介紹

　　文件上傳漏洞是指用戶上傳了一個可執(zhí)行的腳本文件(php、jsp、xml、cer等文件)，而WEB系統(tǒng)沒有進行檢測或邏輯做的不夠安全。文件上傳功能本身沒有問題，問題在于上傳后如何處理及解釋文件。

　　分類

　　根據(jù)簡介，主要分為上傳(客戶端)、解析(服務(wù)端)兩大類。

　　上傳-javascript檢測

　　簡介

　　通過js代碼，對文件后綴進行判斷。

　　原理

　　一般使用白名單或黑名單的方式，判斷文件后綴，根據(jù)后綴決定用戶是否上傳。

　　攻擊

　　Firebug插件刪除判斷函數(shù)

　　使用靶機pikachu做例子，直接通過F12修改。

　　tupian.php

　　<?php

　　echo phpinfo();

　　?>

　　F12查看代碼

　　客戶端通過onchange實踐的checkFileExt函數(shù)進行檢測，我們刪除掉調(diào)用這個函數(shù)的部分。-

　　我們再次上傳tupian.php

　　看路徑，我們修改上方的url，進行訪問。

　　看到代碼已經(jīng)運行。

　　中間人攻擊-burpsuite攔截

　　防御

　　上傳無法防御，可以進行文件重命名。

　　上傳-MIME檢測

　　簡介

　　js的檢測基本沒有了，開始使用后端代碼進行檢測，雖然進行MIME檢測是使用的后端代碼，但是，依然是從客戶端獲取的，可以從客戶端修改，我還是歸于上傳這一類了。

　　簡單來說，在請求頭中Content-Type:type/subtype來表明類型，常見的有

　　text/plain

　　text/html

　　image/jpeg

　　image/jpg

　　image/png

　　audio/mpeg

　　audio/ogg

　　audio/*

　　video/mp4

　　application/*

　　application/json

　　application/javascript

　　application/ecmascript

　　application/octet-stream

　　攻擊

　　中間人攻擊-burpsuite攔截

　　burpsuite攔截

　　修改Content-Type

　　Forward 可以看到發(fā)送過去了，后序驗證同上，不再重復(fù)截圖。

　　防御

　　上傳無法防御，可以進行文件重命名。

　　上傳-后端文件格式檢測

　　簡介

　　一些后端代碼含有一些函數(shù)，能夠判斷文件類型，獲取文件的一些信息。以php為例，php的getimagesize函數(shù)可以獲取圖像的一些信息，如果不是圖像，那么無法獲取信息，就會報錯。

　　有的站點使用文件頭來檢測文件類型，這種檢查可以在Shell前加入對應(yīng)的字節(jié)以繞過檢查。幾種常見的文件類型的頭字節(jié)如下表所示

　　類型 二進制值

　　JPG FF D8 FF E0 00 10 4A 46 49 46

　　GIF 47 49 46 38 39 61

　　PNG 89 50 4E 47

　　TIF 49 49 2A 00

　　BMP 42 4D

　　原理

　　如果你學(xué)過圖像相關(guān)的課程，比如信息隱藏這門課，會使用Matlab讀取圖像，進行信息隱藏，你就會知道圖像的一些格式，符合格式的話就是那個類型的文件，一般是頭部的一些字節(jié)。我們通過將惡意代碼前面添加其他類型文件的頭部就可以偽造成另一個類型，進而繞過檢測。

　　攻擊

　　我們修改tupian.php為tupian.php.jpg，進行上傳。

　　沒有辦法上傳，雖然后綴對，但是內(nèi)部是不正確的。

　　我們使用Linux中的xxd或od命令來查看.PNG或.png圖片的信息(博主雖然是在Windows中，但是使用的是cygwin)。

　　可以看到文件前面是一樣的。

　　使用cmd命令 copy /b CA.png + tupian.php tupian.png

　　目錄下會生成新圖片tupian.png，而且符合png格式，但是在圖片后面是php代碼。

　　圖片上傳成功，但是打開后還是圖片。

　　我們再使用之前的文件包含漏洞就可以了，注意url。

　　php由于歷史原因，部分解釋器可能支持符合正則 /ph(p[2-7]?|t(ml)?)/ 的后綴，如 php / php5 / pht / phtml / shtml / pwml / phtm 等 可在禁止上傳php文件時測試該類型。

　　jsp引擎則可能會解析 jspx / jspf / jspa / jsw / jsv / jtml 等后綴

　　asp支持 asa / asax / cer / cdx / aspx / ascx / ashx / asmx / asp{80-90} 等后綴。

　　除了這些繞過，其他的后綴同樣可能帶來問題，如 vbs / asis / sh / reg / cgi / exe / dll / com / bat / pl / cfc / cfm / ini 等。

