕过:
1、配合文件包含漏洞:
将一句话木马插入到网站二次处理后的图片中,也就是把一句话插入图片在二次渲染后会保留的 那部分数据里,确保不会在二次处理时删除掉。这样二次渲染后的图片中就存在了一句话,在配合文件包含漏洞获取webshell。
2、可以配合条件竞争:
这里二次渲染的逻辑存在漏洞,先将文件上传,之后再判断,符合就保存,不符合删除,可利用条件竞争来进行爆破上传
如何判断图片是否进行了二次处理?
对比要上传图片与上传后的图片大小,使用16进制编辑器打开图片查看上传后保留了哪些数据,查看那些数据被改变。
本篇文章参考了很多其他文章,主要的是这两篇
【文件上传绕过】——文件上传漏洞基础入门
太厉害了,终于有人能把文件上传漏洞讲的明明白白了—这里还讲了webshell相关内容
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。