　　防御

　　若沒有文件包含漏洞，問題不大，否則無法防御。

　　上傳-文件截斷

　　簡介

　　php %00截斷，由于00代表結(jié)束符，00后面的所有字符都會刪除掉，發(fā)生在php5.3.4之前版本，php的magic_quotes_gpc為OFF狀態(tài)。

　　攻擊

　　正好被水印擋住了，擋住的部分就是參數(shù)magic_quotes_gpc。

　　解析-Apache文件解析

　　一個文件可以有多個后綴，如：lady_killer.txt.png.mp3，在Windows中自然是認為這是mp3文件，也就是說最后的后綴生效。但是，Apache卻是從右向左讀后綴，不認識的跳過繼續(xù)讀，前面的文件就認為是圖片，如果沒有配置mp3后綴的話。因此，對于

　　tupian.php.xxx就會認為這是php文件。類型的定義在Apache/conf/mime.types中

　　解析-IIS文件解析

　　IIS 6也出現(xiàn)截斷攻擊，截斷字符為";"。由于phpStudy沒有這個版本，太老了，不想去實現(xiàn)了，知道下就行了。

　　解析-PHP CGI路徑解析

　　沒找到了2010年的cve，可能是提交的bug吧，就是路徑為evil.jpg/1.php時，Nginx會把evil.jpg當做php文件交給php運行。

　　繞過

　　前端繞過

　　通過抓包提交，繞過前端js檢測，刪除對js驗證腳本的調(diào)用，使其不能對上傳的文件類型做檢測，從而達到繞過

　　黑名單繞過

　　使用更多后綴

　　jsp jspx jspf

　　asp asa cer aspx

　　php php3 php4 pht phtml

　　后綴大小寫繞過

　　由于windows不區(qū)分大小寫，后端校驗未使用strtolower等函數(shù)將文件后綴大小寫統(tǒng)一處理，導(dǎo)致黑名單不完整而繞過

　　1.pHP

　　后綴雙寫繞過

　　后端過濾時，使用了preg_replace等替換函數(shù)將php關(guān)鍵字替換為空，但是卻沒有循環(huán)替換，導(dǎo)致前面的ph和后面的p重新組合成php，從而導(dǎo)致繞過

　　1.phphpp

　　空格繞過

　　由于Windows處理文件時，會自動刪除文件后綴帶有的空格和點，從而導(dǎo)致繞過。

　　1.php

　　后面有空格

　　::$DATA繞過

　　Windows的一種流文件格式，上傳這種格式流文件格式的同時會在相同目錄下生成一個含有相同內(nèi)容宿主文件

　　MIME繞過

　　修改Content-Type中為允許的類型，以下為常見MIME類型

　　GIF image/gif

　　JPG image/pjpeg image/jpeg

　　ZIP application/x-compressed application/octet-stream

　　JSP text/html

　　EXE application/octet-stream

　　%00截斷繞過

　　PHP<5.3.29，且GPC關(guān)閉時，%00在URL中充當結(jié)束符，當解析到%00時，解析器就會認為字符串已經(jīng)讀取完畢

　　1.php%00a.jpg

　　十六進制的0x00也可

　　文件頭檢查繞過

　　例如，僅允許上傳圖片，通過文件頭來判斷，這時可以將惡意代碼拼接到圖片后面

　　條件競爭繞過

　　有的文件上傳功能是先將文件下載到服務(wù)器，如果是有問題的就刪除，我們可以利用這一邏輯漏洞，不斷上傳文件，即可訪問。

　　防御

　　1.文件類型判斷

　　后綴白名單，MIME類型判斷結(jié)合

　　2.文件重命名

　　3.文件上傳目錄設(shè)置為不可執(zhí)行

　　更多關(guān)于“網(wǎng)絡(luò)安全培訓(xùn)”的問題，歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué)，課程大綱緊跟企業(yè)需求，更科學(xué)更嚴謹，每年培養(yǎng)泛IT人才近2萬人。不論你是零基礎(chǔ)還是想提升，都可以找到適合的班型，千鋒教育隨時歡迎你來試聽。